[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2015/dla-1{32,34,44}.wml

Bonjour,
voici trois traductions de DLA. Merci d'avance pour vos relectures.
Ce sont les copies ou des extraits respectivement des dsa-3125, 3122 et
3136 relues par la liste.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL, la boîte à
outils associée à SSL (Secure Socket Layer).

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3570";>CVE-2014-3570</a>

<p>Pieter Wuille de Blockstream a signalé que le carré du bignum (BN_sqr)
pouvait produire des résultats incorrects sur certaines plate-formes, ce qui
pourrait faciliter la mise en échec des mécanismes de protection
cryptographique par des attaquants distants.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3571";>CVE-2014-3571</a>

<p>Markus Stenberg de Cisco Systems, Inc. a signalé qu'un message DTLS
soigneusement contrefait peut provoquer une erreur de segmentation dans
OpenSSL due à un déréférencement de pointeur NULL. Un attaquant distant
pourrait utiliser ce défaut pour monter une attaque par déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3572";>CVE-2014-3572</a>

<p>Karthikeyan Bhargavan de l'équipe PROSECCO de l'INRIA a signalé qu'un
client OpenSSL pourrait accepter une initialisation de connexion utilisant un
ensemble de chiffrement ECDH éphémère si le message d'échange de clés est omis.
Cela permet à des serveurs SSL distants de conduire des attaques de dégradation
de ECDHE à ECDH et déclencher une perte de confidentialité persistante.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8275";>CVE-2014-8275</a>

<p>Antti Karjalainen et Tuomo Untinen du projet Codenomicon CROSS et Konrad
Kraszewski de Google ont signalé divers problèmes d'empreinte de certificat,
permettant à des attaquants distants de mettre en défaut le mécanisme de
protection par liste noire de certificats basé sur les empreintes.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0204";>CVE-2015-0204</a>

<p>Karthikeyan Bhargavan de l'équipe PROSECCO de l'INRIA a signalé qu'un
client OpenSSL acceptera l'utilisation d'une clé RSA éphémère dans un ensemble
de chiffrement d'échange, non destiné à lâ??export, de clés RSA, violant le
standard TLS. Cela permet à des serveurs SSL distants de dégrader la sécurité
de la session.</p></li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans openssl version 0.9.8o-4squeeze19</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-132.data"
# $Id: dla-132.wml,v 1.1 2016/08/22 22:39:16 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Andrey Labunets de Facebook a découvert que cURL, une bibliothèque de
transfert par URL, échouait à traiter correctement les URL avec des caractères
de fin de ligne incorporés. Un attaquant capable de faire qu'une application
utilisant libcurl accède à une URL contrefaite pour l'occasion à l'aide d'un
mandataire (« proxy ») HTTP pourrait utiliser ce défaut pour adresser des
requêtes supplémentaires d'une manière non prévue, ou insérer des en-têtes de
requêtes supplémentaires dans la requête.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans curl version 7.21.0-2.1+squeeze11</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-134.data"
# $Id: dla-134.wml,v 1.1 2016/08/22 22:39:16 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans PolarSSL, une bibliothèque légère
de cryptographie et SSL/TLS. Un attaquant distant pourrait exploiter ce défaut
en utilisant des certificats contrefaits pour l'occasion pour organiser un
déni de service à l'encontre d'une application liée à cette bibliothèque
(plantage d'application), ou éventuellement, pour exécuter du code arbitraire.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans polarssl version 1.2.9-1~deb6u4</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-144.data"
# $Id: dla-144.wml,v 1.1 2016/08/22 22:39:16 jipege1-guest Exp $
Reply to: