Bonjour, Une nouvelle annonce de sécurité vient d'être publiée. En voici une traduction. Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités ont été découvertes dans Prosody, un serveur Jabber/XMPP léger.
Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1231";>CVE-2016-1231</a> <p>Kim Alvefur a découvert un défaut dans le module HTTP de serveur de fichiers de Prosody qui lui permet de répondre à des requêtes en dehors du répertoire public racine configuré. Un attaquant distant peut exploiter ce défaut pour accéder à des fichiers privés y compris des données sensibles. La configuration par défaut n'active pas le module mod_http_files et, donc, n'est pas vulnérable.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1232";>CVE-2016-1232</a> <p>Thijs Alkemade a découvert que la génération par Prosody de jeton secret pour l'authentification de rappel de serveur à serveur reposait sur un générateur de nombres aléatoires faible qui n'était pas sûrs d'un point de vue cryptographique. Un attaquant distant peut tirer avantage de ce défaut pour deviner les valeurs probables de la clé secrète et usurper le domaine affecté à d'autres serveurs du réseau.</p></li> </ul> <p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 0.8.2-4+deb7u3.</p> <p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 0.9.7-2+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets prosody.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dsa-3439.data" # $Id: dsa-3439.wml,v 1.1 2016/01/10 10:53:46 jipege1-guest Exp $
