[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[LCFC] wml://security/20{09/dsa-17,09/dsa-18,12/dsa-24}52.wml



Salut,

Le 16/04/2012 17:30, Thomas Vincent a écrit :
> Une suggestion

Intégrée, merci.

> indépendante de celles de Havok.

J'ai intégré les deux premières préférences personnelles à 1852, mais
pas les autres. Par avance merci pour vos dernières remarques.

Pour l'absence de majuscule à « web », je partage l'avis exprimé par
Simon il y a près de cinq ans [0].

  0 : https://lists.debian.org/debian-l10n-french/2007/10/msg00333.html

Amicalement

David

P.-S. : Havok, pas la peine d'envoyer de messages à tous les abonnés de
la liste comme « je ne l’avais pas vue celle-là » qui n'apportent
strictement rien.

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Configuration par défaut non sécurisée</define-tag>
<define-tag moreinfo>
<p>
Niels Heinen a remarqué un problème de sécurité avec la
configuration d'Apache par défaut dans Debian si certains
modules de script comme mod_php ou mod_rivet sont installés.

Le problème survient parce que le répertoire /usr/share/doc,
lié à l'URL /doc, pourrait contenir des scripts en exemple
pouvant être exécutés par des requêtes vers cette URL.

Bien que l'accès à l'URL /doc soit restreint aux connexions
depuis l'hôte local, cela peut poser des problèmes
de sécurité dans deux configurations particulières :
</p>

<ul>
<li>
si une quelconque interface de serveur sur le même hôte transfère les
connexions vers un serveur Apache 2 en arrière-plan vers l'adresse locale ;
</li>
<li>
si la machine exécutant Apache 2 est aussi utilisée pour naviguer sur le web.
</li>
</ul>

<p>
Les systèmes qui ne vérifient pas une de ces deux
conditions ne devraient pas être vulnérables.

L'impact de sécurité réel dépend des paquets (et par
conséquent des scripts en exemple) installés sur le système.

Script intersite, exécution de code ou fuite de
données sensibles font partie des problèmes possibles.
</p>

<p>
Cette mise à jour supprime les sections de configuration problématiques
des fichiers /etc/apache2/sites-available/default et â?¦/default-ssl.

Lors de la mise à niveau, vous ne devriez cependant pas
permettre à dpkg de remplacer ces fichiers aveuglément.

� la place, vous devriez fusionner les modifications, c'est-à-dire
la suppression de la ligne <q>Alias /doc "/usr/share/doc"</q>
et du bloc <q>&lt;Directory "/usr/share/doc/"&gt;</q>
relatif, dans ces fichiers de configuration.

Vous devriez aussi vérifier de ne pas avoir copié ces
sections dans d'autres configurations d'hôte virtuel.
</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.2.16-6+squeeze7.</p>

<p>Pour la distribution testing (Wheezy), ce problème sera corrigé dans la version 2.2.22-4.</p>

<p>Pour la distribution unstable (Sid), ce problème sera corrigé dans la version 2.2.22-4.</p>

<p>Pour la distribution experimental, ce problème a été corrigé dans la version 2.4.1-3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets apache2 et
d'ajuster votre configuration.
</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2012/dsa-2452.data"
# $Id: dsa-2452.wml,v 1.3 2012-04-18 12:48:46 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Validation des entrées insuffisante</define-tag>
<define-tag moreinfo>
<p>
Fetchmail, un utilitaire de récupération de courriers distants et de
transfert doté de nombreuses fonctionnalités, est vulnérable aux attaques de
préfixe NULL sur les certificats SSL et TLS (<q>Null Prefix Attacks Against
SSL/TLS Certificates</q>) publiées récemment lors de la conférence Blackhat.

Cela permet à un attaquant de réaliser des attaques non détectées
en homme au milieu à l'aide d'un certificat X.509 ITU-T contrefait
contenant un octet NULL injecté dans les champs subjectAltName ou Common Name.
</p>

<p>
Remarquez qu'en tant qu'utilisateur de Fetchmail, vous devriez toujours
utiliser une validation de certificat strict à l'aide d'une de ces combinaisons
d'options :
sslcertck ssl sslproto ssl3 (pour un service sur les ports empaquetés sur SSL)
ou
sslcertck sslproto tls1 (pour les services basés sur STARTTLS).
</p>


<p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 6.3.6-1etch2.</p>

<p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 6.3.9~rc2-4+lenny1.</p>

<p>Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 6.3.9~rc2-6.</p>


<p>Nous vous recommandons de mettre à jour vos paquets fetchmail.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1852.data"
# $Id: dsa-1852.wml,v 1.1 2009-08-07 15:43:52 nion Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>chaîne de formatage vulnérabilité</define-tag>
<define-tag moreinfo>
<p>
Wilfried Goesgens a découvert que WebCit, l'interface utilisateur web
au système de logiciel de groupe Citadel, contient une vulnérabilité
de chaîne de formatage dans le composant mini_calendar,
permettant éventuellement l'exécution de code arbitraire (<a
href="http://security-tracker.debian.org/tracker/CVE-2009-0364";>CVE-2009-0364</a>).
</p>

<p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 7.37-dfsg-7.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.38b-dfsg-2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets webcit.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1752.data"
# $Id: dsa-1752.wml,v 1.2 2010-12-17 14:39:31 taffit-guest Exp $

Attachment: signature.asc
Description: OpenPGP digital signature


Reply to: