[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2012/dsa-2579.wml

Salut,

Une annonce de sécurité a été publiée, par avance merci pour vos relectures.

Amicalement

David



#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Plusieurs problèmes</define-tag>
<define-tag moreinfo>
<p>
Une vulnérabilité a été découverte dans le serveur HTTPD Apache.</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4557";>CVE-2012-4557</a>
<p>
Un défaut a été découvert lorsque mod_proxy_ajp se connecte
à un serveur moteur qui prend trop de temps à répondre.

� partir d'une configuration spécifique, un attaquant distant
pourrait envoyer certaines requêtes, placer un serveur moteur
en état d'erreur jusqu'à l'expiration du délai de réessai.

Cela pourrait conduire à un déni de service temporaire.
</p></li>

</ul>

<p>
De plus, cette mise à jour diminue aussi les
risques côté serveur pour le problème suivant.
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4929";>CVE-2012-4929</a>
<p>
En utilisant la compression de données SSL ou TLS avec HTTPS
dans une connexion à un serveur web, les attaquants en homme
au milieu pourraient obtenir les en-têtes HTTP en clair.

Ce problème est connu sous le nom d'attaque <q>CRIME</q>.

Cette mise à jour d'apache2 désactive la compression SSL par défaut.

Une nouvelle directive SSLCompression a été rétroportée pour
pouvoir réactiver la compression de données SSL dans les
environnements où l'attaque <q>CRIME</q> ne pose pas de problème.

Pour obtenir plus de renseignements, veuillez consulter la <a
href="http://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcompression";>\
documentation sur la directive SSLCompression</a>.
</p></li>

</ul>

<p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.2.16-6+squeeze10.</p>

<p>Pour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 2.2.22-12.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.2.22-12.</p>

<p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2012/dsa-2579.data"
# $Id: dsa-2579.wml,v 1.1 2012-11-30 14:04:56 taffit Exp $

Attachment: signature.asc
Description: OpenPGP digital signature

Reply to: