[RFR] wml://security/2014/dsa-287{7.8.9}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,

Trois nouvelles annonces de sécurité viennent d'être publiées.
Merci d'avance pour vos relectures.

Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le serveur web lighttpd.</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2014-2323";>CVE-2014-2323</a>

<p>Jann Horn a découvert que des noms d'hôtes contrefaits pour l'occasion
peuvent être utilisés pour injecter des requêtes MySQL arbitraires dans
des serveurs lighttpd utilisant le module d'hôte virtuel de MySQL 
(mod_mysql_vhost).</p>

<p>Cela affecte seulement les installations où le paquet binaire
lighttpd-mod-mysql-vhost est installé et en service.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2014-2324";>CVE-2014-2324</a>

<p>Jann Horn a découvert que des noms d'hôtes contrefaits pour l'occasion
peuvent être utilisés pour traverser à l'extérieur du document racine,
dans certaines situations, dans les serveurs lighttpd utilisant les modules
d'hôte virtuel mod_mysql_vhost, mod_evhost ou mod_simple_vhost.</p>

<p>Les serveurs qui n'utilisent pas ces modules ne sont pas affectés.</p></li>

</ul>

<p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.4.28-2+squeeze1.6.</p>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.31-4+deb7u3.</p>

<p>Pour la distribution testing (Jessie), ces problèmes seront corrigés prochainement.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.4.33-1+nmu3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets lighttpd.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2877.data"
# $Id: dsa-2877.wml,v 1.1 2014/03/13 06:59:24 kaare Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Matthew Daley a découvert de multiples vulnérabilités dans VirtualBox,
une solution de virtualisation x86, qui provoquent des dénis de
service, des augmentations de droits ou des fuites d'informations.</p>

<p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.2.10-dfsg-1+squeeze2 du paquet source virtualbox-ose.</p>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 4.1.18-dfsg-2+deb7u2.</p>

<p>Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 4.3.6-dfsg-1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.3.6-dfsg-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets virtualbox.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2878.data"
# $Id: dsa-2878.wml,v 1.1 2014/03/13 15:43:46 gusnan-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>libssh, une petite bibliothèque C de SSH, ne réinitialise pas l'état
du générateur de nombres pseudo-aléatoire (PRNG) après avoir accepté une
connection. Une application en mode serveur qui se duplique pour gérer
des connexions entrante pourrait voir ses processus fils partager le même
état de PRNG, avec pour conséquence une faiblesse cryptographique et
éventuellement la récupération de la clef privée.</p>

<p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 0.4.5-3+squeeze2.</p>

<p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 0.5.4-1+deb7u1.</p>

<p>Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 0.5.4-3.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.5.4-3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libssh.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2879.data"
# $Id: dsa-2879.wml,v 1.1 2014/03/13 21:50:17 geissert Exp $