Je vais blâmer la chaleur pour cet oubli de pièce jointe. :) Le 05/07/2015 00:26, Thomas Vincent a écrit : > Bonjour, > > Voici une proposition de traduction pour une annonce de sécurité publiée > récemment. > Merci d'avance pour vos relectures. > > Amicalement, > Thomas >
#use wml::debian::translation-check translation="1.3" maintainer="Thomas Vincent" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL, une boîte à outils SSL (<q>Secure Sockets Layer</q>).</p>
<ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8176";>CVE-2014-8176</a> <p>Praveen Kariyanahalli, Ivan Fratric et Felix Groebert ont découvert qu'une libération de mémoire invalide pourrait être déclenchée lors de la mise en tampon de données DTLS. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) ou éventuellement d'exécuter du code arbitraire. Ce problème n'affectait que la distribution oldstable (Wheezy).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1788";>CVE-2015-1788</a> <p>Joseph Barr-Pixton a découvert qu'une boucle infinie pourrait être déclenchée à cause du traitement incorrect de structures ECParameters malformées. Cela pourrait permettre à des attaquants distants de provoquer un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1789";>CVE-2015-1789</a> <p>Robert Swiecki et Hanno Böck ont découvert que la fonction X509_cmp_time pourrait lire quelques octets hors limites. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) grâce à des certificats et des listes de révocation de certificats (CRL) contrefaits.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1790";>CVE-2015-1790</a> <p>Michal Zalewski a découvert que le code de traitement PKCS#7 ne gérait pas correctement le contenu manquant, ce qui pourrait conduire à un déréférencement de pointeur NULL. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) grâce à des blobs PKCS#7 encodés en ASN.1 contrefaits.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1791";>CVE-2015-1791</a> <p>Emilia Käsper a découvert qu'une situation de compétition pourrait se produire à cause du traitement incorrect NewSessionTicket dans un client multithreadé, menant à une double libération de zone de mémoire. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1792";>CVE-2015-1792</a> <p>Johannes Bauer a découvert que le code CMS pourrait entrer dans une boucle infinie lors de la vérification d'un message signedData presenté avec une fonction de hachage OID inconnue. Cela pourrait permettre à des attaquants distants de provoquer un déni de service.</p></li> </ul> <p>De plus, OpenSSL rejettera désormais les poignées de main (<q>handshakes</q>) utilisant des paramètres DH paramètres de taille inférieure à 768 bits en tant que contremesure à l'attaque Logjam (<a href="https://security-tracker.debian.org/tracker/CVE-2015-4000";>CVE-2015-4000</a>).</p> <p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.0.1e-2+deb7u17.</p> <p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.0.1k-3+deb8u1.</p> <p>Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1.0.2b-1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.2b-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openssl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dsa-3287.data" # $Id: dsa-3287.wml,v 1.1 2015/07/04 22:24:33 tvincent Exp $
signature.asc
Description: OpenPGP digital signature
