[LCFC] wml://security/2013/dsa-2643.wml

To: debian-l10n-french@lists.debian.org
Subject: [LCFC] wml://security/2013/dsa-2643.wml
From: David Prévot <david@tilapin.org>
Date: Mon, 18 Mar 2013 11:37:51 -0400
Message-id: <[🔎] 514734CF.4060602@tilapin.org>
In-reply-to: <[🔎] CAOy+up5zDtZwf35YODgvQp1+TMo1grAz_cSHVGmcsS-wCPWnnQ@mail.gmail.com>
References: <[🔎] 513FE771.7060701@tilapin.org> <[🔎] CAOy+up5zDtZwf35YODgvQp1+TMo1grAz_cSHVGmcsS-wCPWnnQ@mail.gmail.com>

Salut,

Le 14/03/2013 17:24, Stéphane Blondon a écrit :
> Le 13 mars 2013 03:41, David Prévot <david@tilapin.org> a écrit :

> Ligne 34 : « point de fin » est une traduction classique pour « endpoint » ?
> Je ne sais pas vraiment par quoi le remplacer (terminaison ?

Adopté, merci, et merci d’avance pour vos dernières remarques.

Amicalement

David

#use wml::debian::translation-check translation="1.3" maintainer="David PrÃ©vot"
<define-tag description>Plusieurs vulnÃ©rabilitÃ©s</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnÃ©rabilitÃ©s ont Ã©tÃ© dÃ©couvertes dans Puppet,
un systÃ¨me centralisÃ© de gestion de configuration.
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1640";>CVE-2013-1640</a>
<p>
Un client authentifiÃ© malveillant pourrait demander son catalogue
au maÃ®tre Puppet et le forcer Ã  exÃ©cuter du code arbitraire.
Le maÃ®tre Puppet doit Ãªtre fait pour invoquer les fonctions <q>template</q>
ou <q>inline_template</q> lors de la compilation du catalogue.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1652";>CVE-2013-1652</a>
<p>
Un client authentifiÃ© malveillant pourrait rÃ©cupÃ©rer des catalogues
du maÃ®tre Puppet auxquels il nâ??est pas autorisÃ© Ã  accÃ©der.
Ã? partir d'un certificat et d'une clef privÃ©e valable, une requÃªte HTTP GET
pourrait Ãªtre construite pour renvoyer un catalogue Ã  un client arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1653";>CVE-2013-1653</a>
<p>
Un client authentifiÃ© malveillant pourrait exÃ©cuter du code
arbitraire sur des agents Puppet acceptant les connexions kick.
Les agents Puppet ne sont pas vulnÃ©rables dans leur configuration par dÃ©faut.
Cependant, si un agent Puppet est configurÃ© pour Ã©couter les connexions
entrantes, par exemple listen = true, et que l'auth.conf de l'agent permet
d'accÃ©der Ã  la terminaison (<q>endpoint</q>) REST
<q>run</q>, alors un client authentifiÃ© peut
construire une requÃªte HTTP PUT pour exÃ©cuter du code arbitraire sur l'agent.
Ce problÃ¨me est d'autant plus important que les agents
sont normalement exÃ©cutÃ©s en tant que superutilisateur.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1654";>CVE-2013-1654</a>
<p>
Un bogue dans Puppet permet aux connexions d'Ãªtre dÃ©classÃ©es en
SSLv2, connu pour contenir des faiblesses de dÃ©faut de conception.
Cela affecte les connexions SSL entre agents et maÃ®tre Puppet, ainsi que les
connexions faites par les agents Puppet aux
serveurs tiers qui acceptent les connexions SSLv2.
Remarquez que SSLv2 est dÃ©sactivÃ© depuis OpenSSLÂ 1.0.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1655";>CVE-2013-1655</a>
<p>
Un client non authentifiÃ© malveillant pourrait envoyer des requÃªtes
au maÃ®tre Puppet et lui faire charger du code de faÃ§on non sÃ©curisÃ©e.
Ã?a ne concerne que les utilisateurs dont les maÃ®tres
Puppet fonctionnent avec RubyÂ 1.9.3 et au-delÃ .
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2274";>CVE-2013-2274</a>
<p>
Un client non authentifiÃ© malveillant pourrait exÃ©cuter du code
arbitraire sur le maÃ®tre Puppet dans sa configuration par dÃ©faut.
Ã? partir d'un certificat et d'une clef privÃ©e valable, un client peut
construire une requÃªte HTTP PUT autorisÃ©e Ã  sauver le propre rapport
du client, mais forcer le maÃ®tre Puppet Ã  exÃ©cuter du code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2275";>CVE-2013-2275</a>
<p>
L'auth.conf par dÃ©faut permet Ã  un nÅ?ud authentifiÃ© de soumettre un rapport
pour n'importe quel autre nÅ?ud, ce qui pose un problÃ¨me de conformitÃ©.
Il a Ã©tÃ© rendu plus restrictif par dÃ©faut pour qu'un
nÅ?ud ne soit autorisÃ© qu'Ã  sauver ses propres rapports.
</p></li>

</ul>

<p>Pour la distribution stable (Squeeze), ces problÃ¨mes ont Ã©tÃ© corrigÃ©s dans la versionÂ 2.6.2-5+squeeze7.</p>

<p>Pour la distribution testing (Wheezy), ces problÃ¨mes ont Ã©tÃ© corrigÃ©s dans la versionÂ 2.7.18-3.</p>

<p>Pour la distribution unstable (Sid), ces problÃ¨mes ont Ã©tÃ© corrigÃ©s dans la versionÂ 2.7.18-3.</p>

<p>Nous vous recommandons de mettre Ã  jour vos paquets puppet.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2643.data"
# $Id: dsa-2643.wml,v 1.2 2013-03-14 22:35:18 taffit Exp $

Attachment: signature.asc
Description: OpenPGP digital signature

Reply to:

Follow-Ups:
- [DONE] wml://security/2013/dsa-2643.wml
  - From: David Prévot <david@tilapin.org>

References:
- [RFR] wml://security/2013/dsa-2643.wml
  - From: David Prévot <david@tilapin.org>
- Re: [RFR] wml://security/2013/dsa-2643.wml
  - From: Stéphane Blondon <stephane.blondon@gmail.com>

Prev by Date: Re: [RFR] po4a://manpages-fr-extra/openssl/BN_{add_word,bn2bin,rand,zero}.pod.po
Next by Date: [RFR5] wml://vote/2013/platforms/moray.wml
Previous by thread: Re: [RFR] wml://security/2013/dsa-2643.wml
Next by thread: [DONE] wml://security/2013/dsa-2643.wml
Index(es):
- Date
- Thread