Bonjour, le mercredi 09 août 19:35, Baptiste Jammet a écrit :
>Typos après relecture tardive. Merci, corrigé. Autres relectures Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Cette mise à jour corrige certaines vulnérabilités de pound dans Squeeze-lts en rétroportant la version dans Wheezy.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2009-3555";>CVE-2009-3555</a> <p>Le protocole TLS et le protocole SSL 3.0 ou éventuellement les versions précédentes, tels quâutilisés dans IIS 7.0 (Internet Information Services) de Microsoft, mod_ssl dans Server 2.2.14 HTTP dâApache et versions précédentes, OpenSSL versions avant 0.9.8l, GnuTLS 2.8.5 et versions précédentes, NSS (Network Security Services) de Mozilla versions 3.12.4 et précédentes, de nombreux produits de Cisco et dâautres produits, nâassocient pas correctement les renégociations dâinitialisation de connexion avec une connexion existante. Cela permet aux attaquants de type « homme du milieu » dâinsérer des données dans des sessions HTTPS et, éventuellement, dâautres types de sessions protégées par TLS ou SSL, en envoyant des requêtes non authentifiées traitées rétroactivement par un serveur dans un contexte de post-renégociation, lié à une attaque <q>injection de texte en clair</q>, c'est-à -dire, un problème <q>projet Mogul</q>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3389";>CVE-2011-3389</a> <p>Le protocole SSL, tel quâutilisé dans certaines configurations dans Microsoft Windows et Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera et dâautres produits, chiffre les données en utilisant le mode CBC avec les vecteurs d'initialisation enchainés. Cela permet aux attaquants de type « homme du milieu » dâobtenir les en-têtes HTTP en clair à l'aide d'une attaque BCBA (blockwise chosen-boundary) dans une session HTTPS, en conjonction avec du code JavaScript utilisant : (1) lâAPI HTML5 WebSocket, (2) lâApi Java URLConnection ou (3) lâAPI Silverlight WebClient, c'est-à -dire, une attaque <q>BEAST</q>.</p> </li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4929";>CVE-2012-4929</a> <p>Le protocole TLS 1.2 et versions précédentes, tel quâutilisé dans Mozilla Firefox, Google Chrome, Qt et dâautres produits, peut chiffrer des données compressées sans brouiller correctement la taille des données non chiffrées. Cela permet aux attaquants de type « homme du milieu » dâobtenir les en-têtes HTTP en clair, en observant des différences de taille lors dâune série de suppositions dans lesquelles une chaîne dans une requête HTTP correspond éventuellement à une chaîne inconnue dans un en-tête HTTP, c'est-à -dire, une attaque <q>CRIME</q>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566";>CVE-2014-3566</a> <p>Le protocole SSL 3.0, tel quâutilisé dans OpenSSL jusquâà  1.0.1i et dâautres produits, utilise le formatage non-déterministe de CBC, permettant plus facilement à des attaquants de type « homme du milieu » dâobtenir des données en clair à lâaide dâune attaque <q>padding-oracle</q>, c'est-à -dire, un problème <q>POODLE</q>.</p></li> </ul> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dla-400.data" # $Id: dla-400.wml,v 1.2 2017/08/09 20:21:41 jptha-guest Exp $
