Le vendredi 09 septembre 2005 à 18:12 +0900, Charles Plessy a écrit : > On Fri, Sep 09, 2005 at 10:30:47AM +0200, Simon Paillard wrote : > > Voici les traductions des annonces de sécurité 805 et 806, > > respectivement pour apache2 et gcvs. > > > > Merci pour les relectures. > > En voici une sommaire : > > > utiliser pour provoquer un déni de service.</p> > utilisé Corrigé dans la 805. > > <p>Marcus Meissner a découvert que le programme cvsbug du paquet gcvs, une > > interface graphique à CVS, le populaire gestionnaire de versions, utilisait des > > fichiers temporaires d'une manière non sécurisée.</p> > > Je trouve la phrase un peu lourde, mais les originaux sont lourds aussi > (je ne sais pas d'où vient cette manie de rajouter une apposition > bardée d'épithètes) > > Je propose : > > > <p>Marcus Meissner a découvert que le programme cvsbug du paquet gcvs, une > > interface graphique à CVS (gestionnaire de versions), ne protégeait > > pas ses fichiers temporaires.</p> J'ai repris ta formulation. -- Simon Paillard <simon.paillard@resel.enst-bretagne.fr>
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Vulnérabilité distante</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans Apache 2, le serveur web de
prochaine génération, évolutif et souple. Le projet « Common
Vulnerabilities and Exposures » a identifié les problèmes
suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1268";>CAN-2005-1268</a>
<p>Marc Stern a découvert une erreur due à un décalage d'entier dans la
fonction de retour qui vérifie la liste de révocation des certificats
(<i>Certificate Revocation List (CRL)</i>) dans mod_ssl. Lorsqu'Apache
était configuré pour utiliser un « CRL », cela pouvait être
utilisé pour provoquer un déni de service.</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2088";>CAN-2005-2088</a>
<p>Une vulnérabilité a été découverte dans le serveur web Apache.
Lorsqu'Apache agissait en mandataire (« proxy ») HTTP, les
attaquants distants pouvaient polluer le cache web, contourner les
protections par pare-feu web applicatif et conduire des attaques de scripts
sur les éléments dynamiques (<i>cross-site scripting</i>), empêchant Apache
de correctement gérer et transmettre la requête.</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2700";>CAN-2005-2700</a>
<p>Un problème a été découvert dans mod_ssl, fournissant du chiffrage fort
(gestion de HTTPS), qui permettait aux attaquants distants de contourner
les restrictions d'accès.</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2728";>CAN-2005-2728</a>
<p>Le filtre décodant l'option « Range » dans Apache 2.0
permettait aux attaquants distants de provoquer un déni de service en
utilisant un en-tête HTTP avec un champ « Range » de taille
conséquente.</p>
</ul>
<p>L'ancienne distribution stable (<i>Woody</i>) ne contient pas de paquet
Apache 2.</p>
<p>Pour l'actuelle distribution stable (<i>Sarge</i>), ces problèmes ont été
corrigés dans la version 2.0.54-5.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés
dans la version 2.0.54-5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-805.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard" <define-tag description>Fichiers temporaires non sécurisés</define-tag> <define-tag moreinfo> <p>Marcus Meissner a découvert que le programme cvsbug du paquet gcvs, une interface graphique à CVS (gestionnaire de versions), ne protégeait pas ses fichiers temporaires.</p> <p>Pour l'ancienne distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 1.0a7-2woody1.</p> <p>Pour l'actuelle distribution stable (<i>Sarge</i>), ce problème a été corrigé dans la version 1.0final-5sarge1.</p> <p>Pour la distribution instable (<i>Sid</i>), le paquet gcvs ne contient plus le programme cvsbug.</p> <p>Nous vous recommandons de mettre à jour votre paquet gcvs.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-806.data"
Attachment:
signature.asc
Description: This is a digitally signed message part