[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2022/dla-2924.wml

Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="90d38c90a4f920296a242fd764ab2e3841c2f4e5" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il y a une attaque potentielle par déni de service (DoS) distant dans
XStream, une bibliothèque Java utilisée pour sérialiser des objets vers XML
et inversement.</p>

<p>Un attaquant peut avoir consommé 100 % des ressources du processeur,
mais la bibliothèque actuellement surveille et cumule le temps pris pour
ajouter des éléments aux collections, et envoie une exception si un seuil
fixé est dépassé.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-43859";>CVE-2021-43859</a>

<p>XStream est, une bibliothèque Java au code source libre utilisée pour
sérialiser des objets vers XML et inversement. Les versions antérieures à
1.4.19 peuvent permettre à un attaquant distant d'allouer 100 % du temps du
processeur sur le système cible selon le type de processeur ou une
exécution parallèle avec une charge utile telle que cela a pour conséquence
un déni de service uniquement par la manipulation du flux d'entrée traité.
XStream 1.4.19 surveille et cumule le temps pris pour ajouter des éléments
aux collections, et envoie une exception si un seuil fixé est dépassé. Il
est conseillé aux utilisateurs de mettre à niveau leur système dans les
plus brefs délais. Les utilisateurs qui ne peuvent pas effectuer de mise à
niveau peuvent définir le mode NO_REFERENCE pour éviter la récursion.
Consultez GHSA-rmr5-cpv2-vgjf pour davantage de détails sur un palliatif,
si une mise à niveau est impossible.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigé dans la
version 1.4.11.1-1+deb9u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libxstream-java.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-2924.data"
# $Id: $

Attachment: OpenPGP_signature
Description: OpenPGP digital signature

Reply to: