[ddr2] webwml:/security/2002/dsa-18[78].wml
Bonjour à tous,
J'envoie les fichiers après la relecture de Christian et les conseils de
joey pour la traduction.
Merci de vos relectures, Thomas.
<define-tag description>Plusieurs failles</define-tag>
<define-tag moreinfo>
<p>Selon David Wagner, iDEFENSE et le Projet Apache HTTP Server,
plusieurs failles exploitables à distance ont été trouvées dans le paquet
Apache, un serveur web très répandu. Ces vulnérabilités permettraient à un
attaquant de mettre hors service le serveur ou bien d'exécuter une attaque
via les scripts utilisés. Le projet <i>Common Vulnerabilities and Exposures</i>
(CVE) a identifié les failles suivantes :</p>
<ol>
<li>CAN-2002-0839 : Une faille existe sur les plates-formes utilisant
les afficheurs basés sur la mémoire partagée à la System V. Cette faille
permet à un attaquant qui peut avoir accès à l'UID d'Apache d'exploiter
le format de cet afficheur et d'envoyer un signal à n'importe quel
processus en tant que <i>root</i> ou de causer un déni de service ;</li>
<li>CAN-2002-0840 : Apache est susceptible d'être vulnérable à une
attaque sur les éléments dynamiques de la page 404 par défaut de n'importe
quel serveur web hébergé par un domaine qui autorise la résolution de DNS
avec des caractères joker ;</li>
<li>CAN-2002-0843 : Il y a quelques débordements de mémoire dans
l'utilitaire ApacheBench (ab) qui pourraient être utilisé par un serveur
malveillant ;</li>
<li>CAN-2002-1233 : Une condition d'exécution dans les programmes
htpasswd et htdigest permet à un utilisateur local de lire voire même
de modifier le contenu d'un fichier de mots de passe ou facilement créer
et écraser des fichiers appartenant à la personne qui fait tourner le
programme htpasswd (ou htdigest respectivement) ;</li>
<li>CAN-2001-0131 : htpasswd et htdigest dans Apache 2.0a9, 1.3.14
et autres permettent aux utilisateurs locaux d'écraser des fichiers de
manière arbitraire par une attaque à base de liens symboliques.
<p>Ceci est la même faille que celle de CAN-2002-1233, qui a déjà été
corrigée dans <i>Potato</i> mais elle fut perdue et donc jamais appliquée
dans le source original ;</p></li>
<li>NO-CAN : Plusieurs débordements de tampon ont été trouvé dans
l'utilitaire ApacheBench (ab) qui pourraient être exploités par un serveur
distant en renvoyant des chaînes de caractère très longues.</li>
</ol>
<p>Ces problèmes ont été corrigés dans la version 1.3.26-0woody3 pour
l'actuelle distribution stable (<i>Woody</i>) et dans celle 1.3.9-14.3
pour l'ancienne distribution stable (<i>Potato</i>). Les paquets corrigés
pour la distribution instable (<i>Sid</i>) seront bientôt prêts.</p>
<p>Nous recommandons de mettre à jour votre paquet Apache immédiatement.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-187.data"
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Plusieurs failles</define-tag>
<define-tag moreinfo>
<p>Selon David Wagner, iDEFENSE et le Projet Apache HTTP Server,
plusieurs failles exploitables à distance ont été trouvées dans le paquet
Apache, un serveur web très répandu. Une grande partie du code est
identique dans les paquets Apache et Apache-SSL. Donc il en est de
même avec les failles. Ces vulnérabilités permettraient à un
attaquant de mettre hors service le serveur, d'exécuter une attaque
via les scripts utilisés ou bien de voler des témoins
(<i>cookie</i>) des autres utilisateurs du site web.
Les failles de htdigest, htpasswd et ApacheBench, autres programmes inclus
de base, peuvent être exploitées lors d'un appel CGI. De plus, la création de
fichier temporaire non-sécurisée dans htdigest et htpasswd peut aussi
être exploitée localement. Le projet <i>Common Vulnerabilities and
Exposures</i> (CVE) a identifié les failles suivantes :</p>
<ol>
<li>CAN-2002-0839 : Une faille existe sur les plates-formes utilisant
les afficheurs basés sur la mémoire partagée à la System V. Cette faille
permet à un attaquant qui peut avoir accès à l'UID d'Apache d'exploiter
le format de cet afficheur et d'envoyer un signal à n'importe quel
processus en tant que <i>root</i> ou de causer un déni de service ;</li>
<li>CAN-2002-0840 : Apache est susceptible d'être vulnérable à une
attaque sur les éléments dynamiques de la page 404 par défaut de n'importe
quel serveur web hébergé par un domaine qui autorise la résolution de DNS
avec des caractères joker ;</li>
<li>CAN-2002-0843 : Il y a quelques débordements de mémoire dans
l'utilitaire ApacheBench (ab) qui pourraient être utilisé par un serveur
malveillant ;</li>
<li>CAN-2002-1233 : Une condition d'exécution dans les programmes
htpasswd et htdigest permet à un utilisateur local de lire voire même
de modifier le contenu d'un fichier de mots de passe ou facilement créer
et écraser des fichiers appartenant à la personne qui fait tourner le
programme htpasswd (ou htdigest respectivement) ;</li>
<li>CAN-2001-0131 : htpasswd et htdigest dans Apache 2.0a9, 1.3.14
et autres permettent aux utilisateurs locaux d'écraser des fichiers de
manière arbitraire par une attaque à base de liens symboliques.
<p> Ceci est la même faille que celle de CAN-2002-1233, qui a déjà été
corrigée dans <i>Potato</i> mais elle fut perdue et donc jamais appliquée
dans le source original ;</p></li>
<li>NO-CAN : Plusieurs débordements de tampon ont été trouvé dans
l'utilitaire ApacheBench (ab) qui pourraient être exploités par un serveur
distant en renvoyant des chaînes de caractère très longues
(les paquets binaires ne sont pas fournis avec appache-ssl cependant).</li>
</ol>
<p>Ces problèmes ont été corrigés dans la version 1.3.26.1+1.48-0woody3
pour l'actuelle distribution stable (<i>Woody</i>) et dans
celle 1.3.9.13-4.2 pour l'ancienne distribution stable (<i>Potato</i>).
Les paquets corrigés pour la distribution instable (<i>Sid</i>) seront
bientôt prêts.</p>
<p>Nous recommandons de mettre à jour votre paquet Apache-SSL
immédiatement.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-188.data"
#use wml::debian::translation-check translation="1.3" maintainer="DFS Task Force"
Reply to: