[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2016/dsa-356{5,6,7,8,9}.wml

Bonjour,
Cinq nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes dans openafs, une implémentation
du système distribué de fichiers AFS. 

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8312";>CVE-2015-8312</a>

<p>Un possible déni de service provoqué par un bogue dans la logique pioctl
permettant à un utilisateur local de provoquer un dépassement de tampon du
noyau avec un simple octet NUL.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2860";>CVE-2016-2860</a>

<p>Peter Iannucci a découvert que les utilisateurs d'un domaine Kerberos
étranger peuvent créer des groupes comme s'ils étaient administrateurs.</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.6.9-2+deb8u5.</p>

<p>Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1.6.17-1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.6.17-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openafs.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3569.data"
# $Id: dsa-3569.wml,v 1.1 2016/05/12 22:28:26 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Pascal Cuoq et Miod Vallat ont découvert que Libtasn1, une bibliothèque
pour gérer les structures ASN.1, ne traitait pas correctement certains
certificats DER malformés. Un attaquant distant peut tirer avantage de ce
défaut pour provoquer le blocage d'une application utilisant la
bibliothèque Libtasn1, avec pour conséquence un déni de service.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 4.2-3+deb8u2.</p>

<p>Pour la distribution testing (Stretch), ce problème a été corrigé dans la version 4.8-1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4.8-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libtasn1-6.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3568.data"
# $Id: dsa-3568.wml,v 1.1 2016/05/12 22:28:26 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Libpam-sshauth, un module PAM d'authentification se servant d'un serveur
SSH, ne gère pas correctement les utilisateurs système. Dans certaines
configurations, un attaquant peut tirer avantage de ce défaut pour obtenir
les droits du superutilisateur.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 0.3.1-1+deb8u1.</p>

<p>Pour la distribution testing (Stretch), ce problème a été corrigé dans la version 0.4.1-2.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.4.1-2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libpam-sshauth.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3567.data"
# $Id: dsa-3567.wml,v 1.1 2016/05/12 22:28:26 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.4" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL, une boîte à
outils associée à SSL (Secure Socket Layer.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2105";>CVE-2016-2105</a>

<p>Guido Vranken a découvert qu'un dépassement pouvait se produire dans la
fonction EVP_EncodeUpdate(), utilisée pour l'encodage Base64, si un
attaquant pouvait fournir une grande quantité de données. Cela pourrait
conduire à une corruption de zone de mémoire du système.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2106";>CVE-2016-2106</a>

<p>Guido Vranken a découvert qu'un dépassement pouvait se produire dans la
fonction EVP_EncryptUpdate() si un attaquant pouvait fournir une grande
quantité de données. Cela pourrait conduire à une corruption de zone de
mémoire du système.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2107";>CVE-2016-2107</a>

<p>Juraj Somorovsky a découvert une attaque d'oracle par remplissage dans
l'implémentation du chiffrement par bloc AES CBC basé sur l'ensemble
d'instructions AES-NI. Cela pourrait permettre à un attaquant de décoder le
trafic TLS chiffré avec une des suites de chiffrement basées sur AES CBC.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2108";>CVE-2016-2108</a>

<p>David Benjamin de Google a découvert que deux bogues distincts dans
l'encodeur ASN.1, relatifs au traitement de valeurs d'entier zéro négatif
et de grands « universal tags », pourrait conduire à une écriture hors
limites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2109";>CVE-2016-2109</a>

<p>Brian Carpenter a découvert que, lors de la lecture de données ASN.1 à
partir d'un BIO utilisant des fonctions telles que d2i_CMS_bio(), un
encodage court incorrect peut provoquer l'allocation d'une grande quantité
de mémoire et éventuellement une consommation excessive de ressources ou
l'épuisement de la mémoire.</p></li>

</ul>

<p>Des informations supplémentaires sur ces problèmes peuvent être trouvées
dans l'annonce de sécurité d'OpenSSL à l'adresse
<a href="https://www.openssl.org/news/secadv/20160503.txt";>https://www.openssl.org/news/secadv/20160503.txt</a></p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.0.1k-3+deb8u5.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.2h-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3566.data"
# $Id: dsa-3566.wml,v 1.1 2016/05/12 08:23:28 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans botan1.10,
une bibliothèque C++ qui fournit la prise en charge pour beaucoup
d'opérations communes de chiffrement, dont le chiffrement,
l'authentification, les certificats X.509v3 et les listes de révocation des
certificats (Certificate Revocation List - CRL).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5726";>CVE-2015-5726</a>

<p>Le décodeur BER pourrait planter à cause d'une lecture, à partir de
l'offset 0, d'un vecteur vide s'il rencontre une chaîne de bits qui ne
contient absolument aucune donnée. Cela peut être utilisé pour faire
facilement planter des applications lisant des données ASN.1 non fiables,
mais cela ne semble pas exploitable pour l'exécution de code.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5727";>CVE-2015-5727</a>

<p>Le décodeur BER pourrait allouer une quantité plutôt arbitraire de
mémoire dans un champ de longueur, même s'il n'y a pas de risque que la
requête de lecture puisse aboutir. Cela pourrait rendre le processus à
cours de mémoire ou lui faire invoquer le « Out of Memory killer ».</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7827";>CVE-2015-7827</a>

<p>Utilisation d'encodage PKCS #1 en temps constant pour éviter une attaque
possible par canal auxiliaire à l'encontre du chiffrement RSA.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2194";>CVE-2016-2194</a>

<p>Boucle infinie dans l'algorithme modulaire de racine carrée. La fonction
ressol mettant en Å?uvre l'algorithme de Tonelli-Shanks pour extraire des
racines carrées pourrait introduite dans une boucle quasi-infinie à cause
d'une vérification conditionnelle mal placée. Cela pourrait arriver si un
module composite est fourni alors que cet algorithme est seulement défini
pour des nombres premiers. Cette fonction est exposée à une entrée contrôlée
d'un attaquant au moyen de la fonction OS2ECP lors de la décompression d'un
point d'ECC.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2195";>CVE-2016-2195</a>

<p>Correction de dépassement de zone de mémoire du système sur un point
d'ECC incorrect.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2849";>CVE-2016-2849</a>

<p>Utilisation d'un algorithme d'inverse modulaire en temps constant pour
éviter une attaque possible par canal auxiliaire à l'encontre du
chiffrement ECDSA.</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.10.8-2+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets botan1.10.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3565.data"
# $Id: dsa-3565.wml,v 1.1 2016/05/12 08:23:28 jipege1-guest Exp $
Reply to: