Bonjour, trois nouvelles annonces de sécurité viennent d'être publiées. En voici une traduction. Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Le service onion de Tor pourrait divulguer des informations sensibles dans des fichiers de journaux si l'option <q>SafeLogging</q> est réglée à  « 0 ».</p>
<p>La distribution oldstable (Jessie) n'est pas concernée.</p> <p>Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 0.2.9.12-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets tor.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2017/dsa-3993.data" # $Id: dsa-3993.wml,v 1.1 2017/10/07 16:55:59 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-1000100";>CVE-2017-1000100</a> <p>Even Rouault a signalé que cURL ne traite pas correctement les longs noms de fichier lors d'un envoi TFTP. Un serveur HTTP(S) malveillant peut tirer avantage de ce défaut en redirigeant un client utilisant la bibliothèque cURL vers une URL TFTP contrefaite et le forcer à envoyer des contenus de mémoire privés à un serveur distant sur UDP.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-1000101";>CVE-2017-1000101</a> <p>Brian Carpenter et Yongji Ouyang ont signalé que cURL renferme un défaut dans la fonction « globbing » qui analyse les plages numériques, menant à une lecture hors limites lors de l'analyse d'une URL contrefaite pour l'occasion.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-1000254";>CVE-2017-1000254</a> <p>Max Dymond a signalé que cURL renferme un défaut de lecture hors limites dans l'analyseur de réponse FTP PWD. Un serveur malveillant peut tirer avantage de ce défaut pour empêcher réellement un client utilisant la bibliothèque cURL de s'en servir, provoquant un déni de service.</p></li> </ul> <p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 7.38.0-4+deb8u6.</p> <p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 7.52.1-5+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets curl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2017/dsa-3992.data" # $Id: dsa-3992.wml,v 1.1 2017/10/07 16:55:58 jipege1-guest Exp $
