Salut, Une annonce de sécurité a été publiée, et j'en ai traduit deux plus anciennes, par avance merci pour vos relectures.
Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Configuration par défaut non sécurisée</define-tag> <define-tag moreinfo> <p> Niels Heinen a remarqué un problème de sécurité avec la configuration d'Apache par défaut dans Debian si certains modules de script comme mod_php ou mod_rivet sont installés. Le problème survient parce que le répertoire /usr/share/doc, lié à l'URL /doc, pourrait contenir des scripts en exemple pouvant être exécutés par des requêtes vers cette URL. Bien que l'accès à l'URL /doc soit restreint aux connexions depuis l'hôte local, cela peut poser des problèmes de sécurité dans deux configurations particulières : </p> <ul> <li> si une quelconque interface de serveur sur le même hôte transfère les connexions vers un serveur Apache 2 en arrière-plan vers l'adresse locale ; </li> <li> si la machine exécutant Apache 2 est aussi utilisée pour naviguer sur le web. </li> </ul> <p> Les systèmes qui ne vérifient pas une de ces deux conditions ne devraient pas être vulnérables. L'impact de sécurité réel dépend des paquets (et par conséquent des scripts en exemple) installés sur le système. Script intersite, exécution de code ou fuite de données sensibles font partie des problèmes possibles. </p> <p> Cette mise à jour supprime les sections de configuration problématiques des fichiers /etc/apache2/sites-available/default et â¦/default-ssl. Lors de la mise à niveau, vous ne devriez cependant pas permettre à dpkg de remplacer ces fichiers aveuglément. à la place, vous devriez fusionner les modifications, c'est-à -dire la suppression de la ligne <q>Alias /doc "/usr/share/doc"</q> et du bloc <q><Directory "/usr/share/doc/"$gt;</q> relatif, dans ces fichiers de configuration. Vous devriez aussi vérifier de ne pas avoir copié ces sections dans d'autres configurations d'hôte virtuel. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.2.16-6+squeeze7.</p> <p>Pour la distribution testing (Wheezy), ce problème sera corrigé dans la version 2.2.22-4.</p> <p>Pour la distribution unstable (Sid), ce problème sera corrigé dans la version 2.2.22-4.</p> <p>Pour la distribution experimental, ce problème a été corrigé dans la version 2.4.1-3.</p> <p>Nous vous recommandons de mettre à jour vos paquets apache2 et d'ajuster votre configuration. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2452.data" # $Id: dsa-2452.wml,v 1.1 2012-04-15 23:16:31 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Validation des entrées insuffisante</define-tag> <define-tag moreinfo> <p> Fetchmail, un utilitaire de récupération de courriers distants et de transfert avec de nombreuses fonctionnalités, est vulnérable aux attaques de préfixe NULL sur les certificats SSL et TLS (<q>Null Prefix Attacks Against SSL/TLS Certificates</q>) publiées récemment lors de la conférence Blackhat. Cela permet à un attaquant de réaliser des attaques non détectées en homme au milieu à l'aide d'un certificat X.509 ITU-T contrefait contenant un octet NULL injecté dans les champs subjectAltName ou Common Name. </p> <p> Remarquez qu'en tant qu'utilisateur de fetchmail, vous devriez toujours utiliser une validation de certificat strict à l'aide d'un de ces combinaisons d'options : sslcertck ssl sslproto ssl3 (pour un service sur les ports empaquetés sur SSL) ou sslcertck sslproto tls1 (pour les services basés sur STARTTLS). </p> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 6.3.6-1etch2.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 6.3.9~rc2-4+lenny1.</p> <p>Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 6.3.9~rc2-6.</p> <p>Nous vous recommandons de mettre à jour vos paquets fetchmail.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1852.data" # $Id: dsa-1852.wml,v 1.1 2009-08-07 15:43:52 nion Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>chaîne de formatage vulnérabilité</define-tag> <define-tag moreinfo> <p> Wilfried Goesgens a découvert que WebCit, l'interface utilisateur web au système de logiciel de groupe Citadel, contient une vulnérabilité de chaîne de formatage dans le composant mini_calendar, permettant éventuellement l'exécution de code arbitraire (<a href="http://security-tracker.debian.org/tracker/CVE-2009-0364";>CVE-2009-0364</a>). </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 7.37-dfsg-7.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.38b-dfsg-2.</p> <p>Nous vous recommandons de mettre à jour vos paquets webcit.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1752.data" # $Id: dsa-1752.wml,v 1.2 2010-12-17 14:39:31 taffit-guest Exp $
signature.asc
Description: OpenPGP digital signature
