Bonjour, On 9/30/19 10:30 PM, JP Guillonneau wrote: > Ces annonces de sécurité ont été publiées. > Les fichiers sont aussi disponibles ici : > https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml > https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml
quelques suggestions après relecture complète. Bien cordialement, Grégoire
--- dla-1932.wml 2019-10-01 09:36:50.966353454 +0800 +++ gregoire.dla-1932.wml 2019-10-01 09:28:04.395215163 +0800 @@ -1,7 +1,7 @@ #use wml::debian::translation-check translation="1fe88c119d23384c59ccd2398be9feb00895a4a3" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> -<p>Deux vulnérabilité de sécurité ont été trouvés dans OpenSSL, la boîte à +<p>Deux vulnérabilités de sécurité ont été trouvées dans OpenSSL, la boîte à outils associée à SSL (Secure Socket Layer).</p> <ul> @@ -16,7 +16,7 @@ groupe n’ait pas de cofacteur présent. Cela peut arriver même si tous les paramètres correspondent à une courbe nommée connue. Si une telle courbe est utilisée, alors OpenSSL se retrouve avec des chemins dont le code n’est -pas immunisé contre les canaux auxiliaires. Cela peut aboutir dans la +pas immunisé contre les canaux auxiliaires. Cela peut aboutir à la récupération entière de la clef lors des opérations de signature ECDSA. Pour être vulnérable, un attaquant devrait avoir la possibilité de chronométrer la création d’un grand nombre de signatures où des paramètres @@ -29,7 +29,7 @@ <p>Dans les situations où un attaquant reçoit une notification automatique de la réussite ou l’échec d’un essai de déchiffrement, un attaquant, après l’envoi d’un très grand nombre de messages à déchiffrer, peut récupérer -une clef de chiffrement délivré en CMS ou PKCS7 ou déchiffrer n’importe quel +une clef de chiffrement délivrée en CMS ou PKCS7 ou déchiffrer n’importe quel message de chiffrement RSA qui était chiffré avec la clef RSA publique, en utilisant une attaque d’oracle par remplissage Bleichenbacher. Les applications ne sont pas affectées si elles utilisent un certificat de
--- dla-1937.wml 2019-10-01 09:36:47.622370693 +0800 +++ gregoire.dla-1937.wml 2019-10-01 09:31:49.394337258 +0800 @@ -8,8 +8,8 @@ URL contrefaite pointant vers un serveur hors de contrôle, a été découverte et signalée dans <a href="https://security-tracker.debian.org/tracker/CVE-2019-10751">CVE-2019-10751</a>. Cela a été corrigé en amont et lorsque « --download » sans « --output » -aboutit à une redirection, maintenant seule l’URL initiale est prise en -compte, mais pas la dernière.</p> +aboutit à une redirection, seule l’URL initiale est désormais prise en +compte, pas la dernière.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 0.8.0-1+deb8u1.</p>