[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2017/dsa-399{2,3}.wml

Bonjour,
trois nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Le service onion de Tor pourrait divulguer des informations sensibles
dans des fichiers de journaux si l'option <q>SafeLogging</q> est réglée
à « 0 ».</p>

<p>La distribution oldstable (Jessie) n'est pas concernée.</p>

<p>Pour la distribution stable (Stretch), ce problème a été corrigé dans la
version 0.2.9.12-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tor.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3993.data"
# $Id: dsa-3993.wml,v 1.1 2017/10/07 16:55:59 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque
de transfert par URL. Le projet « Common Vulnerabilities and Exposures »
(CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-1000100";>CVE-2017-1000100</a>

<p>Even Rouault a signalé que cURL ne traite pas correctement les longs
noms de fichier lors d'un envoi TFTP. Un serveur HTTP(S) malveillant peut
tirer avantage de ce défaut en redirigeant un client utilisant la
bibliothèque cURL vers une URL TFTP contrefaite et le forcer à envoyer des
contenus de mémoire privés à un serveur distant sur UDP.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-1000101";>CVE-2017-1000101</a>

<p>Brian Carpenter et Yongji Ouyang ont signalé que cURL renferme un défaut
dans la fonction « globbing » qui analyse les plages numériques, menant à
une lecture hors limites lors de l'analyse d'une URL contrefaite pour
l'occasion.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-1000254";>CVE-2017-1000254</a>

<p>Max Dymond a signalé que cURL renferme un défaut de lecture hors limites
dans l'analyseur de réponse FTP PWD. Un serveur malveillant peut tirer
avantage de ce défaut pour empêcher réellement un client utilisant la
bibliothèque cURL de s'en servir, provoquant un déni de service.</p></li>

</ul>

<p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
dans la version 7.38.0-4+deb8u6.</p>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 7.52.1-5+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3992.data"
# $Id: dsa-3992.wml,v 1.1 2017/10/07 16:55:58 jipege1-guest Exp $
Reply to: