bonjour, peut etre une suggestion,
amicalement, bubu Le 20/12/2020 à 11:27, JP Guillonneau a écrit :
Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml Merci d’avance pour vos relectures. Amicalement.
--- dla-2500.wml 2020-12-20 15:21:21.891347212 +0100 +++ dla-2500.relu.wml 2020-12-20 15:25:09.499443629 +0100 @@ -62,7 +62,7 @@ interrompt alors la négociation TLS si quelque chose est faux dans la réponse. La même fonctionnalité peut être activée avec --cert-status en utilisant l’outil curl. Comme part de la vérification de réponse OCSP, un client doit vérifier -que la réponse et effectivement pour le bon certificat. Cette étape n’était pas +que la réponse soit effectivement pour le bon certificat. Cette étape n’était pas réalisée par libcurl lorsque construite ou indiquée d’utiliser OpenSSL comme dorsal TLS. Ce défaut pouvait permettre à un attaquant, qui pouvait peut être avoir déjoué un serveur TLS, de fournir une réponse OCSP frauduleuse apparaissant
