Le 07/01/2011 13:11, JP Guillonneau a écrit : > Bonjour, > > suggestions. Intégrées, merci à toi et Étienne. Par avance merci pour vos dernières remarques. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Défaut de conception dans le protocole de renégociation SSL/TLS non sécurisé</define-tag> <define-tag moreinfo> <p> La DSA-2141 est composée de trois parties indépendantes, qui peuvent être consultées sur les archives de la liste de diffusion : <a href="http://lists.debian.org/debian-security-announce/2011/msg00001.html";>DSA 2141-1</a> (openssl), <a href="http://lists.debian.org/debian-security-announce/2011/msg00002.html";>DSA 2141-2</a> (nss), et <a href="http://lists.debian.org/debian-security-announce/2011/msg00003.html";>DSA 2141-3</a> (apache2). Cette page ne concerne que la première partie, openssl. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3555";>CVE-2009-3555</a> <p> Marsh Ray, Steve Dispensa, et Martin Rex ont découvert un défaut dans les protocoles TLS et SSLv3. Si un attaquant peut réaliser une attaque de l'homme du milieu (« man in the middle attack ») au début d'une connexion TLS, il peut injecter du contenu arbitraire au début de la session de l'utilisateur. Cette mise à jour ajoute la prise en charge rétroportée de la nouvelle extension de renégociation RFC5746 qui corrige le problème. </p> <p> Si openssl est utilisé dans une application de serveur, il n'acceptera plus par défaut la renégociation de clients qui ne gèrent pas l'extension de renégociation sécurisée RFC5746. Une annonce séparée ajoutera la prise en charge de la RFC5746 pour nss, la bibliothèque de sécurité utilisée par le navigateur iceweasel. Pour apache2, il y aura une mise à jour permettant la réactivation de la renégociation non sécurisée. </p> <p> Cette version d'openssl n'est pas compatible avec les plus anciennes versions de tor. Vous devez utiliser au moins la version 0.2.1.26-1~lenny+1 de tor, qui a été intégrée à la mise à jour mineure 5.0.7 de Debian stable. </p> <p> Nous ne sommes actuellement pas au courant d'autres logiciels avec des problèmes de compatibilité comparables. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-4180";>CVE-2010-4180</a> <p> De plus, cette mise à jour corrige un défaut qui permettait à un client de contourner les restrictions configurées sur le serveur pour l'ensemble de chiffrement utilisé. </p></li> </ul> <p> Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.9.8g-15+lenny11. </p> <p> Pour la distribution unstable (Sid), et la distribution testing (Squeeze), ce problème a été corrigé dans la version 0.9.8o-4. </p> <p> Nous vous recommandons de mettre à jour votre paquet openssl. </p> <p> De plus amples renseignements à propos des annonces de sécurité Debian, la méthode pour appliquer ces mises à jour sur votre système et les questions récurrentes peuvent être consultés en : <a href="$(HOME)/security/">http://www.debian.org/security/</a> </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2141.data"
Attachment:
signature.asc
Description: OpenPGP digital signature