[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2014/dla-8{0-4}.wml

Bonjour,

Voici quelques traductions de dla.
Merci d'avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Sogeti a découvert un défaut de déni de service dans libxml2, a bibliothèque
fournissant une prise en charge pour lire, modifier et écrire des fichiers XML
et HTML. Un attaquant distant pourrait fournir un fichier XML contrefait pour
l'occasion qui, sâ??il est traité par une application utilisant libxml2,
pourrait conduire à une consommation excessive de CPU (déni de service) basée
sur des substitutions excessives dâ??entités, même si la substitution dâ??entité
était désactivée, ce qui est le comportement par défaut de lâ??analyseur.
(<a href="https://security-tracker.debian.org/tracker/CVE-2014-3660";>CVE-2014-3660</a>)</p>

<p>De plus, cette mise à jour corrige un bout de code mal appliqué pour un
correctif publié dans la version précédente (n° 762864).</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans libxml2,
version 2.7.8.dfsg-2+squeeze10.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-80.data"
# $Id: dla-80.wml,v 1.2 2016/04/08 20:32:22 djpig Exp $

#use wml::debian::translation-check translation="1.4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566";>CVE-2014-3566</a>

<p>("POODLE")</p>

<p>Un défaut a été découvert dans la manière dont SSL 3.0 gérait les octets de
remplissage lors du déchiffrement de messages utilisant le chiffrement par bloc
avec le mode CBC (cipher block chaining). Ce défaut permet à un attaquant
« homme du milieu » de déchiffrer un octet sélectionné dans un texte chiffré
avec aussi peu que 256 essais, sâ??ils peuvent obliger une application victime
à envoyer de manière répétitive les mêmes données sur des connexions SSL 3.0
nouvellement crées.</p>

<p>Cette mise à jour ajoute la prise en charge pour Fallback SCSV pour
atténuer ce problème. Cela ne le corrige pas. La façon correcte de le corriger
est de désactiver SSL 3.0.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3567";>CVE-2014-3567</a>

<p>Un défaut de fuite de mémoire a été découvert dans la manière dont OpenSSL
gérait les vérifications dâ??intégrité de ticket de session. Un attaquant distant
pourrait épuiser la mémoire disponible dâ??un serveur SSL/TLS ou DTLS, en
lui envoyant un grand nombre de tickets de session non valables.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3568";>CVE-2014-3568</a>

<p>Quand OpenSSL est configuré avec « no-ssl3 » comme option de construction,
les serveurs pourraient accepter et achever la liaison SSL 3.0, et des clients
pourraient être configurés pour des envois.</p>

<p>Veuillez noter que le paquet dans Debian nâ??est pas construit avec cette
 option.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3569";>CVE-2014-3569</a>

<p>Quand OpenSSL est construit avec lâ??option « no-ssl3 » et quâ??un Hello dâ??un
client SSl v3 est reçu, la méthode serait réglée à NULL, ce qui pourrait plus
tard conduire à un déréférencement de pointeur NULL.</p>

<p>Veuillez noter que le paquet dans Debian nâ??est pas construit avec cette
 option.</p></li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans openssl,
version 0.9.8o-4squeeze18.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-81.data"
# $Id: dla-81.wml,v 1.4 2016/06/28 08:13:26 dogsleg Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>HD Moore de Rapid7 a découvert une attaque par lien symbolique dans Wget, un
utilitaire en ligne de commande pour récupérer des fichiers à lâ??aide de
HTTP, HTTPS ou FTP. La vulnérabilité permet de créer des fichiers arbitraires
dans le système de lâ??utilisateur lorsque Wget est exécuté en mode récursif sur
un serveur FTP malveillant. La création de fichier arbitraire peut forcer le
contenu de fichiers dâ??utilisateur ou permettre lâ??exécution à distance de code
avec les privilèges de lâ??utilisateur.</p>

<p>Cette mise à jour modifie les réglages par défaut dans Wget de façon quâ??il
ne crée plus de liens symboliques locaux, mais plutôt les suit et retrouve le
fichier pointé dans de telles récupérations.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans wget,
version 1.12-2.1+deb6u1.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-82.data"
# $Id: dla-82.wml,v 1.2 2016/04/08 20:32:22 djpig Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour de ffmpeg supprime la prise en charge de plus de cent
codecs, décodeurs et formats rarement utilisés de nos jours, pour lesquels la
prise en charge dans Squeeze est très probablement insuffisante, etc.</p>

<p>Cette mise à jour nâ??a pour but que la réduction de possibilité dâ??attaque.</p>

<p>Par ailleurs, ffmpeg nâ??est pas pris en charge dans Squeeze-lts, et une
quelconque utilisation avec des données non fiables est fortement déconseillée.
</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 4:0.5.10-1+deb6u1 de ffmpeg.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-83.data"
# $Id: dla-83.wml,v 1.2 2016/04/08 20:32:22 djpig Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Symeon Paraschoudis a découvert que la fonction curl_easy_duphandle() dans
cURL, une bibliothèque de transfert dâ??URL, contient un bogue pouvant conduire
à ce que libcurl finalement envoie des données sensibles non prévues pour envoi,
lors de la réalisation dâ??une opération POST HTTP.</p>

<p>Ce bogue nécessite que CURLOPT_COPYPOSTFIELDS et curl_easy_duphandle() soient
utilisés dans cet ordre, et quâ??ensuite le descripteur dédoublé soit utilisé pour
réaliser le POST HTTP. Lâ??outil en ligne de commande curl nâ??est pas concerné par
ce problème, nâ??utilisant pas cette séquence.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 7.21.0-2.1+squeeze10 de curl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-84.data"
# $Id: dla-84.wml,v 1.2 2016/04/08 20:32:22 djpig Exp $
Reply to: