Bonjour,Quatre nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures.
Amicalement, jipege
#use wml::debian::translation-check translation="02ea7d3e2796175e3ace894871cb07c7aac91ecb" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un défaut de dépassement de tampon tas a été découvert dans libmodbus, une bibliothèque pour le protocole Modbus, qui pouvait être exploité pour une attaque par déni de service ou une corruption de mémoire.</p> <p>Pour Debian 10 Buster, ce problème a été corrigés dans la version 3.1.4-2+deb10u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libmodbus.</p> <p>Pour disposer d'un état détaillé sur la sécurité de libmodbus, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/libmodbus";>\ https://security-tracker.debian.org/tracker/libmodbus</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow" href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3098.data" # $Id: $
#use wml::debian::translation-check translation="5e81939162a43d316a4373bc54170667f6222625" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans Thunderbird, qui pouvaient avoir pour conséquences un déni de service ou l'exécution de code arbitraire.</p> <p>Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 1:91.13.0-1~deb10u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets thunderbird.</p> <p>Pour disposer d'un état détaillé sur la sécurité de thunderbird, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/thunderbird";>\ https://security-tracker.debian.org/tracker/thunderbird</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3097.data" # $Id: $
#use wml::debian::translation-check translation="f7b7e2e6ca01177261631b7f0e11b1e622eecad1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Les vulnérabilités suivantes ont été découvertes dans le moteur web WebKitGTK :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-32893";>CVE-2022-32893</a> <p>Un chercheur anonyme a découvert que le traitement d'un contenu web contrefait pouvait conduire à l'exécution de code arbitraire. Apple a été informé d'un rapport indiquant que ce problème a été activement exploité.</p></li> </ul> <p>Pour Debian 10 Buster, ce problème a été corrigés dans la version 2.36.7-1~deb10u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets webkit2gtk.</p> <p>Pour disposer d'un état détaillé sur la sécurité de webkit2gtk, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/webkit2gtk";>\ https://security-tracker.debian.org/tracker/webkit2gtk</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3087.data" # $Id: $
#use wml::debian::translation-check translation="bba716991bc7d1f5464a9230f22dbfd4ed96c0d2" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il y avait un vulnérabilité de traversée potentielle de répertoires dans ruby-tzinfo, une bibliothèque de gestion de fuseaux horaires pour le langage de programmation Ruby.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-31163";>CVE-2022-31163</a> <p>TZInfo is une bibliothèque Ruby qui fournit un accès aux données de fuseau horaire et permet la conversion de données horaires en utilisant les règles de fuseau horaire. Les versions antérieures à la version 0.36.1, ainsi que celles antérieures à la version 1.2.10 quand elle est utilisée avec les sources de données de Ruby tzinfo-data, sont vulnérables à une relative traversée de répertoires. Avec ces sources de données, les fuseaux horaires sont définis dans des fichiers de Ruby. Il y a un fichier par fuseau horaire. Ces fichiers sont chargés à la demande avec <q>require</q>. Dans les versions affectées, <q>TZInfo::Timezone.get</q> échoue à valider correctement les identifiants de fuseau horaire, autorisant un caractère de saut de ligne dans l'identifiant. Avec la version 1.9.3 de Ruby et les suivantes, <q>TZInfo::Timezone.get</q> peut être amené à charger des fichiers inattendus avec <q>require</q>, les exécutant dans le processus de Ruby. Les versions 0.3.61 et 1.2.10 incluent des correctifs pour valider correctement les identifiants de fuseau horaire. Les versions 2.0.0 et les suivantes ne sont pas vulnérables. La version 0.3.61 peut encore charger des fichiers arbitraires à partir du chemin de chargement de Ruby si leur nom suit les règles d'un identifiant de fuseau horaire valable et le fichier a un préfixe <q>tzinfo/definition</q> dans un répertoire dans le chemin de chargement. Les applications devraient s'assurer que des fichiers non fiables ne se trouvent pas dans un répertoire dans le chemin de chargement. Pour contourner ce problème, l'identifiant de fuseau horaire peut être validé avant d'être passé à <q>TZInfo::Timezone.get</q> en s'assurant qu'il correspond à l'expression rationnelle <q>\A[A-Za-z0-9+\-_]+(?:\/[A-Za-z0-9+\-_]+)*\z</q>.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans la version 1.2.5-1+deb10u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets ruby-tzinfo.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3077.data" # $Id: $
Attachment:
OpenPGP_signature
Description: OpenPGP digital signature