Salut, Une annonce de sécurité a été publiée, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs problèmes</define-tag> <define-tag moreinfo> <p> Une vulnérabilité a été découverte dans le serveur HTTPD Apache.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4557">CVE-2012-4557</a> <p> Un défaut a été découvert lorsque mod_proxy_ajp se connecte à un serveur moteur qui prend trop de temps à répondre. � partir d'une configuration spécifique, un attaquant distant pourrait envoyer certaines requêtes, placer un serveur moteur en état d'erreur jusqu'à l'expiration du délai de réessai. Cela pourrait conduire à un déni de service temporaire. </p></li> </ul> <p> De plus, cette mise à jour diminue aussi les risques côté serveur pour le problème suivant. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4929">CVE-2012-4929</a> <p> En utilisant la compression de données SSL ou TLS avec HTTPS dans une connexion à un serveur web, les attaquants en homme au milieu pourraient obtenir les en-têtes HTTP en clair. Ce problème est connu sous le nom d'attaque <q>CRIME</q>. Cette mise à jour d'apache2 désactive la compression SSL par défaut. Une nouvelle directive SSLCompression a été rétroportée pour pouvoir réactiver la compression de données SSL dans les environnements où l'attaque <q>CRIME</q> ne pose pas de problème. Pour obtenir plus de renseignements, veuillez consulter la <a href="http://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcompression">\ documentation sur la directive SSLCompression</a>. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.2.16-6+squeeze10.</p> <p>Pour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 2.2.22-12.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.2.22-12.</p> <p>Nous vous recommandons de mettre à jour vos paquets apache2.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2579.data" # $Id: dsa-2579.wml,v 1.1 2012-11-30 14:04:56 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature