[RFR] wml://security/2015/dsa-325{0,1,2,3}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
quatre nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Pound, un mandataire inverse HTTP et répartiteur de charge, avait plusieurs
problèmes relatifs à des vulnérabilités dans le protocole Secure Sockets
Layer (SSL).</p>

<p>Pour Debian 7 (Wheezy,) cette mise à jour ajoute une partie qui manque pour
rendre réellement possible la désactivation de la renégociation initiée par
le client et la désactive par défaut
(<a href="https://security-tracker.debian.org/tracker/CVE-2009-3555";>CVE-2009-3555</a>).
La compression TLS est désactivée bien que (<a
href="https://security-tracker.debian.org/tracker/CVE-2012-4929";>CVE-2012-4929</a>),
bien qu'elle soit normalement déjà désactivée par la bibliothèque système
d'OpenSSL. Elle ajoute enfin la possibilité de désactiver le protocole SSLv3 (<a
href="https://security-tracker.debian.org/tracker/CVE-2014-3566";>CVE-2014-3566</a>)
entièrement grâce à la nouvelle directive de configuration <q>DisableSSLv3</q>,
bien qu'il ne soit pas désactivé par défaut dans cette mise à jour. De plus,
un problème non lié à la sécurité dans l'encodage de la redirection est
traité.</p>

<p>Pour Debian 8 (Jessie), ces problèmes ont été corrigés avant la
publication, à l'exception de la renégociation initiée parle client
(<a href="https://security-tracker.debian.org/tracker/CVE-2009-3555";>CVE-2009-3555</a>).
Cette mise à jour corrige ce problème pour Jessie.</p>

<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 2.6-2+deb7u1.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.6-6+deb8u1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.6-6.1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets pound.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3253.data"
# $Id: dsa-3253.wml,v 1.1 2015/05/09 09:59:02 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Michal Zalewski a découvert de multiples vulnérabilités dans SQLite qui
peuvent avoir pour conséquence un déni de service ou l'exécution de code
arbitraire.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.8.7.1-1+deb8u1.</p>

<p>Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 3.8.9-1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.8.9-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets sqlite3.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3252.data"
# $Id: dsa-3252.wml,v 1.1 2015/05/09 09:59:01 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Nick Sampanis a découvert que dnsmasq, un petit mandataire de DNS avec
cache et serveur DHCP/TFTP, ne vérifiait pas correctement la valeur de retour
de la fonction setup_reply() appelée pendant une connexion TCP, qui est
utilisée alors comme un argument de taille dans une fonction qui écrit des
données sur la connexion du client. Un attaquant distant pourrait exploiter
ce problème à l'aide d'une requête DNS contrefaite pour l'occasion pour
provoquer le plantage de dnsmasq, ou éventuellement pour obtenir des
informations sensibles de la mémoire du processus.</p>

<p>Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 2.62-3+deb7u2.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 2.72-3+deb8u1.</p>

<p>Pour la distribution testing (Stretch) et la distribution unstable (Sid), ce problème sera corrigé prochainement.</p>

<p>Nous vous recommandons de mettre à jour vos paquets dnsmasq.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3251.data"
# $Id: dsa-3251.wml,v 1.1 2015/05/09 09:59:01 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découvertes dans Wordpress, un
gestionnaire de blog, qui pourraient permettre à des attaquants distants
d'envoyer des fichiers avec des noms non valables ou dangereux, de monter des
attaques par ingénierie sociale ou de compromettre un site grâce à un script
intersite, et d'injecter des commandes SQL.</p>

<p>Plus d'informations sont disponibles dans l'annonce de l'équipe amont aux
adresses
<url "https://wordpress.org/news/2015/04/wordpress-4-1-2/"; /> et
<url "https://wordpress.org/news/2015/04/wordpress-4-2-1/"; /></p>

<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb7u6.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.1+dfsg-1+deb8u1.</p>

<p>Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 4.2.1+dfsg-1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.2.1+dfsg-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3250.data"
# $Id: dsa-3250.wml,v 1.1 2015/05/09 09:59:00 jipege1-guest Exp $