[LCFC2] wml://security/2016/dla-40{0,1,2,3,4}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

le mercredi 09 août 19:35, Baptiste Jammet a écrit :

>Typos après relecture tardive.
Merci, corrigé.
Autres relectures

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour corrige certaines vulnérabilités de pound dans
Squeeze-lts en rétroportant la version dans Wheezy.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-3555";>CVE-2009-3555</a>

<p>Le protocole TLS et le protocole SSL 3.0 ou éventuellement les versions
précédentes, tels quâ??utilisés dans IIS 7.0 (Internet Information Services) de
Microsoft, mod_ssl dans Server 2.2.14 HTTP dâ??Apache et versions
précédentes, OpenSSL versions avant 0.9.8l, GnuTLS 2.8.5 et versions
précédentes, NSS (Network Security Services) de Mozilla versions 3.12.4 et
précédentes, de nombreux produits de Cisco et dâ??autres produits, nâ??associent
pas correctement les renégociations dâ??initialisation de connexion avec une
connexion existante. Cela permet aux attaquants de type « homme du milieu »
dâ??insérer des données dans des sessions HTTPS et, éventuellement, dâ??autres
types de sessions protégées par TLS ou SSL, en envoyant des requêtes non
authentifiées traitées rétroactivement par un serveur dans un contexte de
post-renégociation, lié à une attaque <q>injection de texte en clair</q>,
c'est-à -dire, un problème <q>projet Mogul</q>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3389";>CVE-2011-3389</a>

<p>Le protocole SSL, tel quâ??utilisé dans certaines configurations dans Microsoft
Windows et Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera et
dâ??autres produits, chiffre les données en utilisant le mode CBC avec les
vecteurs d'initialisation enchainés. Cela permet aux attaquants de type « homme
du milieu » dâ??obtenir les en-têtes HTTP en clair à  l'aide d'une attaque BCBA
(blockwise chosen-boundary) dans une session HTTPS, en conjonction avec du code
JavaScript utilisant : (1) lâ??API HTML5 WebSocket, (2) lâ??Api Java URLConnection
ou (3)Â lâ??API Silverlight WebClient, c'est-Ã -dire, une attaque <q>BEAST</q>.</p>
</li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4929";>CVE-2012-4929</a>

<p>Le protocole TLS 1.2 et versions précédentes, tel quâ??utilisé dans
Mozilla Firefox, Google Chrome, Qt et dâ??autres produits, peut chiffrer des
données compressées sans brouiller correctement la taille des données non
chiffrées. Cela permet aux attaquants de type « homme du milieu » dâ??obtenir les
en-têtes HTTP en clair, en observant des différences de taille lors dâ??une série
de suppositions dans lesquelles une chaîne dans une requête HTTP correspond
éventuellement à une chaîne inconnue dans un en-tête HTTP, c'est-à -dire, une
attaque <q>CRIME</q>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566";>CVE-2014-3566</a>

<p>Le protocole SSL 3.0, tel quâ??utilisé dans OpenSSL jusquâ??à  1.0.1i et dâ??autres
produits, utilise le formatage non-déterministe de CBC, permettant plus
facilement à  des attaquants de type « homme du milieu » dâ??obtenir des données
en clair à  lâ??aide dâ??une attaque <q>padding-oracle</q>, c'est-à -dire, un
problème <q>POODLE</q>.</p></li>

</ul>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-400.data"
# $Id: dla-400.wml,v 1.2 2017/08/09 20:21:41 jptha-guest Exp $