Le 31/10/2011 04:10, Thomas Vincent a écrit : > Le 31/10/2011 09:08, Thomas Vincent a écrit : >> Voici quelques corrections et suggestions pour les trois annonces. Merci, intégrées, vu le nombre de modifications, je renvoie les fichiers complets, et vous remercie d'avance pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Faiblesse de chiffrement XML</define-tag> <define-tag moreinfo> <p> Des problèmes ont été découverts dans le traitement du chiffrement XML de simpleSAMLphp, une application pour authentification fédérée. Les deux problèmes suivants ont été traités. </p> <p> Un fournisseur d'accès (SP) pourrait être utilisé comme un oracle pour décrypter des messages chiffrés envoyés à ce fournisseur d'accès. </p> <p> Un fournisseur d'accès (SP) pourrait être utilisé comme un oracle de clef ce qui permet de contrefaire des messages de ce fournisseur d'accès en envoyant entre 300 000 et 2 000 000 requêtes vers ce fournisseur d'accès. </p> <p>La distribution oldstable (Lenny) ne contient pas simplesamlphp.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.6.3-2.</p> <p>La distribution testing (Wheezy) sera corrigée prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.8.2-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets simplesamlphp.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2330.data" # $Id: dsa-2330.wml,v 1.3 2011-10-31 13:50:16 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Bartlomiej Balcerek a découvert plusieurs débordements de mémoire tampon dans le serveur TORQUE, un serveur de traitement par lots dérivé de PBS. Cela permet à un attaquant de planter le service ou exécuter du code arbitraire avec les droits du serveur à l'aide de tâches ou de noms d'hôte contrefaits. </p> <p>La distribution oldstable (Lenny) ne contient pas torque.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.4.8+dfsg-9squeeze1.</p> <p>Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 2.4.15+dfsg-1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.4.15+dfsg-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets torque.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2329.data" # $Id: dsa-2329.wml,v 1.2 2011-10-31 13:50:16 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs problèmes</define-tag> <define-tag moreinfo> <p> Un défaut de conception découvert dans les protocoles TLS et SSL permet à un attaquant d'injecter du contenu arbitraire au début d'une connexion TLS ou SSL. L'attaque est liée à la façon dont TLS et SSL gèrent les renégociations de session. <a href="http://security-tracker.debian.org/tracker/CVE-2009-3555";>CVE-2009-3555</a> a été affecté à cette vulnérabilité. </p> <p> Pour limiter en partie cette attaque, cette mise à jour d'apache2 désactive les renégociations initiées par le client. Cela devrait corriger la vulnérabilité pour la plupart des configurations d'Apache utilisées. </p> <p> <strong>Remarque</strong> : cela n'est pas une correction totale du problème. L'attaque est toujours possible dans les configurations où le serveur initie la renégociation. C'est le cas dans les configurations suivantes (les informations du journal de modification des paquets mis à jour sont légèrement imprécises) : </p> <ul> <li> la directive <q>SSLVerifyClient</q> est utilisée dans un contexte de Directory ou de Location ; </li> <li> la directive <q>SSLCipherSuite</q> est utilisée dans un contexte de Directory ou de Location. </li> </ul> <p> Pour contourner le problème, vous pourriez réarranger la configuration de façon à ce que SSLVerifyClient et SSLCipherSuite ne soient utilisés qu'au niveau du serveur ou de l'hôte virtuel. </p> <p> Une correction totale du problème nécessitera une modification du protocole. Plus de renseignements seront fournis dans une annonce séparée à propos de ce problème. </p> <p> De plus, cette mise à jour corrige les problèmes suivants dans mod_proxy_ftp d'Apache : </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3094";>CVE-2009-3094</a> <p> Une vérifications d'entrées manquante dans le module mod_proxy_ftp permettait aux serveurs FTP distants de provoquer un déni de service (déréférencement de pointeur NULL et plantage de processus fils) à l'aide d'une réponse contrefaite à une commande EPSV. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3095";>CVE-2009-3095</a> <p> Une vérification d'entrées manquante dans le module mod_proxy_ftp permettait aux attaquants non authentifiés de contourner les restrictions d'accès voulues et d'envoyer des commandes FTP arbitraires à un serveur FTP. </p></li> </ul> <p>Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version version 2.2.3-4+etch11.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.2.9-10+lenny6. Cette version contient aussi quelques correctifs de bogues non relatifs à la sécurité qui étaient prévus pour la prochaine mise à jour de stable (Debian 5.0.4). </p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes seront corrigés dans la version 2.2.14-2.</p> <p> Cette annonce fournit aussi les paquets apache2-mpm-itk qui ont été recompilés en cohérence avec les nouveaux paquets apache2. </p> <p> Les paquets apache2-mpm-itk mis à jour pour l'architecture armel ne sont pas encore prêts. Ils seront publiés dès qu'ils seront disponibles. </p> <p>Nous vous recommandons de mettre à jour vos paquets apache2 et apache2-mpm-itk.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1934.data" # $Id: dsa-1934.wml,v 1.2 2011-10-31 13:50:16 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature