Bonjour, Trois nouvelles annonces de sécurité ont été publiées. Merci d'avance pour vos relectures. Amicalement, Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Andreas Schneider a signalé que libssh2, une bibliothèque SSH2 côté client, passe un nombre d'octets à une fonction qui attend un nombre de bits pendant la poignée de main (<q>handshake</q>) SSHv2 quand libssh2 cherche à obtenir une bonne valeur pour l'<q>ordre de groupe</q> (<q>group order</q>) dans la négociation Diffie-Hellman. Cela affaiblit de façon significative la sécurité de la poignée de main, permettant éventuellement à un indiscret ayant assez de ressources de déchiffrer ou intercepter les sessions SSH.</p> <p>Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 1.4.2-1.1+deb7u2.</p> <p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1.4.3-4.1+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libssh2.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dsa-3487.data" # $Id: dsa-3487.wml,v 1.1 2016/02/24 20:51:59 tvincent Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Aris Adamantiadis a découvert que libssh, une petite bibliothèque SSH en C, générait incorrectement un court secret éphémère pour les méthodes d'échange de clés diffie-hellman-group1 et diffie-hellman-group14. Le secret résultant est long de 128 bits au lieu des tailles recommandées de respectivement 1024 et 2048 bits. Ce défaut pourrait permettre à un indiscret ayant assez de ressources de déchiffrer ou intercepter les sessions SSH.</p> <p>Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 0.5.4-1+deb7u3. Cette mise à jour fournit également des correctifs pour <a href="https://security-tracker.debian.org/tracker/CVE-2014-8132">CVE-2014-8132</a> et <a href="https://security-tracker.debian.org/tracker/CVE-2015-3146">CVE-2015-3146</a>, qui étaient à l'origine prévues pour la prochaine mise à jour mineure de Wheezy.</p> <p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 0.6.3-4+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libssh.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dsa-3488.data" # $Id: dsa-3488.wml,v 1.1 2016/02/24 20:51:59 tvincent Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Vincent" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Lighttpd, un petit serveur web, est vulnérable à l'attaque POODLE grâce à l'utilisation de SSLv3. Ce protocole est maintenant désactivé par défaut.</p> <p>Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 1.4.31-4+deb7u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets lighttpd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dsa-3489.data" # $Id: dsa-3489.wml,v 1.1 2016/02/24 20:51:59 tvincent Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature