[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2014/dsa-3000.wml

Bonjour,

Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction.
Merci d'avance pour vos relectures.

Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans krb5, l'implémentation
du MIT de Kerberos. Le projet « Common Vulnerabilities and Exposures » (CVE)
identifie les problèmes suivants :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4341";>CVE-2014-4341</a>

<p>Un attaquant distant non authentifié avec la capacité d'injecter des
paquets dans une session d'application GSSAPI légitimement établie peut
provoquer un plantage du programme dû à des références de mémoire invalides
lors d'une tentative de lecture au-delà de la fin d'un tampon.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4342";>CVE-2014-4342</a>

<p>Un attaquant distant non authentifié avec la capacité d'injecter des
paquets dans une session d'application GSSAPI légitimement établie peut
provoquer un plantage du programme dû à des références de mémoire invalides
lors d'une lecture au-delà de la fin d'un tampon ou en causant un
déréférencement de pointeur NULL.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4343";>CVE-2014-4343</a>

<p>Un attaquant distant non authentifié avec la capacité d'usurper des
paquets qui apparaissent venir d'un accepteur GSSAPI peut provoquer
une condition de double libération de zone de mémoire dans des initiateurs
(clients) GSSAPI qui utilisent le mécanisme SPNEGO, en retournant un
mécanisme sous-jacent différent de celui proposé par l'initiateur. Un
attaquant distant pourrait exploiter ce défaut pour provoquer un plantage
d'application ou éventuellement exécuter du code arbitraire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4344";>CVE-2014-4344</a>

<p>Un attaquant distant non authentifié ou partiellement authentifié peut
provoquer un déréférencement de NULL et un plantage d'application pendant
une négociation SPNEGO en envoyant un jeton vide, comme jeton de second
contexte ou plus, de l'initiateur à l'accepteur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4345";>CVE-2014-4345</a>

<p>Quand kadmind est configuré pour utiliser LDAP pour la base de données
du KDC (centre de distribution de clé), un attaquant distant authentifié
peut lui faire réaliser une écriture hors limites (dépassement de tampon).</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.10.1+dfsg-5+deb7u2.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.12.1+dfsg-7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets krb5.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3000.data"
# $Id: dsa-3000.wml,v 1.1 2014/08/09 20:07:19 jipege1-guest Exp $
Reply to: