Bonjour, Dixit David Prévot, le 20/11/2013 : >Avec le retour d’alioth, plusieurs annonces de sécurité ont été >publiées, en voici deux Pareil, je me lance. Merci d'avance pour vos relectures. Baptiste
#use wml::debian::translation-check translation="1.3" maintainer="Baptiste Jammet" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans le serveur web lighttpd.</p> <p>Les connexions SSL avec les certificats clients ont arrêté de fonctionner après la mise à jour de lighttpd liée à la DSA-2795-1. Un patch de l'équipe amont a maintenant été appliqué, qui fournit un indentifiant approprié pour la vérification du certificat client.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4508";>CVE-2013-4508</a> <p> lighttpd utilise un chiffrement ssl faible lorsque SNI (<q>Server Name Indication</q>) est activé. Ce problème a été résolu en s'assurant que des chiffrements ssl plus forts sont utilisés lorsque SNI est choisi.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4559";>CVE-2013-4559</a> <p>L'analiseur statique clang a été utilisé pour découvrir un problème d'augmentation de droits lié à l'absence de vérifications des appels setuid, setgid, et setgroups de lighttpd. Ceux-ci sont maintenant correctement vérifiés.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4560";>CVE-2013-4560</a> <p>L'analiseur statique clang a été utilisé pour découvrir un problème d'utilisation de mémoire après libération lorsque le cache FAM stat est activé, ce qui est maintenant résolu.</p></li> </ul> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.4.28-2+squeeze1.5.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.31-4+deb7u2.</p> <p>Pour la distribution testing (Jessie), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version lighttpd_1.4.33-1+nmu1.<p> <p>Pour la distribution testing (Jessie) et unstable (Sid), les problèmes de régressions seront corrigés prochainement..</p> <p>Nous vous recommandons de mettre à jour vos paquets lighttpd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2795.data" # $Id: dsa-2795.wml,v 1.1 2013/11/22 18:32:55 baptiste-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Baptiste Jammet" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans Icedove, la version de Debian du client de messagerie et de nouvelles Mozilla Thunderbird. Plusieurs erreurs de sécurité de la mémoire et dépassements de tampon pourraient conduire à l'exécution de code arbitraire.</p> <p>La version d'Icedove dans la distribution oldstable (Squeeze) n'est plus prise en charge par des mises à jour de sécurité. Cependant, il est à noter que presque tous les problèmes de sécurité d'Icedove proviennent du moteur de navigation inclus. Ces problèmes de sécurité n'affectent Icedove que si les scripts et courriels en HTML sont activés. S'il existe des problèmes de sécurité spécifiques à Icedove (comme un hypothétique dépassement de tampon dans l'implémentation d'IMAP), nous nous efforcerons de rétroporter les correctifs dans oldstable.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 17.0.10-1~deb7u1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 17.0.10-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets icedove.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2797.data" # $Id: dsa-2797.wml,v 1.1 2013/11/22 18:32:55 baptiste-guest Exp $
Attachment:
signature.asc
Description: PGP signature