[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://security/2015/dsa-332{3,4,5}.wml

Bonjour,
Le 03/08/2015 17:13, JP Guillonneau a écrit :
> Bonjour,
> 
> suggestions.
> 
> Amicalement.
> 
Suggestions suivies.
Merci d'avance pour vos nouvelles relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le serveur web HTTPD
Apache.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3183";>CVE-2015-3183</a>

<p>Une attaque de dissimulation de requête HTTP était possible à cause d'un
bogue dans l'analyse de requêtes par bloc. Un client malveillant pourrait
forcer le serveur à mal interpréter la longueur de la requête, permettant un
empoisonnement de cache ou un détournement d'identification si un mandataire
intermédiaire est utilisé.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3185";>CVE-2015-3185</a>

<p>Une erreur de conception dans la fonction <q>ap_some_auth_required</q> rend
l'API inutilisable dans apache2 2.4.x. Cela pourrait conduire des modules
utilisant cette API à permettre un accès qu'ils n'auraient pas autorisé
autrement. La correction rétroporte la nouvelle API
<q>ap_some_authn_required</q> de 2.4.16.
Ce problème n'affecte pas la distribution oldstable (Wheezy).</p></li>

</ul>

<p>De plus, le paquet mis à jour pour la distribution oldstable (Wheezy)
supprime une limitation des paramètres Diffie-Hellman (DH) à 1024 octets.
Cette limitation peut éventuellement permettre à un attaquant disposant de
très grandes capacités de calcul, tel qu'un �tat, de casser un échange de clé
par calcul préalable (<q>precomputation</q>). Le paquet apache2 mis à jour
permet aussi de configurer des paramètres DH personnalisés. Vous trouverez
plus d'information dans le fichier changelog.Debian.gz.
Ces améliorations sont déjà présentes dans les distributions stable, testing
et unstable.</p>

<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 2.2.22-13+deb7u5.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.4.10-10+deb8u1.</p>

<p>Pour la distribution testing (Stretch), ces problèmes seront corrigés prochainement.</p>

<p>Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.</p>

<p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3325.data"
# $Id: dsa-3325.wml,v 1.2 2015/08/04 15:17:33 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans la bibliothèque
« International Components for Unicode » (ICU) .</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8146";>CVE-2014-8146</a>

<p>L'implémentation de l'« Unicode Bidirectional Algorithm » ne suit
correctement les fragments de texte isolés par leur direction. Cela permet à
des attaquants distants de provoquer un déni de service (dépassement de tas)
ou éventuellement d'exécuter du code arbitraire grâce à du texte contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8147";>CVE-2014-8147</a>

<p>L'implémentation de l'« Unicode Bidirectional Algorithm » utilise un type
de données entières incompatible avec un fichier d'en-tête. Cela permet a des
attaquants distants de provoquer un déni de service (malloc incorrecte suivie
d'une libération de zone de mémoire non valable) ou éventuellement l'exécution
de code arbitraire grâce à du texte contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4760";>CVE-2015-4760</a>

<p>Le moteur de mise en page manque de multiples vérifications de limite. Cela
pourrait conduire à des dépassements de tampon et à une corruption de mémoire.
Un fichier contrefait pour l'occasion pourrait provoquer le plantage d'une
application utilisant ICU pour analyser des fichiers de police non fiables et,
éventuellement, l'exécution de code arbitraire.</p></li>

</ul>

<p>De plus, il a été découvert que le correctif appliqué à ICU dans DSA-3187-1
pour <a href="https://security-tracker.debian.org/tracker/CVE-2014-6585";>CVE-2014-6585</a>
était incomplet, menant éventuellement à un accès mémoire non valable. Cela
pourrait permettre à des attaquants distants de dévoiler des fragments de
mémoire privée à l'aide de fichiers de police contrefaits.</p>

<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 4.8.1.1-12+deb7u3.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 52.1-8+deb8u2.</p>

<p>Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 52.1-10.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 52.1-10.</p>

<p>Nous vous recommandons de mettre à jour vos paquets icu.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3323.data"
# $Id: dsa-3323.wml,v 1.2 2015/08/04 15:17:32 jipege1-guest Exp $
Reply to: