[RFR] wml://security/2018/dsa-4309.wml
Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="ba0ee6a16998af689e05daf7f66bf2c36ac0b5d3" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>OSS-Fuzz de Google a révélé un bogue exploitable dans le greffon gmp,
provoqué par le correctif qui traite <a href="https://security-tracker.debian.org/tracker/CVE-2018-16151";>\
CVE-2018-16151</a> et <a href="https://security-tracker.debian.org/tracker/CVE-2018-16151";>\
CVE-2018-16151</a> (DSA-4305-1).</p>
<p>Un attaquant pourrait le déclencher en utilisant des certificats
contrefaits avec des clés RSA avec un très faible modulo. La vérification
de signatures avec ce type de clés pourrait provoquer un dépassement
d'entier par le bas et un dépassement de tas subséquent provoquant le
plantage du démon. Bien que l'exécution de code arbitraire n'est pas
totalement exclue à cause du dépassement de tas, du fait de la forme des
données écrites dans le tampon, il semble difficile de l'exploiter vraiment
d'une telle façon.</p>
<p>Pour la distribution stable (Stretch), ce problème a été corrigé dans la
version 5.5.1-4+deb9u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets strongswan.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de strongswan, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/strongswan";>\
https://security-tracker.debian.org/tracker/strongswan</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4309.data"
# $Id: $
Reply to: