Bonjour, Une nouvelle annonce de sécurité vient d'être publiée. En voici une traduction. Merci d'avance pour vos relectures.
Amicalement, jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans krb5, l'implémentation du MIT de Kerberos. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4341">CVE-2014-4341</a> <p>Un attaquant distant non authentifié avec la capacité d'injecter des paquets dans une session d'application GSSAPI légitimement établie peut provoquer un plantage du programme dû à des références de mémoire invalides lors d'une tentative de lecture au-delà de la fin d'un tampon.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4342">CVE-2014-4342</a> <p>Un attaquant distant non authentifié avec la capacité d'injecter des paquets dans une session d'application GSSAPI légitimement établie peut provoquer un plantage du programme dû à des références de mémoire invalides lors d'une lecture au-delà de la fin d'un tampon ou en causant un déréférencement de pointeur NULL.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4343">CVE-2014-4343</a> <p>Un attaquant distant non authentifié avec la capacité d'usurper des paquets qui apparaissent venir d'un accepteur GSSAPI peut provoquer une condition de double libération de zone de mémoire dans des initiateurs (clients) GSSAPI qui utilisent le mécanisme SPNEGO, en retournant un mécanisme sous-jacent différent de celui proposé par l'initiateur. Un attaquant distant pourrait exploiter ce défaut pour provoquer un plantage d'application ou éventuellement exécuter du code arbitraire.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4344">CVE-2014-4344</a> <p>Un attaquant distant non authentifié ou partiellement authentifié peut provoquer un déréférencement de NULL et un plantage d'application pendant une négociation SPNEGO en envoyant un jeton vide, comme jeton de second contexte ou plus, de l'initiateur à l'accepteur.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4345">CVE-2014-4345</a> <p>Quand kadmind est configuré pour utiliser LDAP pour la base de données du KDC (centre de distribution de clé), un attaquant distant authentifié peut lui faire réaliser une écriture hors limites (dépassement de tampon).</p></li> </ul> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.10.1+dfsg-5+deb7u2.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.12.1+dfsg-7.</p> <p>Nous vous recommandons de mettre à jour vos paquets krb5.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dsa-3000.data" # $Id: dsa-3000.wml,v 1.1 2014/08/09 20:07:19 jipege1-guest Exp $