[RFR3] wml://security/2014/dsa-29{08,09,10}.wml

[Thomas Vincent <thomas@vinc-net.fr>]

Bonjour,

Le 22/04/2014 16:34, Baptiste Jammet a écrit :
> Un détail.

Bien vu ! Merci Baptiste.

Amicalement,
Thomas

#use wml::debian::translation-check translation="1.3" maintainer="Thomas Vincent"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL.
Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-5298";>CVE-2010-5298</a>

<p>Un tampon de lecture peut être libéré même s'il contient toujours des
données qui seront utilisées plus tard, ce qui mène à une utilisation de mémoire
après libération. Dans une situation de compétition dans une application
multiprocessus, cela pourrait permettre à un attaquant d'injecter des données
d'une connexion dans une autre ou de causer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0076";>CVE-2014-0076</a>

<p>Les <q>nonces</q> (nombres à usage unique) ECDSA peuvent être récupérés grâce à l'attaque par canal
auxiliaire Yarom/Benger FLUSH+RELOAD.</p></li>

</ul>

<p>Un troisième problème, n'ayant pas d'identifiant CVE, est l'absence de
détection du drapeau <q>critique</q> pour l'utilisation de clé étendue TSA
dans certains cas.</p>

<p>De plus, cette mise à jour cherche plus de services qui pourraient avoir
besoin d'être redémarrés après les mises à niveau de libssl, corrige la
détection d'apache2 et postgresql et ajoute la prise en charge pour la
configuration debconf <q>bibliothèques/redémarrer sans demander</q>. Cela permet
aux services d'être relancés sans sollicitation lors des mises à niveau.</p>

<p>La distribution oldstable (Squeeze) n'est pas concernée par
<a href="https://security-tracker.debian.org/tracker/CVE-2010-5298";>CVE-2010-5298</a>
et peut être mise à jour plus tard pour corriger les vulnérabilités restantes.</p>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.0.1e-2+deb7u7.</p>

<p>Pour la distribution testing (Jessie), ces problèmes seront corrigés prochainement.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.1g-3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2908.data"
# $Id: dsa-2908.wml,v 1.3 2014/04/22 14:36:47 tvincent-guest Exp $

Attachment: signature.asc
Description: OpenPGP digital signature