[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR3] wml://security/2014/dsa-3053.wml

Bonjour,
Le 25/10/2014 13:36, Baptiste Jammet a écrit :

Bonjour,

Dixit jean-pierre giraud, le 25/10/2014 :


Pour une nouvelle relecture.


Un détail.

Baptiste

C'est corrigé, merci
Pour une autre relecture
Amicalement
jipege


#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL, la bibliothèque
et la boîte à outils associées à SSL (Secure Socket Layer).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3513";>CVE-2014-3513</a>

<p>Un défaut de fuite de mémoire a été découvert dans la manière dont OpenSSL
analysait les données de l'extension <q>Secure Real-time Transport Protocol</q>
(SRTP) de DTLS. Un attaquant distant pourrait envoyer de multiples messages
d'initialisation contrefaits pour l'occasion pour épuiser toute la mémoire 
disponible d'un serveur SSL/TLS ou DTLS.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566";>CVE-2014-3566 ("POODLE")</a>

<p>Un défaut a été découvert dans la manière dont SSL 3.0 gérait les octets
de remplissage lors du décodage de messages chiffrés en utilisant un
chiffrement par bloc dans le mode enchaînement des blocs (<q>cipher block
chaining</q> â?? CBC). Ce défaut permet à un attaquant de type <q>homme du
milieu</q> (MITM) de décoder un octet choisi dans un texte chiffré en
seulement 256 tentatives s'il peut forcer une application victime à envoyer de
façon répétée les mêmes données sur des connexions SSL 3.0 renouvelées. </p>

<p>Cette mise à jour ajoute la gestion de Fallback SCSV (<q>Signaling Cipher
Suite Value</q>) pour réduire ce problème.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3567";>CVE-2014-3567</a>

<p>Un défaut de fuite de mémoire a été découvert dans la manière dont OpenSSL
gérait la vérification de l'intégrité des tickets de sessions en échec. Un
attaquant distant pourrait épuiser toute la mémoire disponible d'un serveur
SSL/TLS ou DTLS en lui envoyant un grand nombre de tickets de session non
valables.
</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3568";>CVE-2014-3568</a>

<p>Quand OpenSSL est configuré avec l'option de construction « no-ssl3 », les
serveurs pourraient accepter et conclure des initialisations de SSL 3.0, et
les clients pourraient être configurés pour les émettre.</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.0.1e-2+deb7u13.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.1j-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3053.data"
# $Id: dsa-3053.wml,v 1.3 2014/10/25 12:19:59 jipege1-guest Exp $
Reply to: