Le vendredi 09 septembre 2005 à 18:12 +0900, Charles Plessy a écrit : > On Fri, Sep 09, 2005 at 10:30:47AM +0200, Simon Paillard wrote : > > Voici les traductions des annonces de sécurité 805 et 806, > > respectivement pour apache2 et gcvs. > > > > Merci pour les relectures. > > En voici une sommaire : > > > utiliser pour provoquer un déni de service.</p> > utilisé Corrigé dans la 805. > > <p>Marcus Meissner a découvert que le programme cvsbug du paquet gcvs, une > > interface graphique à CVS, le populaire gestionnaire de versions, utilisait des > > fichiers temporaires d'une manière non sécurisée.</p> > > Je trouve la phrase un peu lourde, mais les originaux sont lourds aussi > (je ne sais pas d'où vient cette manie de rajouter une apposition > bardée d'épithètes) > > Je propose : > > > <p>Marcus Meissner a découvert que le programme cvsbug du paquet gcvs, une > > interface graphique à CVS (gestionnaire de versions), ne protégeait > > pas ses fichiers temporaires.</p> J'ai repris ta formulation. -- Simon Paillard <simon.paillard@resel.enst-bretagne.fr>
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Vulnérabilité distante</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes ont été découverts dans Apache 2, le serveur web de prochaine génération, évolutif et souple. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :</p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1268">CAN-2005-1268</a> <p>Marc Stern a découvert une erreur due à un décalage d'entier dans la fonction de retour qui vérifie la liste de révocation des certificats (<i>Certificate Revocation List (CRL)</i>) dans mod_ssl. Lorsqu'Apache était configuré pour utiliser un « CRL », cela pouvait être utilisé pour provoquer un déni de service.</p> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2088">CAN-2005-2088</a> <p>Une vulnérabilité a été découverte dans le serveur web Apache. Lorsqu'Apache agissait en mandataire (« proxy ») HTTP, les attaquants distants pouvaient polluer le cache web, contourner les protections par pare-feu web applicatif et conduire des attaques de scripts sur les éléments dynamiques (<i>cross-site scripting</i>), empêchant Apache de correctement gérer et transmettre la requête.</p> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2700">CAN-2005-2700</a> <p>Un problème a été découvert dans mod_ssl, fournissant du chiffrage fort (gestion de HTTPS), qui permettait aux attaquants distants de contourner les restrictions d'accès.</p> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2728">CAN-2005-2728</a> <p>Le filtre décodant l'option « Range » dans Apache 2.0 permettait aux attaquants distants de provoquer un déni de service en utilisant un en-tête HTTP avec un champ « Range » de taille conséquente.</p> </ul> <p>L'ancienne distribution stable (<i>Woody</i>) ne contient pas de paquet Apache 2.</p> <p>Pour l'actuelle distribution stable (<i>Sarge</i>), ces problèmes ont été corrigés dans la version 2.0.54-5.</p> <p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés dans la version 2.0.54-5.</p> <p>Nous vous recommandons de mettre à jour vos paquets apache2.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-805.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard" <define-tag description>Fichiers temporaires non sécurisés</define-tag> <define-tag moreinfo> <p>Marcus Meissner a découvert que le programme cvsbug du paquet gcvs, une interface graphique à CVS (gestionnaire de versions), ne protégeait pas ses fichiers temporaires.</p> <p>Pour l'ancienne distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 1.0a7-2woody1.</p> <p>Pour l'actuelle distribution stable (<i>Sarge</i>), ce problème a été corrigé dans la version 1.0final-5sarge1.</p> <p>Pour la distribution instable (<i>Sid</i>), le paquet gcvs ne contient plus le programme cvsbug.</p> <p>Nous vous recommandons de mettre à jour votre paquet gcvs.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-806.data"
Attachment:
signature.asc
Description: This is a digitally signed message part