Bonjour, Le 05/12/2019 à 03:41, Grégoire Scano a écrit : > Bonjour, > > On 12/5/19 9:01 AM, Jean-Pierre Giraud wrote: >> quelques anciennes annonces de sécurité de plus. >> >> Les textes en anglais sontt ici : >> >> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-128xxxxx.wml > deux petites coquilles après relecture complète. > > Bien cordialement, > Grégoire
C'est corrigé. De nouvelles relectures ? Amicalement, jipege
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité de dissimulation de requête a été découverte dans pound qui peut permettre à des attaquants d'envoyer une requête HTTP contrefaite pour l'occasion à un serveur web ou à un mandataire inverse tandis que pound peut voir un ensemble différent de requêtes. Cela facilite plusieurs exploitations possibles, comme un empoisonnement partiel de cache, le contournement de la protection du pare-feu et un script intersite (XSS).</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 2.6-2+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets pound.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1280.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Pierre Giraud" <define-tag description>LTS security update</define-tag> <define-tag moreinfo> <p>Il s'agit d'une mise à jour de la DLA-1283-1. Dans la DLA-1283-1, il est prétendu que le problème décrit dans le <a href="https://security-tracker.debian.org/tracker/CVE-2018-6594">CVE-2018-6594</a> est corrigé. Il s'avère que la correction est partielle et l'amont a décidé de ne pas corriger ce problème dans la mesure où il pourrait rompre la compatibilité et où le chiffrement ElGamal n'est pas censé fonctionner tout seul.</p> <p>La recommandation est toujours de mettre à niveau les paquets de python-crypto. En complément, veuillez tenir compte du fait que le correctif n'est pas complet. Si vous avez une application utilisant python-crypto qui implémente le chiffrement ElGamal, vous devriez envisager de passer à une autre méthode de chiffrement.</p> <p>Il n'y aura pas d'autre mise à jour de python-crypto pour ce CVE spécifique. Un correctif pourrait rompre la compatibilité, le problème a été ignoré par l'équipe normale de sécurité de Debian du fait de son caractère mineur et qu'en plus, nous sommes près de la fin de vie de la prise en charge de sécurité de <q>Weezy</q>.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6594">CVE-2018-6594</a> <p>python-crypto créait des paramètres de clé ElGamal faibles, ce qui permettait à des attaquants d'obtenir des informations sensibles en lisant des données de texte chiffré (c'est-à-dire, il n'avait pas de sécurité sémantique face à une attaque uniquement par texte chiffré).</p></li> </ul> <p>Nous vous recommandons de mettre à jour vos paquets python-crypto.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 2.6-4+deb7u8.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1283-2.data" # $Id: $