[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://security/2015/dsa-323{2,3,4,5,6}.wml

Bonjour,
Le 26/04/2015 20:15, JP Guillonneau a écrit :
> Bonjour,
> 
> deux détails dont l’un peut être sans importance.
> 
> 
> Amicalement.
> 
Corrections adoptées. (je ne renvoie que le fichier dsa-3232, pour le le
second - dsa-3236 - il ne s'agit que d'une correction d'espace).
Merci d'avance pour vos nouvelles relectures.
Amicalement
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3143";>CVE-2015-3143</a>

<p>Des connexions authentifiées par NTLM pourraient être réutilisées à tort
pour des requêtes sans accréditation, aboutissant à ce que des requêtes HTTP
soient envoyées sur une connexion authentifiée sous un autre identifiant.
Ce problème est similaire à celui corrigé dans DSA-2849-1.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3144";>CVE-2015-3144</a>

<p>Lors de l'analyse d'URL avec un nom d'hôte de taille nulle (tel que
"http://:80";), libcurl pourrait essayer de lire à partir d'une adresse
mémoire incorrecte. Cela pourrait permettre à des attaquants distants de
provoquer un déni de service (plantage). Ce problème affecte seulement la
prochaine distribution stable (Jessie) et la distribution unstable (Sid).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3145";>CVE-2015-3145</a>

<p>Lors de l'analyse de cookies HTTP, si l'élément de <q>chemin</q> du cookie
analysé consiste en un unique guillemet double, libcurl pourrait essayer
d'écrire dans une adresse de mémoire de tas incorrecte. Cela pourrait
permettre à des attaquants distants de provoquer un déni de service
(plantage). Ce problème affecte seulement la prochaine distribution stable
(Jessie) et la distribution unstable (Sid).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3148";>CVE-2015-3148</a>

<p>Lors de l'exécution de requêtes HTTP en utilisant la méthode
d'authentification <q>négociée</q> en parallèle à NTLM, la connexion utilisée
pourrait ne pas être marquée comme authentifiée, rendant possible sa
réutilisation et l'envoi de requêtes pour un utilisateur sur une connexion
authentifiée sous un autre identifiant.</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 7.26.0-1+wheezy13.</p>

<p>Pour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 7.38.0-4+deb8u1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 7.42.0-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3232.data"
# $Id: dsa-3232.wml,v 1.2 2015/04/26 22:28:12 jipege1-guest Exp $
Reply to: