Bonjour, quelques anciennes annonces de sécurité de plus.
Les textes en anglais sontt ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2014/dla-000xxxxx.wml Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="e8b4ba2d9d257884d4eea716675c2e25ef4f652c" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Joonas Kuorilehto a découvert que GNU TLS réalisait une validation insuffisante des identifiants de session lors de l'établissement de connexions TLS/SSL. Un serveur malveillant pourrait utiliser cela pour exécuter du code arbitraire ou réaliser un déni de service.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 2.8.6-1+squeeze4 de gnutls26.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2014/dla-0001.data" # $Id: $
#use wml::debian::translation-check translation="b42e248a945fd086cf3f056d737978948d9c4046" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Thomas Stangner a découvert une vulnérabilité dans chkrootkit, un détecteur de rootkit, qui peut permettre à des attaquants locaux d'accéder aux droits administrateurs quand /tmp est monté sans l'option noexec.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 0.49-4+deb6u1 dans chkrootkit.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2014/dla-0002.data" # $Id: $
#use wml::debian::translation-check translation="0489e1b952f47155cfd52286f4b52319011dbc06" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0195";>CVE-2014-0195</a> <p>Jueri Aedla a découvert qu'un dépassement de tampon dans le traitement des fragments DTLS pourrait conduire à l'exécution de code arbitraire ou à un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0221";>CVE-2014-0221</a> <p>Imre Rad a découvert que le traitement de paquets hello DTLS était vulnérable à un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0224";>CVE-2014-0224</a> <p>KIKUCHI Masashi a découvert que des négociations de connexion soigneusement contrefaites pouvaient obliger à l'utilisation de clés faibles, résultant dans de potentielles attaques du type « homme du milieu ».</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3470";>CVE-2014-3470</a> <p>Felix Groebert et Ivan Fratric ont découvert que l'implémentation des suites de chiffrement ECDH anonymes est vulnérable à un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0076";>CVE-2014-0076</a> <p>Correctif pour l'attaque décrite dans l'article « Recovering OpenSSL ECDSA Nonces Using the FLUSH+RELOAD Cache Side-channel Attack » rapportée par Yuval Yarom et Naomi Benger.</p></li> </ul> <p>Des informations supplémentaires peuvent être trouvées à l'adresse <a href="http://www.openssl.org/news/secadv_20140605.txt";>\ http://www.openssl.org/news/secadv_20140605.txt</a>.</p> <p>Toutes les applications liées à openssl doivent être redémarrées. Vous pouvez utiliser l'outil checkrestart du paquet debian-goodies pour détecter les programmes affectés ou redémarrer votre système.</p> <p>Il est important de mettre à niveau le paquet libssl0.9.8 et pas uniquement le paquet openssl.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 0.9.8o-4squeeze15 d'openssl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2014/dla-0003.data" # $Id: $
#use wml::debian::translation-check translation="82d2d478335d4a3d361ba6940ff8e42c1de3f5f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Le serveur de courrier électronique Dovecot est vulnérable à une attaque par déni de service à l'encontre des processus imap-login et pop3-login due à un traitement incorrect de la fermeture de connexions SSL/TLS inactives.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 1:1.2.15-7+deb6u1 de dovecot.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2014/dla-0004.data" # $Id: $
#use wml::debian::translation-check translation="e76e9a7d15849251c4d36efca791457c3961e3e5" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Jakub Wilk a découvert qu'APT, le gestionnaire de paquet de haut niveau, ne réalisait pas correctement les vérifications d'authentification pour les paquets source téléchargés par la commande « apt-get source ». Ce problème n'affecte que les cas où les paquets source sont téléchargés avec cette commande ; il n'affecte pas l'installation et la mise à niveau normale des paquets Debian. (<a href="https://security-tracker.debian.org/tracker/CVE-2014-0478";>CVE-2014-0478</a>)</p> <p>APT gérait incorrectement l'option de configuration Verify-Host.Si un attaquant distant était capable de réaliser une attaque de type « homme du milieu », ce défaut pourrait éventuellement être utilisé pour voler l'identité du dépôt. Cela ne concerne que les systèmes qui utilisent les sources d'APT pour des connexions https (cela nécessite que le paquet apt-transport-https est installé). (<a href="https://security-tracker.debian.org/tracker/CVE-2011-3634";>CVE-2011-3634</a>)</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 0.8.10.3+squeeze2 d'apt.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2014/dla-0005.data" # $Id: $
#use wml::debian::translation-check translation="58142fc116b362ebae88cb0343ec365000d2e508" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>La fonction « scheme48-send-definition » dans cmuscheme48.el écrase aveuglement le fichier /tmp/s48lose.tmp avant de l'envoyer au processus inférieur de scheme.</p> <p>Cette action écrasera aveuglement les fichiers que l'utilisateur a le droit de modifier, entraînant une perte de données.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 1.8+dfsg-1+deb6u1 de scheme48.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2014/dla-0006.data" # $Id: $
#use wml::debian::translation-check translation="0489e1b952f47155cfd52286f4b52319011dbc06" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3153";>CVE-2014-3153</a>: <p>Pinkie Pie a découvert un problème dans le sous-système futex qui permet à un utilisateur local d'obtenir le contrôle de l'anneau 0 grâce à l'appel système futex. Un utilisateur normal pourrait utiliser ce défaut pour planter le noyau (avec comme résultat un déni de service) ou pour une élévation de privilèges.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1438";>CVE-2014-1438</a>: <p>La fonction restore_fpu_checking de arch/x86/include/asm/fpu-internal.h dans le noyau Linux antérieur à 3.12.8 sur les plateformes AMD K7 et K8 ne nettoyait pas les exceptions en attente avant de réaliser une instruction EMMS. Cela permet à des utilisateurs locaux de provoquer un déni de service (tâche tuée) ou éventuellement obtenir des privilèges à l'aide d'une application contrefaite.</p></li> </ul> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 2.6.32-48squeeze7 de linux-2.6.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2014/dla-0007.data" # $Id: $
#use wml::debian::translation-check translation="0489e1b952f47155cfd52286f4b52319011dbc06" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0224";>CVE-2014-0224</a> <p>Cette mise à jour applique le correctif amont pour le <a href="https://security-tracker.debian.org/tracker/CVE-2014-0224";>CVE-2014-0224</a> pour traiter les problèmes avec une renégociation sous certaines conditions.</p> <p>Texte original : KIKUCHI Masashi a découvert que des négociations de connexion soigneusement contrefaites pouvaient obliger à l'utilisation de clés faibles, résultant dans de potentielles attaques du type « homme du milieu ».</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4929";>CVE-2012-4929</a> <p>La compression ZLIB est maintenant désactivée par défaut. Si vous avez besoin de la réactiver pour raison quelconque, vous pouvez affecter la variable d'environnement OPENSSL_NO_DEFAULT_ZLIB.</p></li> </ul> <p>Il est important de mettre à niveau le paquet libssl0.9.8 et pas uniquement le paquet openssl.</p> <p>Toutes les applications liées à openssl doivent être redémarrées. Vous pouvez utiliser l'outil checkrestart du paquet debian-goodies pour détecter les programmes affectés ou redémarrer votre système.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 0.9.8o-4squeeze16 d'openssl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2014/dla-0008.data" # $Id: $
#use wml::debian::translation-check translation="32e6088e049a0b2aa393d63c650b6db21fd6214e" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>La fonction clean_html() de lxml (liaisons Python pour les bibliothèques libxml2 et libxslt) réalise une vérification insuffisante de certains caractères non imprimables. Cela pourrait conduire à un problème de script intersite.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 2.2.8-2+deb6u1 de lxml.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2014/dla-0009.data" # $Id: $
