Bonjour, voici trois traductions de DLA. Merci d'avance pour vos relectures. Ce sont les copies ou des extraits respectivement des dsa-3125, 3122 et 3136 relues par la liste. Amicalement, jipege
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL, la boîte à outils associée à SSL (Secure Socket Layer).
Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3570";>CVE-2014-3570</a> <p>Pieter Wuille de Blockstream a signalé que le carré du bignum (BN_sqr) pouvait produire des résultats incorrects sur certaines plate-formes, ce qui pourrait faciliter la mise en échec des mécanismes de protection cryptographique par des attaquants distants.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3571";>CVE-2014-3571</a> <p>Markus Stenberg de Cisco Systems, Inc. a signalé qu'un message DTLS soigneusement contrefait peut provoquer une erreur de segmentation dans OpenSSL due à un déréférencement de pointeur NULL. Un attaquant distant pourrait utiliser ce défaut pour monter une attaque par déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3572";>CVE-2014-3572</a> <p>Karthikeyan Bhargavan de l'équipe PROSECCO de l'INRIA a signalé qu'un client OpenSSL pourrait accepter une initialisation de connexion utilisant un ensemble de chiffrement ECDH éphémère si le message d'échange de clés est omis. Cela permet à des serveurs SSL distants de conduire des attaques de dégradation de ECDHE à ECDH et déclencher une perte de confidentialité persistante.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8275";>CVE-2014-8275</a> <p>Antti Karjalainen et Tuomo Untinen du projet Codenomicon CROSS et Konrad Kraszewski de Google ont signalé divers problèmes d'empreinte de certificat, permettant à des attaquants distants de mettre en défaut le mécanisme de protection par liste noire de certificats basé sur les empreintes.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0204";>CVE-2015-0204</a> <p>Karthikeyan Bhargavan de l'équipe PROSECCO de l'INRIA a signalé qu'un client OpenSSL acceptera l'utilisation d'une clé RSA éphémère dans un ensemble de chiffrement d'échange, non destiné à lâexport, de clés RSA, violant le standard TLS. Cela permet à des serveurs SSL distants de dégrader la sécurité de la session.</p></li> </ul> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans openssl version 0.9.8o-4squeeze19</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-132.data" # $Id: dla-132.wml,v 1.1 2016/08/22 22:39:16 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Andrey Labunets de Facebook a découvert que cURL, une bibliothèque de transfert par URL, échouait à traiter correctement les URL avec des caractères de fin de ligne incorporés. Un attaquant capable de faire qu'une application utilisant libcurl accède à une URL contrefaite pour l'occasion à l'aide d'un mandataire (« proxy ») HTTP pourrait utiliser ce défaut pour adresser des requêtes supplémentaires d'une manière non prévue, ou insérer des en-têtes de requêtes supplémentaires dans la requête.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans curl version 7.21.0-2.1+squeeze11</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-134.data" # $Id: dla-134.wml,v 1.1 2016/08/22 22:39:16 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité a été découverte dans PolarSSL, une bibliothèque légère de cryptographie et SSL/TLS. Un attaquant distant pourrait exploiter ce défaut en utilisant des certificats contrefaits pour l'occasion pour organiser un déni de service à l'encontre d'une application liée à cette bibliothèque (plantage d'application), ou éventuellement, pour exécuter du code arbitraire.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans polarssl version 1.2.9-1~deb6u4</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-144.data" # $Id: dla-144.wml,v 1.1 2016/08/22 22:39:16 jipege1-guest Exp $
