Bonjour, Le 05/07/2015 08:43, JP Guillonneau a écrit : > relecture. Intégrée, merci JP. Amicalement, Thomas
#use wml::debian::translation-check translation="1.3" maintainer="Thomas Vincent" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL, une boîte à outils SSL (<q>Secure Sockets Layer</q>).</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8176";>CVE-2014-8176</a> <p>Praveen Kariyanahalli, Ivan Fratric et Felix Groebert ont découvert qu'une libération de mémoire invalide pourrait être déclenchée lors de la mise en tampon de données DTLS. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) ou éventuellement d'exécuter du code arbitraire. Ce problème n'affectait que la distribution oldstable (Wheezy).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1788";>CVE-2015-1788</a> <p>Joseph Barr-Pixton a découvert qu'une boucle infinie pourrait être déclenchée à cause du traitement incorrect de structures ECParameters malformées. Cela pourrait permettre à des attaquants distants de provoquer un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1789";>CVE-2015-1789</a> <p>Robert Swiecki et Hanno Böck ont découvert que la fonction X509_cmp_time pourrait lire quelques octets hors limites. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) grâce à des certificats et des listes de révocation de certificats (CRL) contrefaits.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1790";>CVE-2015-1790</a> <p>Michal Zalewski a découvert que le code de traitement PKCS#7 ne gérait pas correctement le contenu manquant, ce qui pourrait conduire à un déréférencement de pointeur NULL. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) grâce à des blobs PKCS#7 encodés en ASN.1 contrefaits.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1791";>CVE-2015-1791</a> <p>Emilia Käsper a découvert qu'une situation de compétition pourrait se produire à cause du traitement incorrect NewSessionTicket dans un client multifil, menant à une double libération de zone de mémoire. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1792";>CVE-2015-1792</a> <p>Johannes Bauer a découvert que le code CMS pourrait entrer dans une boucle infinie lors de la vérification d'un message signedData présenté avec un OID de fonction de hachage inconnu. Cela pourrait permettre à des attaquants distants de provoquer un déni de service.</p></li> </ul> <p>De plus, OpenSSL rejettera désormais les initiations de connexion (<q>handshakes</q>) utilisant des paramètres DH de taille inférieure à 768 bits en tant que contremesure à l'attaque Logjam (<a href="https://security-tracker.debian.org/tracker/CVE-2015-4000";>CVE-2015-4000</a>).</p> <p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.0.1e-2+deb7u17.</p> <p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.0.1k-3+deb8u1.</p> <p>Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1.0.2b-1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.2b-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openssl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dsa-3287.data" # $Id: dsa-3287.wml,v 1.2 2015/07/05 09:04:12 tvincent Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature