[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2014/dsa-299{3,4}.wml

Bonjour,

Deux nouvelles annonces de sécurité ont été publiées. En voici une
traduction. Merci d'avance pour vos relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans nss, la bibliothèque <q>Network
Security Service</q> de Mozilla :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1741";>CVE-2013-1741</a>

<p>Un emballement de memset dans l'analyse de certificats sur les machines 
64 bits mène à un plantage en tentant d'écrire 4 Go de caractères nuls.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-5606";>CVE-2013-5606</a>

<p>Une validation de certificat avec mode vérification de journal ne retourne
pas les erreurs de validation, mais attend plutôt que les applications
déterminent l'état en regardant dans le journal.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1491";>CVE-2014-1491</a>

<p>Contournement des mécanismes de protection de traitement de ticket à cause
de l'absence de limitation des valeurs publiques dans les échanges de clés
Diffie-Hellman.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1492";>CVE-2014-1492</a>

<p>Une correspondance incorrecte des noms de domaine IDNA pour les certificats
multiples pourrait permettre à des certificats invalides, contrefaits pour
l'occasion, d'être considérés comme valides.</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2:3.14.5-1+deb7u1.</p>

<p>Pour la distribution testing (Jessie) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2:3.16-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nss.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2994.data"
# $Id: dsa-2994.wml,v 1.1 2014/07/31 23:58:20 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>>Plusieurs problèmes ont été découverts dans Tor, un système de
communication anonyme à faible latence, basé sur les connexions, résultant en
des fuites d'informations.</p>

<ul>
<li><p>Les cellules de relais d'entrée pourraient être utilisées en
connivence avec des relais sur le réseau pour marquer les circuits des
utilisateurs et ainsi mettre en Å?uvre des attaques de confirmation de trafic
[<a href="https://security-tracker.debian.org/tracker/CVE-2014-5117";>CVE-2014-5117</a>]. La version mise à jour émet un avertissement et abandonne le
circuit à la réception des cellules de relais d'entrée, empêchant ce type
particulier d'attaque. Veuillez consulter l'alerte suivante pour plus de
détail sur ce problème :</p>

<p><a href="https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attaque";>\
https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attaque</a></p>
</li>

<li><p>Un bogue dans les vérifications de limites dans l'implémentation
32 bits de curve25519-donna pourrait entraîner des résultats incorrects sur
les implémentations 32 bits lorsque certaines entrées malformées sont
utilisées avec une petite classe de clés privées ntor. Ce défaut ne paraît
pas actuellement permettre à un attaquant de prendre connaissance de clés
privées ou d'usurper un serveur Tor, mais il pourrait fournir un moyen de
distinguer les implémentations 32 bits de Tor des implémentations 64 bits.</p></li>
</ul>

<p>Les améliorations suivantes, concernant la sécurité, ont aussi été 
implémentées :</p>

<ul>
<li><p>Côté client, la nouvelle version va effectivement cesser d'utiliser les
cellules CREATE_FAST. Même si cela ajoute une charge de calcul sur le réseau,
cette approche peut améliorer la sécurité dans les connexions où l'initiation
de connexion de circuit de Tor est plus solide que les niveaux de sécurité
disponibles des connexions TLS.</p></li>

<li><p>Préparation des clients à utiliser moins de nÅ?uds gardiens d'entrée en
respectant les paramètres de consensus. L'article suivant fournit quelques
informations :</p>

<p><a href="https://blog.torproject.org/blog/improving-tors-anonymity-changing-guard-parameters";>\
https://blog.torproject.org/blog/improving-tors-anonymity-changing-guard-parameters</a></p>
 </li>
</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 0.2.4.23-1~deb7u1.</p>

<p>Pour la distribution testing (Jessie) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.2.4.23-1.</p>

<p>Pour la distribution experimental, ces problèmes ont été corrigés dans la version 0.2.5.6-alpha-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tor.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2993.data"
# $Id: dsa-2993.wml,v 1.1 2014/07/31 23:58:20 jipege1-guest Exp $
Reply to: