[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [RFR] wml://security/2014/dla-8{0-4}.wml

Bonjour,

le samedi 22 juillet  0:53, jean-pierre giraud a écrit :

>Quelques suggestions et corrections.
Merci, fichiers corrigés.
Voici les nouveaux fichiers, merci d’avance pour vos autres relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Sogeti a découvert un défaut de déni de service dans libxml2, une bibliothèque
permettant de lire, modifier et écrire des fichiers XML
et HTML. Un attaquant distant pourrait fournir un fichier XML contrefait pour
l'occasion qui, sâ??il est traité par une application utilisant libxml2,
pourrait conduire à une consommation excessive de CPU (déni de service) basée
sur des substitutions excessives dâ??entités, même si la substitution dâ??entité
était désactivée, ce qui est le comportement par défaut de lâ??analyseur.
(<a href="https://security-tracker.debian.org/tracker/CVE-2014-3660";>CVE-2014-3660</a>)</p>

<p>De plus, cette mise à jour corrige un bout de code mal appliqué pour un
correctif publié dans la version précédente (n° 762864).</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans libxml2,
version 2.7.8.dfsg-2+squeeze10.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-80.data"
# $Id: dla-80.wml,v 1.1 2017/07/22 05:42:37 jptha-guest Exp $

#use wml::debian::translation-check translation="1.4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566";>CVE-2014-3566</a>

<p>("POODLE")</p>

<p>Un défaut a été découvert dans la manière dont SSL 3.0 gérait les octets de
remplissage lors du déchiffrement de messages utilisant le chiffrement par bloc
avec le mode CBC (cipher block chaining). Ce défaut permet à un attaquant de type
« homme du milieu » de déchiffrer un octet choisi dans un texte chiffré
en seulement 256 essais, sâ??il peut obliger une application victime
à envoyer de manière répétée les mêmes données sur des connexions SSL 3.0
nouvellement crées.</p>

<p>Cette mise à jour ajoute la prise en charge de Fallback SCSV pour
atténuer ce problème. Cela ne le corrige pas. La façon correcte de le corriger
est de désactiver SSL 3.0.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3567";>CVE-2014-3567</a>

<p>Un défaut de fuite de mémoire a été découvert dans la manière dont OpenSSL
gérait les vérifications dâ??intégrité de tickets de session en échec. Un
attaquant distant pourrait épuiser la mémoire disponible dâ??un serveur SSL/TLS
ou DTLS en lui envoyant un grand nombre de tickets de session non valables.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3568";>CVE-2014-3568</a>

<p>Quand OpenSSL est configuré avec l'option de construction « no-ssl3 »,
les serveurs pourraient accepter et conclure des initialisations SSL 3.0, et
les clients pourraient être configurés pour les émettre.</p>

<p>Veuillez noter que le paquet dans Debian nâ??est pas construit avec cette
 option.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3569";>CVE-2014-3569</a>

<p>Quand OpenSSL est construit avec lâ??option « no-ssl3 » et quâ??un « Client Hello » SSl v3 est reçu, la méthode serait réglée à NULL, ce qui pourrait ensuite conduire à un déréférencement de pointeur NULL.</p>

<p>Veuillez noter que le paquet dans Debian nâ??est pas construit avec cette
 option.</p></li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans openssl,
version 0.9.8o-4squeeze18.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-81.data"
# $Id: dla-81.wml,v 1.1 2017/07/22 05:42:37 jptha-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>HD Moore de Rapid7 a découvert une attaque par lien symbolique dans Wget, un
utilitaire en ligne de commande pour récupérer des fichiers à lâ??aide de
HTTP, HTTPS ou FTP. La vulnérabilité permet de créer des fichiers arbitraires
dans le système de lâ??utilisateur lorsque Wget est exécuté en mode récursif sur
un serveur FTP malveillant. La création de fichier arbitraire peut écraser le
contenu de fichiers de l'utilisateur ou permettre lâ??exécution à distance de code
avec les privilèges de lâ??utilisateur.</p>

<p>Cette mise à jour modifie les réglages par défaut dans Wget de façon quâ??il
ne crée plus de liens symboliques locaux, mais plutôt les suit et retrouve le
fichier pointé dans ces récupérations.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans wget,
version 1.12-2.1+deb6u1.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-82.data"
# $Id: dla-82.wml,v 1.1 2017/07/22 05:42:37 jptha-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour de ffmpeg supprime la prise en charge de plus de cent
codecs, décodeurs et formats rarement utilisés de nos jours, pour lesquels la
prise en charge dans Squeeze est très probablement insuffisante, etc.</p>

<p>Cette mise à jour nâ??a pour but que de réduire la possibilité dâ??attaques.</p>

<p>Par ailleurs, ffmpeg nâ??est pas pris en charge dans Squeeze-lts, et une
quelconque utilisation avec des données non fiables est fortement déconseillée.
</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 4:0.5.10-1+deb6u1 de ffmpeg.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-83.data"
# $Id: dla-83.wml,v 1.1 2017/07/22 05:42:37 jptha-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Symeon Paraschoudis a découvert que la fonction curl_easy_duphandle() dans
cURL, une bibliothèque de transfert dâ??URL, contient un bogue pouvant conduire
à ce que libcurl finisse par envoyer des données sensibles non prévues pour envoi,
lors de la réalisation dâ??une opération POST HTTP.</p>

<p>Ce bogue nécessite que CURLOPT_COPYPOSTFIELDS et curl_easy_duphandle() soient
utilisés dans cet ordre, et quâ??ensuite le descripteur dédoublé soit utilisé pour
réaliser le POST HTTP. Lâ??outil en ligne de commande curl nâ??est pas concerné par
ce problème, nâ??utilisant pas cette séquence.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 7.21.0-2.1+squeeze10 de curl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-84.data"
# $Id: dla-84.wml,v 1.1 2017/07/22 05:42:37 jptha-guest Exp $
Reply to: