[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://security/2014/dsa-310{7,8}.wml

Bonjour,
Le 22/12/2014 20:51, jean-pierre giraud a écrit :

Bonjour,
Deux nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege
J'envoie les textes avec les corrections de Jean-Paul (et mes excuses pur l'oubli des pièces jointes dans le premier envoi) 
Pour de nouvelles relectures.
Amicalement
jipege

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le paquet ntp, une
implémentation du Network Time Protocol.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9293";>CVE-2014-9293</a>

<p>ntpd génère une clé faible à usage interne, avec les privilèges
d'administrateur complets. Des attaquants pourraient utiliser cette clé pour
reconfigurer ntpd (ou pour exploiter d'autres vulnérabilités).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9294";>CVE-2014-9294</a>

<p>L'utilitaire ntp-keygen générait des clés MD5 faibles avec une entropie
insuffisante.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9295";>CVE-2014-9295</a>

<p>ntpd avait plusieurs dépassements de tampon (à la fois dans la pile et dans
la section des données), permettant à des attaquants distants authentifiés de
faire planter ntpd ou éventuellement exécuter du code arbitraire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9296";>CVE-2014-9296</a>

<p>La fonction générale de traitement de paquet de ntpd ne traitait pas un cas
d'erreur correctement.</p></li>

</ul>

<p>La configuration par défaut de ntpd dans Debian restreint l'accès à
localhost (et éventuellement au réseau adjacent dans le cas d'IPv6).</p>

<p>Les clés générées explicitement par la commande « ntp-keygen -M » devraient
être régénérées.</p>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1:4.2.6.p5+dfsg-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ntp.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3108.data"
# $Id: dsa-3108.wml,v 1.2 2014/12/23 14:42:47 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Evgeny Kotkov a découvert un déréférencement de pointeur NULL lors du
traitement de requêtes REPORT dans mod_dav_svn, le composant de Subversion
qui est utilisé pour servir les répertoires avec le serveur web Apache. Un
attaquant distant pourrait abuser de cette vulnérabilité pour provoquer un
déni de service.</p>

<p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.6.17dfsg-4+deb7u7.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.8.10-5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets subversion.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3107.data"
# $Id: dsa-3107.wml,v 1.1 2014/12/22 19:49:25 jipege1-guest Exp $
Reply to: