Salut, Une mise à jour de sécurité a été mise en ligne, et j'en ai traduit deux plus anciennes, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Autorité de certification compromise</define-tag> <define-tag moreinfo> <p> Plusieurs certificats SSL frauduleux ont été découverts dans la nature, émis par l'autorité de certification DigiNotar, obtenus à l'aide d'une faille de sécurité au sein de la société en question. Suite à plusieurs mises à jour à propos de cet incident, aucun certificat de signature émis par DigiNotar ne peut manifestement être considéré de confiance. Debian, comme d'autres distributeurs et vendeurs de logiciels, a décidé de ne plus faire confiance aux certificats racines de DigiNotar. Dans cette mise à jour, c'est réalisé dans la bibliothèques de cryptographie (un composant de la boîte à outils OpenSSL) en marquant ces certificats comme révoqués. Toutes les applications qui utilisent ce composant devraient maintenant rejeter les certificats signés par DigiNotar. Certaines applications pourraient permettre aux utilisateurs d'outrepasser cet échec de validation. Cependant, la mise en place d'exceptions est fortement déconseillée et devrait être soigneusement vérifiée. </p> <p> De plus, une vulnérabilité a été découverte dans le chiffrement ECDHE_ECDS où les attaques temporelles permettent de déterminer plus facilement les clefs privées. Le projet « Common Vulnerabilities and Exposures » l'identifie en tant que <a href="http://security-tracker.debian.org/tracker/CVE-2011-1945";>CVE-2011-1945</a>. </p> <p>Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 0.9.8g-15+lenny12.</p> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 0.9.8o-4squeeze2.</p> <p>Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.0e-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openssl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2309.data" # $Id: dsa-2309.wml,v 1.1 2011-09-13 23:55:57 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Deux problèmes de sécurité ont été découverts dans Ghostscript, l'interpréteur PostScript et PDF sous GPL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4897";>CVE-2009-4897</a> <p> Un débordement de mémoire tampon a été découvert, permettant aux attaquants distants d'exécuter du code arbitraire ou de provoquer un déni de service à l'aide d'un document PDF contrefait contenant un nom long. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1628";>CVE-2010-1628</a> <p> Dan Rosenberg a découvert que Ghostscript manipule incorrectement certains fichiers PostScript récursifs. Un attaquant pourrait exécuter du code arbitraire à l'aide d'un fichier PostScript contenant des invocations de procédure récursive sans limite, ce qui déclenche une corruption de mémoire dans la pile de l'interpréteur. </p></li> </ul> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 8.62.dfsg.1-3.2lenny5.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 8.71~dfsg2-4.</p> <p>Nous vous recommandons de mettre à jour votre paquet ghostscript.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2093.data" # $Id: dsa-2093.wml,v 1.2 2010-12-17 14:27:15 taffit-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans la bibliothèque de police FreeType. Le projet « Common Vulnerabilities et Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1797";>CVE-2010-1797</a> <p> Plusieurs débordements de mémoire tampon basé sur la pile dans la fonction cff_decoder_parse_charstrings de l'interpréteur CFF Type2 CharStrings dans cff/cffgload.c permettent aux attaquants distants d'exécuter du code arbitraire ou de provoquer un déni de service (corruption de mémoire) à l'aide de langage machine CFF contrefait dans les polices embarquées d'un document PDF, comme démontré par JailbreakMe. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-2541";>CVE-2010-2541</a> <p> Un débordement de mémoire tampon dans ftmulti.c du programme de démonstration ftmulti permet aux attaquants distants de provoquer un déni de service (plantage d'application) ou éventuellement exécuter du code arbitraire à l'aide d'un fichier de police contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-2805";>CVE-2010-2805</a> <p> La fonction FT_Stream_EnterFrame de base/ftstream.c ne vérifie pas correctement certaines valeurs de position. Cela permet aux attaquants distants de provoquer un déni de service (plantage d'application) ou éventuellement exécuter du code arbitraire à l'aide d'un fichier de police contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-2806";>CVE-2010-2806</a> <p> Une erreur d'index de tableau dans la fonction t42_parse_sfnts de type42/t42parse.c permet aux attaquants distants de provoquer un déni de service (plantage d'application) ou éventuellement exécuter du code arbitraire à l'aide de valeurs de taille négative pour certaines chaînes de fichiers de police FontType42, entraînant un débordement de mémoire tampon basée sur le tas. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-2807";>CVE-2010-2807</a> <p> FreeType utilises des types de données entières incorrectes lors de vérifications de limites, ce qui permet aux attaquants distants de provoquer un déni de service (plantage d'application) ou éventuellement exécuter du code arbitraire à l'aide d'un fichier de police contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-2808";>CVE-2010-2808</a> <p> Un débordement de mémoire tampon dans la fonction Mac_Read_POST_Resource de base/ftobjs.c permet aux attaquants distants de provoquer un déni de service (corruption de mémoire et plantage d'application) ou éventuellement exécuter du code arbitraire à l'aide d'un fichier de police Adobe Type 1 Mac (LWFN) contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3053";>CVE-2010-3053</a> <p> bdf/bdflib.c permet aux attaquants distants de provoquer un déni de service (plantage d'application) à l'aide d'un fichier de police BDF contrefait, lié à une tentative de modification de valeur dans une chaîne statique. </p></li> </ul> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.3.7-2+lenny3i.</p> <p>Pour la distribution unstable (Sid) et la distribution testing (Squeeze), ces problèmes ont été corrigés dans la version 2.4.2-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet freetype.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2105.data" # $Id: dsa-2105.wml,v 1.2 2010-12-17 14:27:19 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature