Bonjour, Cinq nouvelles annonces de sécurité viennent d'être publiées. En voici une traduction. Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités ont été découvertes dans openafs, une implémentation du système distribué de fichiers AFS.
Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8312";>CVE-2015-8312</a> <p>Un possible déni de service provoqué par un bogue dans la logique pioctl permettant à un utilisateur local de provoquer un dépassement de tampon du noyau avec un simple octet NUL.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2860";>CVE-2016-2860</a> <p>Peter Iannucci a découvert que les utilisateurs d'un domaine Kerberos étranger peuvent créer des groupes comme s'ils étaient administrateurs.</p></li> </ul> <p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.6.9-2+deb8u5.</p> <p>Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1.6.17-1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.6.17-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openafs.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dsa-3569.data" # $Id: dsa-3569.wml,v 1.1 2016/05/12 22:28:26 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Pascal Cuoq et Miod Vallat ont découvert que Libtasn1, une bibliothèque pour gérer les structures ASN.1, ne traitait pas correctement certains certificats DER malformés. Un attaquant distant peut tirer avantage de ce défaut pour provoquer le blocage d'une application utilisant la bibliothèque Libtasn1, avec pour conséquence un déni de service.</p> <p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 4.2-3+deb8u2.</p> <p>Pour la distribution testing (Stretch), ce problème a été corrigé dans la version 4.8-1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4.8-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libtasn1-6.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dsa-3568.data" # $Id: dsa-3568.wml,v 1.1 2016/05/12 22:28:26 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Libpam-sshauth, un module PAM d'authentification se servant d'un serveur SSH, ne gère pas correctement les utilisateurs système. Dans certaines configurations, un attaquant peut tirer avantage de ce défaut pour obtenir les droits du superutilisateur.</p> <p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 0.3.1-1+deb8u1.</p> <p>Pour la distribution testing (Stretch), ce problème a été corrigé dans la version 0.4.1-2.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.4.1-2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libpam-sshauth.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dsa-3567.data" # $Id: dsa-3567.wml,v 1.1 2016/05/12 22:28:26 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.4" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL, une boîte à outils associée à SSL (Secure Socket Layer.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2105";>CVE-2016-2105</a> <p>Guido Vranken a découvert qu'un dépassement pouvait se produire dans la fonction EVP_EncodeUpdate(), utilisée pour l'encodage Base64, si un attaquant pouvait fournir une grande quantité de données. Cela pourrait conduire à une corruption de zone de mémoire du système.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2106";>CVE-2016-2106</a> <p>Guido Vranken a découvert qu'un dépassement pouvait se produire dans la fonction EVP_EncryptUpdate() si un attaquant pouvait fournir une grande quantité de données. Cela pourrait conduire à une corruption de zone de mémoire du système.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2107";>CVE-2016-2107</a> <p>Juraj Somorovsky a découvert une attaque d'oracle par remplissage dans l'implémentation du chiffrement par bloc AES CBC basé sur l'ensemble d'instructions AES-NI. Cela pourrait permettre à un attaquant de décoder le trafic TLS chiffré avec une des suites de chiffrement basées sur AES CBC.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2108";>CVE-2016-2108</a> <p>David Benjamin de Google a découvert que deux bogues distincts dans l'encodeur ASN.1, relatifs au traitement de valeurs d'entier zéro négatif et de grands « universal tags », pourrait conduire à une écriture hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2109";>CVE-2016-2109</a> <p>Brian Carpenter a découvert que, lors de la lecture de données ASN.1 à partir d'un BIO utilisant des fonctions telles que d2i_CMS_bio(), un encodage court incorrect peut provoquer l'allocation d'une grande quantité de mémoire et éventuellement une consommation excessive de ressources ou l'épuisement de la mémoire.</p></li> </ul> <p>Des informations supplémentaires sur ces problèmes peuvent être trouvées dans l'annonce de sécurité d'OpenSSL à l'adresse <a href="https://www.openssl.org/news/secadv/20160503.txt";>https://www.openssl.org/news/secadv/20160503.txt</a></p> <p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.0.1k-3+deb8u5.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.2h-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openssl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dsa-3566.data" # $Id: dsa-3566.wml,v 1.1 2016/05/12 08:23:28 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans botan1.10, une bibliothèque C++ qui fournit la prise en charge pour beaucoup d'opérations communes de chiffrement, dont le chiffrement, l'authentification, les certificats X.509v3 et les listes de révocation des certificats (Certificate Revocation List - CRL).</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5726";>CVE-2015-5726</a> <p>Le décodeur BER pourrait planter à cause d'une lecture, à partir de l'offset 0, d'un vecteur vide s'il rencontre une chaîne de bits qui ne contient absolument aucune donnée. Cela peut être utilisé pour faire facilement planter des applications lisant des données ASN.1 non fiables, mais cela ne semble pas exploitable pour l'exécution de code.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5727";>CVE-2015-5727</a> <p>Le décodeur BER pourrait allouer une quantité plutôt arbitraire de mémoire dans un champ de longueur, même s'il n'y a pas de risque que la requête de lecture puisse aboutir. Cela pourrait rendre le processus à cours de mémoire ou lui faire invoquer le « Out of Memory killer ».</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7827";>CVE-2015-7827</a> <p>Utilisation d'encodage PKCS #1 en temps constant pour éviter une attaque possible par canal auxiliaire à l'encontre du chiffrement RSA.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2194";>CVE-2016-2194</a> <p>Boucle infinie dans l'algorithme modulaire de racine carrée. La fonction ressol mettant en Åuvre l'algorithme de Tonelli-Shanks pour extraire des racines carrées pourrait introduite dans une boucle quasi-infinie à cause d'une vérification conditionnelle mal placée. Cela pourrait arriver si un module composite est fourni alors que cet algorithme est seulement défini pour des nombres premiers. Cette fonction est exposée à une entrée contrôlée d'un attaquant au moyen de la fonction OS2ECP lors de la décompression d'un point d'ECC.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2195";>CVE-2016-2195</a> <p>Correction de dépassement de zone de mémoire du système sur un point d'ECC incorrect.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2849";>CVE-2016-2849</a> <p>Utilisation d'un algorithme d'inverse modulaire en temps constant pour éviter une attaque possible par canal auxiliaire à l'encontre du chiffrement ECDSA.</p></li> </ul> <p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.10.8-2+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets botan1.10.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dsa-3565.data" # $Id: dsa-3565.wml,v 1.1 2016/05/12 08:23:28 jipege1-guest Exp $
