[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2017/dsa-386{5,6}.wml

Bonjour,
deux nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Les ACL basées sur les motifs dans l'agent de message MQTT Mosquitto
pourraient être contournées.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1.3.4-2+deb8u1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.10-3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mosquitto.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3865.data"
# $Id: dsa-3865.wml,v 1.1 2017/06/02 07:47:53 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités de déni de service ont été identifiées dans
strongSwan, une suite IKE/IPsec utilisant le projet de test à données
aléatoires OSS-Fuzz de Google.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9022";>CVE-2017-9022</a>

<p>Les clés publiques RSA passées au greffon gmp ne sont pas suffisamment
validées avant la tentative de vérification de signature, aussi une entrée
non valable pourrait mener à une exception de virgule flottante et au
plantage du processus. Un certificat avec un clé publique préparée de façon
appropriée envoyé par un pair pourrait être utilisé pour une attaque par
déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9023";>CVE-2017-9023</a>

<p>Les types ASN.1 CHOICE ne sont pas correctement gérés par l'analyseur
ASN.1 lors de l'analyse de certificats X.509 avec des extensions qui
utilisent ces types. Cela pourrait conduire à une boucle infinie du
processus lors de l'analyse d'un certificat spécialement contrefait.</p></li>

</ul>

<p>De plus, un correctif pour un échec de construction a été inclus dans la
révision 5.2.1-6+deb8u4 du paquet strongSwan.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 5.2.1-6+deb8u3.</p>

<p>Pour la prochaine distribution stable (Stretch), ces problèmes ont été corrigés dans la version 5.5.1-4</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.5.1-4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets strongswan.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3866.data"
# $Id: dsa-3866.wml,v 1.1 2017/06/02 07:47:53 jipege1-guest Exp $
Reply to: