[RFR] wml://security/2016/dsa-3439.wml
Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes dans Prosody, un serveur
Jabber/XMPP léger.
Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1231";>CVE-2016-1231</a>
<p>Kim Alvefur a découvert un défaut dans le module HTTP de serveur de
fichiers de Prosody qui lui permet de répondre à des requêtes en dehors du
répertoire public racine configuré. Un attaquant distant peut exploiter
ce défaut pour accéder à des fichiers privés y compris des données
sensibles. La configuration par défaut n'active pas le module
mod_http_files et, donc, n'est pas vulnérable.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1232";>CVE-2016-1232</a>
<p>Thijs Alkemade a découvert que la génération par Prosody de jeton secret
pour l'authentification de rappel de serveur à serveur reposait sur un
générateur de nombres aléatoires faible qui n'était pas sûrs d'un point de
vue cryptographique. Un attaquant distant peut tirer avantage de ce défaut
pour deviner les valeurs probables de la clé secrète et usurper le domaine
affecté à d'autres serveurs du réseau.</p></li>
</ul>
<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 0.8.2-4+deb7u3.</p>
<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 0.9.7-2+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets prosody.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3439.data"
# $Id: dsa-3439.wml,v 1.1 2016/01/10 10:53:46 jipege1-guest Exp $
Reply to: