Bonjour, Le mardi 09 décembre 2014 à 09:13:46, jean-pierre giraud a écrit : > Deux nouvelles annonces de sécurité viennent d'être publiées. En voici > une traduction. > Merci d'avance pour vos relectures.
Quelques détails que tu trouveras dans les 2 diff joints. Amicalement, -- Sébastien Poher www.volted.net Aidez-nous à défendre la liberté du logiciel: http://www.fsf.org/register_form?referrer=11902
--- dsa-3091.wml 2014-12-09 07:21:33.395990418 -0400 +++ dsa-3091-sp.wml 2014-12-09 07:26:20.155982643 -0400 @@ -10,26 +10,25 @@ <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7273";>CVE-2014-7273</a> <p>L'implémentation d'IMAPS (<q>IMAP-over-SSL</q>) dans getmail, de la -version 4.0.0 à la version 4.43.0, ne vérifie les certificats X.509 des -serveurs SSL. Cela permet à des attaquants de type <q>homme du milieu</q> -d'usurper des serveurs IMAP et d'obtenir des informations sensibles à l'aide +version 4.0.0 à la version 4.43.0, ne vérifie pas les certificats X.509 des +serveurs SSL. Cela permet, lors d'attaques de type <q>homme du milieu</q>, +d'usurper l'identité des serveurs IMAP et d'obtenir des informations sensibles à l'aide d'un certificat contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7274";>CVE-2014-7274</a> <p>L'implémentation d'IMAPS (<q>IMAP-over-SSL</q>) dans getmail 4.44.0 ne vérifie pas si le nom d'hôte du serveur correspond à un nom de domaine dans le -champ Common Name (CN) du sujet du certificat X.509. Cela permet à des -attaquants de type <q>homme du milieu</q> d'usurper des serveurs IMAP et +champ Common Name (CN) du sujet du certificat X.509. Cela permet, lors d'attaques de type <q>homme du milieu</q>, d'usurper l'identité des serveurs IMAP et d'obtenir des informations sensibles à l'aide d'un certificat contrefait d'une autorité de certification reconnue.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7275";>CVE-2014-7275</a> <p>L'implémentation de POP3S (<q>POP3-over-SSL</q>) dans getmail, de la -version 4.0.0 à la version 4.44.0, ne vérifie les certificats X.509 des -serveurs SSL. Cela permet à des attaquants de type <q>homme du milieu</q> -d'usurper des serveurs POP3 et d'obtenir des informations sensibles à l'aide +version 4.0.0 à la version 4.44.0, ne vérifie pas les certificats X.509 des +serveurs SSL. Cela permet, lors d'attaques de type <q>homme du milieu</q>, +d'usurper l'identité des serveurs POP3 et d'obtenir des informations sensibles à l'aide d'un certificat contrefait.</p></li> </ul>
--- dsa-3092.wml 2014-12-09 07:21:32.443990444 -0400 +++ dsa-3092-sp.wml 2014-12-09 07:27:56.487980031 -0400 @@ -2,8 +2,8 @@ <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans Icedove, la version -Debian du client de courriers électroniques et lecteur de nouvelles Thunderbird -Mozilla : plusieurs erreurs de sécurité de la mémoire, dépassements de tampon, +Debian du client de courriers électroniques et lecteur de nouvelles Mozilla Thunderbird + : plusieurs erreurs de sécurité de la mémoire, dépassements de tampon, utilisations de mémoire après libération et d'autres erreurs d'implémentation pourraient conduire à l'exécution de code arbitraire, au contournement de restrictions de sécurité ou à un déni de service.</p>
