[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://security/2012/dsa-2579.wml

Salut,

Le 01/12/2012 12:05, Baptiste a écrit :

> Voici trois propositions.

Intégrées (dont une deux fois), merci, à l'exception de la modification
de traduction de « man-in-the-middle » : l'« homme du milieu » me semble
un peu mafieux ;-).

Amicalement

David


#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Plusieurs problèmes</define-tag>
<define-tag moreinfo>
<p>
Une vulnérabilité a été découverte dans le serveur HTTPD Apache.</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4557";>CVE-2012-4557</a>
<p>
Un défaut a été découvert lorsque mod_proxy_ajp se connecte
à un serveur principal qui prend trop de temps à répondre.

� partir d'une configuration spécifique, un attaquant distant
pourrait envoyer certaines requêtes, placer un serveur principal
en état d'erreur jusqu'à l'expiration du délai de nouvel essai.

Cela pourrait conduire à un déni de service temporaire.
</p></li>

</ul>

<p>
De plus, cette mise à jour diminue aussi les
risques côté serveur pour le problème suivant.
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4929";>CVE-2012-4929</a>
<p>
En utilisant la compression de données SSL ou TLS avec HTTPS
dans une connexion à un serveur web, les attaquants en homme
au milieu pourraient obtenir les en-têtes HTTP en clair.

Ce problème est connu sous le nom d'attaque <q>CRIME</q>.

Cette mise à jour d'apache2 désactive la compression SSL par défaut.

Une nouvelle directive SSLCompression a été rétroportée pour
pouvoir réactiver la compression de données SSL dans les
environnements où l'attaque <q>CRIME</q> ne pose pas de problème.

Pour obtenir plus de renseignements, veuillez consulter la <a
href="http://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcompression";>\
documentation sur la directive SSLCompression</a>.
</p></li>

</ul>

<p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.2.16-6+squeeze10.</p>

<p>Pour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 2.2.22-12.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.2.22-12.</p>

<p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2012/dsa-2579.data"
# $Id: dsa-2579.wml,v 1.3 2012-12-01 16:16:12 taffit Exp $

Attachment: signature.asc
Description: OpenPGP digital signature

Reply to: