[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2015/dsa-3261.wml

Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans libmodule-signature-perl,
un module de Perl pour manipuler les fichiers SIGNATURE CPAN. Le projet
« Common Vulnerabilities and Exposures » (CVE) identifie les problèmes
suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3406";>CVE-2015-3406</a>

<p>John Lightsey a découvert que Module::Signature pourrait analyser la
partie non signée du fichier SIGNATURE comme la partie signée à cause d'un
traitement incorrect des limites de la signature PGP.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3407";>CVE-2015-3407</a>

<p>John Lightsey a découvert que Module::Signature traite incorrectement
les fichiers qui ne sont pas listés dans le fichier SIGNATURE. Cela inclut
certains fichiers dans le répertoire t/ directory qui pourraient s'exécuter
lors des tests.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3408";>CVE-2015-3408</a>

<p>John Lightsey a découvert que Module::Signature utilisait deux appels de
l'argument open() pour lire les fichiers lors de la génération des sommes de
contrôle à partir du manifeste signé. Cela permet d'embarquer des commandes de
shell arbitraires dans le fichier SIGNATURE qui pourraient s'exécuter lors du
processus de vérification de signature.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3409";>CVE-2015-3409</a>

<p>John Lightsey a découvert que Module::Signature traite incorrectement le
chargement de module, permettant de charger des modules à partir de chemins
relatifs dans @INC. Un attaquant distant fournissant un module malveillant
pourrait utiliser ce problème pour exécuter du code arbitraire lors de la
vérification de la signature.</p></li>

</ul>

<p>Notez que libtest-signature-perl a reçu une mise à jour pour assurer la
compatibilité avec la correction pour
<a href="https://security-tracker.debian.org/tracker/CVE-2015-3407";>CVE-2015-3407</a>
dans libmodule-signature-perl.</p>

<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 0.68-1+deb7u2.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 0.73-1+deb8u1.</p>

<p>Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 0.78-1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.78-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libmodule-signature-perl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3261.data"
# $Id: dsa-3261.wml,v 1.1 2015/05/16 07:58:09 jipege1-guest Exp $
Reply to: