[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2014/dsa-3053.wml

Bonjour,

Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction.
Merci d'avance pour vos relectures.

Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL, la bibliothèque
et la boîte à outils associée à SSL (Secure Socket Layer).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3513";>CVE-2014-3513</a>

<p>Un défaut de fuite de mémoire a été découvert dans la manière dont OpenSSL
analysait les données de l'extension <q>Secure Real-time Transport Protocol</q>
(SRTP) de DTLS. Un attaquant distant pourrait envoyer de multiples messages
d'initialisation contrefaits pour l'occasion pour épuiser toute la mémoire 
disponible d'un serveur SSL/TLS ou DTLS.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566";>CVE-2014-3566 ("POODLE")</a>

<p>Un défaut a été découverte dans la manière dont SSL 3.0 gérait les octets
de remplissage lors du décodage de messages chiffrés en utilisant un
chiffrement par bloc dans le mode enchaînement des blocs (<q>cipher block
chaining</q> - CBC). Ce défaut permet à un attaquant de type <q>homme du
milieu</q> (MITM) de décoder un octet choisi dans un texte chiffré en
seulement 256 tentatives s'il peut forcer une application victime à envoyer de
façon répétée les mêmes données sur des connexions SSL 3.0 renouvelées. </p>

<p>Cette mise à jour ajoute la gestion de Fallback SCSV (<q>Signaling Cipher
Suite Value</q>) pour réduire ce problème.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3567";>CVE-2014-3567</a>

<p>Un défaut de fuite de mémoire a été découvert dans la manière dont OpenSSL
gérait la vérification de l'intégrité des tickets de sessions en échec. Un
attaquant distant pourrait épuiser toute la mémoire disponible d'un serveur
SSL/TLS ou DTLS en lui envoyant un grand nombre de tickets de session invalide.
</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3568";>CVE-2014-3568</a>

<p>Quand OpenSSL est configuré avec l'option de construction « no-ssl3 », les
serveurs pourraient accepter et finaliser des initialisations de SSL 3.0, et
les clients pourraient être configurés pour les émettre.</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.0.1e-2+deb7u13.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.1j-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3053.data"
# $Id: dsa-3053.wml,v 1.1 2014/10/17 14:01:49 jipege1-guest Exp $
Reply to: