[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://security/2016/dsa-368{7,8}.wml

Bonjour,
Le 09/10/2016 à 07:41, JP Guillonneau a écrit :
> Bonjour,
> détails.
> Amicalement.
> --
> Jean-Paul
Corrections prises en compte. Merci Jean-Paul.
Merci d'avance pour vos nouvelles relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans NSS, la bibliothèque
de chiffrement développée par le projet Mozilla.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4000";>CVE-2015-4000</a>

<p>David Adrian et al. ont signalé qu'il peut être possible d'attaquer des
suites de chiffrement basées sur Diffie-Hellman dans certaines
circonstances, compromettant la confidentialité et l'intégrité de données
chiffrées avec Transport Layer Security (TLS).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7181";>CVE-2015-7181</a>
<a href="https://security-tracker.debian.org/tracker/CVE-2015-7182";>CVE-2015-7182</a>
<a href="https://security-tracker.debian.org/tracker/CVE-2016-1950";>CVE-2016-1950</a>

<p>Tyson Smith, David Keeler et Francis Gabriel ont découvert des
dépassements de tas dans l'analyseur ASN.1 DER, menant éventuellement
à l'exécution de code arbitraire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7575";>CVE-2015-7575</a>

<p>Karthikeyan Bhargavan a découvert que l'implémentation du client TLS
acceptait des signatures basées sur MD5 pour des connexions TLS 1.2 avec
confidentialité persistante, affaiblissant la robustesse de sécurité
attendue des connexions TLS.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1938";>CVE-2016-1938</a>

<p>Hanno Boeck a découvert que NSS ne calculait pas correctement le
résultat de la division d'entiers pour certaines entrées. Cela pourrait
affaiblir les protections de chiffrement offertes par NSS. Néanmoins, NSS
met en Å?uvre le durcissement de RSA-CRT contre les fuites, ainsi les clés
privées RSA ne sont pas directement exposées par ce problème.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1978";>CVE-2016-1978</a>

<p>Eric Rescorla a découvert une vulnérabilité d'utilisation de mémoire
après libération dans l'implémentation des négociations de connexion TLS
basées sur ECDH, avec des conséquences inconnues.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1979";>CVE-2016-1979</a>

<p>Tim Taubert a découvert une vulnérabilité d'utilisation de mémoire après
libération dans le traitement d'ASN.1 DER, avec un impact spécifique à
l'application.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2834";>CVE-2016-2834</a>

<p>Tyson Smith et Jed Davis ont découvert des bogues de sécurité de mémoire
non spécifiés dans NSS.</p></li>

</ul>

<p>En complément, la bibliothèque NSS n'ignorait pas les
variables d'environnement dans les processus qui subissent une transition
SUID/SGID/AT_SECURE au démarrage du processus. Dans certaines
configurations du système, cela permet à des utilisateurs locaux
d'augmenter leurs droits.</p>

<p>Cette mise à jour fournit en outre des corrections de stabilité et de
validité sans impact de sécurité immédiat.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2:3.26-1+debu8u1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2:3.23-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nss.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3688.data"
# $Id: dsa-3688.wml,v 1.2 2016/10/09 08:07:54 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été signalées dans NSPR, une bibliothèque
d'abstraction au-dessus de l'interface des systèmes d'exploitation
développée par le projet Mozilla.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1951";>CVE-2016-1951</a>

<p>q1 a signalé que l'implémentation de NSPR de la fonction de formatage
de chaîne dans le style de sprintf ne calculait pas correctement les
tailles d'allocation de mémoire, conduisant éventuellement à des
dépassements de tas.</p></li>

</ul>

<p>Le second problème concerne le traitement de variables d'environnement
dans NSPR. La bibliothèque n'ignorait pas les variables d'environnement
utilisées pour la configuration de la journalisation et le suivi des
processus qui subissent une transition SUID/SGID/AT_SECURE au démarrage du
processus. Dans certaines configurations du système, cela permet à des
utilisateurs locaux d'augmenter leurs droits.</p>

<p>En complément, cette mise à jour de nspr fournit en outre des
corrections de stabilité et de validité et contient le code de prise en
charge pour une mise à jour à venir de nss.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2:4.12-1+debu8u1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2:4.12-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nspr.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3687.data"
# $Id: dsa-3687.wml,v 1.2 2016/10/09 08:07:54 jipege1-guest Exp $
Reply to: