[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2015/dsa-3209.wml

Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenLDAP, une
implémentation libre implémentation du protocole <q>Lightweight Directory
Access Protocol</q> (LDAP).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4449";>CVE-2013-4449</a>

<p>Michael Vishchers de Seven Principles AG a découvert une vulnérabilité de
déni de service dans slapd, l'implémentation du serveur d'annuaire. Lorsque
le serveur est configuré pour utiliser la surcouche RWM , un attaquant peut
le faire planter en le libérant juste après la connexion, à cause d'un
problème de comptage de référence.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9713";>CVE-2014-9713</a>

<p>La configuration par défaut de Debian de la base de données d'annuaires
permet à chaque utilisateur de modifier ses propres attributs. Quand les
répertoires LDAP sont utilisés pour le contrôle d'accès, et que cela est fait
en utilisant les attributs de l'utilisateur, un utilisateur authentifié peut
utiliser cela pour obtenir l'accès à des ressources non-autorisées.</p>
 
<p>Veuillez noter qu'il s'agit d'une vulnérabilité spécifique à Debian.</p>

<p>Le nouveau paquet n'utilisera pas la règle de contrôle d'accès non
sécurisée pour les nouvelles bases de données, mais les configurations
existantes ne seront pas automatiquement modifiées. Les administrateurs sont
invités à consulter le fichier README.Debian fourni par le paquet mis à
niveau, s'ils ont besoin de corriger les règles de contrôle d'accès.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1545";>CVE-2015-1545</a>

<p>Ryan Tandy a découvert une vulnérabilité de déni de service dans slapd.
Lors de l'utilisation de la surcouche deref, la fourniture d'une liste
d'attributs vide dans une requête fait planter le démon.</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.4.31-2.</p>

<p>Pour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.4.40-4.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.4.40-4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openldap.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3209.data"
# $Id: dsa-3209.wml,v 1.1 2015/03/31 10:22:48 jipege1-guest Exp $
Reply to: