[DDR] webwml://security/2002/dsa136.wml|dsa-137.wml
Bonjour à tous,
voici la traduction des deux dernières alertes de sécurité.
libmm et openssl.
Merci d'avance pour les relectures,
a+
--
Pierre Machard
<pmachard@tuxfamily.org> TuxFamily.org
<pmachard@techmag.net> techmag.net
+33 6 681 783 65 http://migus.tuxfamily.org/gpg.txt
GPG: 1024D/23706F87 : B906 A53F 84E0 49B6 6CF7 82C2 B3A0 2D66 2370 6F87
#use wml::debian::translation-check translation="1.2" maintainer="Pierre Machard"
<define-tag description>Plusieurs exploitations à distance</define-tag>
<define-tag moreinfo>
<p>L'équipe de développement d'OpenSSL a annoncé qu'un audit de
sécurité mené par A.L. Digital Ltd et The Bunker, à l'aide du programme
DARPA CHATS, avait révélé la possibilité d'un débordement de tampon
exploitable à distance dans le code d'OpenSSL. De plus, l'analyseur
ASN1 d'OpenSSL pourrait être la cible d'un attaque de type déni de
service ; faille qui a été découverte par Adi Stav et James Yonan.</p>
<p>D'après le CAN-2002-0655, les débordement de tampon serait dû à
au traitement des représentations d'entiers ASCII sur les plate-formes 64 bits.
Le CAN-2002-0656, indique que le débordement de tampon se situe
dans l'implémentation du serveur SSL2 (en envoyant une clé invalide au
serveur) et dans l'implémentation du client SSL3 (en envoyant un identifiant
trop large au client). L'histoire du SSL2 a aussi été rapportée par
Neohapsis, qui avait, en privé, montré le code pour exploiter cette faille.
Le CAN-2002-0659 référence le problème de l'analyseur ASN1.</p>
<p>Ces failles de sécurité ont été adressées pour Debian 3.0
(<i>Woody</i>) pour openssl094_0.9.4-6.woody.0, openssl095_0.9.5a-6.woody.0 et
openssl_0.9.6c-2.woody.0.</p>
<p>Ces failles sont également présentes dans Debian 2.2 (<i>Potato</i>),
mais aucune rustine n'est disponible pour le moment.</p>
<p>Nous vous recommandons de mettre à jour votre OpenSSL dès que possible.
Notez que vous devrez relancer tous les démons qui utilisent SSL. (Par exemple,
ssh ou un apache sur lequel ssh est activé.)</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-136.data"
#use wml::debian::translation-check translation="1.2" maintainer="Pierre Machard"
<define-tag description>Fichiers temporaires non-sécurisés</define-tag>
<define-tag moreinfo>
<p>Marcus Meissner et Sebastian Krahmer ont découvert et corrigé un fichier
temporaire vulnérable dans la bibliothèque de mémoire partagée mm.
Cette faille peut être utilisée pour obtenir un accès root sur une machine
sur laquelle Apache fonctionne ; Apache qui est relié à cette
bibliothèque si l'accès shell pour l'utilisateur « www-data »
est déjà disponible (ce qui peut aisément être provoqué au travers de
PHP).</p>
<p>Ce problème a été corrigé dans la version source 1.2.0 de mm, qui
sera mise à jour dans la distribution <i>unstable</i> lorsque ce bulletin
sera publié. Les paquets corrigés pour <i>Potato</i> (Debian 2.2)
et <i>Woody</i> (Debian 3.0) sont indiqués ci-dessous.</p>
<p>Nous vous recommandons de mettre à jour votre paquet libmm immédiatement
et de relancer votre serveur Apache.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-137.data"
Reply to: