Bonjour, Voici une proposition de traduction pour trois annonces de sécurité. dsa-3388.wml est un gros morceau avec beaucoup de jargon et il n'est pas impossible que j'ai traduit certaines choses de travers. Merci d'avance pour vos relectures. Amicalement, Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>John Stumpo a découvert qu'OpenAFS, un système de fichiers distribué, n'initialise pas totalement certains paquets réseau avant de les transmettre. Cela peut conduire à une divulgation en clair des paquets traités précédemment.</p> <p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.6.1-3+deb7u5.</p> <p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.6.9-2+deb8u4.</p> <p>Pour la distribution testing (Stretch) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.6.15-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openafs.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dsa-3387.data" # $Id: dsa-3387.wml,v 1.1 2015/11/04 17:10:41 tvincent Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Vincent" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans le démon du protocole NTP (<q>Network Time Protocol</q>) et des utilitaires :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5146">CVE-2015-5146</a> <p>Un défaut a été découvert dans la façon dont ntpd traite certains paquets de configuration à distance. Un attaquant pourrait utiliser un paquet contrefait pour l'occasion afin de provoquer un plantage de ntpd :</p> <ul> <li>la configuration à distance de ntpd est activée ;</li> <li>l'attaquant connaît le mot de passe de configuration ;</li> <li>l'attaquant a accès à un ordinateur de confiance pour réaliser la configuration à distance.</li> </ul> <p>Veuillez noter que la configuration à distance est désactivée par défaut dans NTP.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5194">CVE-2015-5194</a> <p>ntpd pourrait planter à cause d'une variable non initialisée lors du traitement de commandes de configuration logconfig mal formées.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5195">CVE-2015-5195</a> <p>ntpd quitte avec une erreur de segmentation lorsqu'un type de statistique qui n'a pas été activé à la compilation (par exemple timingstats) est référencé par la commande de configuration des statistiques ou filegen.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5219">CVE-2015-5219</a> <p>Le programme sntp pourrait se bloquer dans une boucle infinie à la réception d'un paquet NTP contrefait, à cause de la conversion de la précision dans le paquet vers double.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5300">CVE-2015-5300</a> <p>ntpd n'implémente pas correctement l'option -g :</p> <p>Normalement, ntpd quitte avec un message pour le journal système si le décalage (<q>offset</q>) dépasse le seuil de panique qui est 1000 s par défaut. Cette option permet de régler le temps à n'importe quelle valeur sans restriction ; cependant, cela ne peut arriver qu'une seule fois. Si le seuil est dépassé après cela, ntpd quittera avec un message pour le journal système. Cette option peut être utilisée avec les options -q et -x.</p> <p>ntpd pourrait en fait décaler l'horloge de plusieurs fois le seuil de panique si sa discipline d'horloge n'avait pas assez de temps pour atteindre l'état de synchronisation et et y rester pour au moins une mise à jour. Si un attaquant de type homme du milieu (<q>MITM</q>) pouvait contrôler le trafic NTP dès le lancement de ntpd (ou peut-être 15 à 30 après), il pourrait empêcher le client d'atteindre l'état de synchronisation et le forcer à décaler son horloge de n'importe quelle durée, autant de fois que désiré, ce qui pourrait être utilisé par des attaquants pour faire expirer des certificats, etc.</p> <p>Cela est contraire à ce que dit la documentation. Normalement, il est supposé qu'un attaquant MITM peut décaler l'horloge de plus que le seuil de panique seulement une fois quand ntpd démarre et, pour faire un ajustement plus important, l'attaquant doit le diviser en de multiples petites étapes prenant chacune 15 minutes, ce qui est lent.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7691">CVE-2015-7691</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-7692">CVE-2015-7692</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-7702">CVE-2015-7702</a> <p>Le correctif pour <a href="https://security-tracker.debian.org/tracker/CVE-2014-9750">CVE-2014-9750</a> est incomplet : trois problèmes ont été découverts dans les vérifications de longueur de valeur dans ntp_crypto.c, où un paquet avec des opérations autokey particulières contenant des données malveillantes, n'était pas toujours complètement validé. Recevoir de tels paquets peut faire planter ntpd.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7701">CVE-2015-7701</a> <p>Un défaut de fuite de mémoire a été découvert dans CRYPTO_ASSOC de ntpd. Si ntpd était configuré pour utiliser l'authentification autokey, un attaquant pourrait envoyer des paquets à ntpd qui, après plusieurs jours d'attaque continue, le rendre à court de mémoire.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7703">CVE-2015-7703</a> <p>Miroslav Lichvar de Red Hat a découvert que la commande :config peut être utilisée pour régler les chemins de pidfile et driftfile sans aucune restriction. Un attaquant distant pourrait utiliser ce défaut pour écraser un fichier sur le système de fichiers avec un fichier contenant le pid du processus ntpd (immediatement) ou la dérive actuelle estimée de l'horloge système (en intervalles horaires). Par example :</p> <p><code>ntpq -c ':config pidfile /tmp/ntp.pid'</code> <code>ntpq -c ':config driftfile /tmp/ntp.drift'</code></p> <p>Dans Debian, ntpd est configuré pour relâcher les droits du superutilisateur, ce qui limite l'impact de ce problème.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7704">CVE-2015-7704</a> <p>Si ntpd, en tant que client NTP, reçoit un paquet <q>baiser de la mort</q> (<q>Kiss-of-Death (KoD)</q>) du serveur pour réduire son taux de sondage (<q>polling</q>), il ne vérifie pas si le timestamp d'origine dans la réponse correspond au timestamp transmis dans sa requête. Un attaquant externe peut envoyer un paquet KoD contrefait au client, ce qui augmentera sont intervalle de sondage à une grande valeur et désactivera efficacement la synchronisation avec le serveur.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7850">CVE-2015-7850</a> <p>Une vulnérabilité de déni de service exploitable existe dans la fonctionnalité de configuration à distance de NTP. Un fichier de configuration contrefait pour l'occasion pourrait causer une boucle infinie, ayant pour résultat un déni de service. Un attaquant pourrait fournir un fichier de configuration malveillant pour déclencher cette vulnérabilité.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7852">CVE-2015-7852</a> <p>Une vulnérabilité potentielle due à un décalage d'entier existe dans la fonctionnalité cookedprint de ntpq. Un tampon contrefait pour l'occasion pourrait causer un dépassement de tampon, ayant éventuellement pour résultat l'écriture hors limites d'un octet nul.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7855">CVE-2015-7855</a> <p>decodenetnum() de NTP échoue avec une erreur d'assertion lors du traitement d'un paquet en mode 6 ou 7 contenant une valeur de donnée inhabituellement longue à la place d'une adresse réseau. Cela pourrait permettre à un attaquant authentifié de planter ntpd.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7871">CVE-2015-7871</a> <p>Une erreur de logique de traitement d'error existe dans ntpd. Elle se manifeste par le traitement incorrect de condition d'erreur associé à certains paquets crypto-NAK. Un attaquant non authentifié externe peut forcer les processus ntpd sur les serveurs visés à s'appairer avec des sources de temps choisies par l'attaquant en transmettant des paquets crypto-NAK actifs symétriques à ntpd. Cette attaque contourne l'authentification habituellement requise pour établir un appairage et permet à un attaquant de faire des modifications arbitraires sur l'heure du système.</p></li> </ul> <p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1:4.2.6.p5+dfsg-2+deb7u6.</p> <p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1:4.2.6.p5+dfsg-7+deb8u1.</p> <p>Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1:4.2.8p4+dfsg-3.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:4.2.8p4+dfsg-3.</p> <p>Nous vous recommandons de mettre à jour vos paquets ntp.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dsa-3388.data" # $Id: dsa-3388.wml,v 1.1 2015/11/04 17:10:41 tvincent Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Vincent" <define-tag description>Fin de vie</define-tag> <define-tag moreinfo> <p>La prise en charge de la sécurité pour elasticsearch dans Jessie est désormais interrompue. Le projet ne publie plus d'informations sur les problèmes de sécurité corrigés permettant leur rétroportage vers les versions publiées par Debian et empêche activement de le faire.</p> <p>elasticsearch sera également supprimé de Debian Stretch (la prochaine distribution stable de Debian), mais restera dans unstable.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dsa-3389.data" # $Id: dsa-3389.wml,v 1.1 2015/11/04 17:15:17 tvincent Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature