[RFR] wml://security/2019/dsa-4385.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="61543f0d92cd8408059b731fb690edab0a4a3a8e" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>halfdog a découvert une vulnérabilité de contournement d'authentification
dans le serveur de courrier électronique Dovecot. Dans certaines
configurations, Dovecot considère comme sûr, de façon fautive, un nom
d'utilisateur fourni par l'authentification au lieu d'échouer. S'il n'y a
pas une vérification supplémentaire de mot de passe, cela permet à 
l'attaquant de se connecter en tant que n'importe qui d'autre dans le
système. Seules les installations utilisant :</p>

<ul>
<li>auth_ssl_require_client_cert = yes</li>
<li>auth_ssl_username_from_cert = yes</li>
</ul>

<p>sont affectées par ce défaut.</p>

<p>Pour la distribution stable (Stretch), ce problème a été corrigé dans la
version 1:2.2.27-3+deb9u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets dovecot.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de dovecot, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/dovecot";>\
https://security-tracker.debian.org/tracker/dovecot</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4385.data"
# $Id: $