Bonjour,six nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures.
Amicalement, jipege
#use wml::debian::translation-check translation="fdd9ff1c0560cb3949f0c27535b4e1a9d424b687" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans la servlet Tomcat et le moteur JSP.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-43980">CVE-2021-43980</a> <p>L'implémentation simplifiée de blocage de lectures et d'écritures introduite dans Tomcat 10 et rétroportée sur les versions 9.0.47 et suivantes de Tomcat exposait à un vieux bogue de concurrence (mais extrêmement difficile à déclencher) qui pouvait faire que les connexions d'un client partagent une instance de Http11Processor avec pour conséquence la réception de réponses ou de fragments de réponses par le mauvais client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-23181">CVE-2022-23181</a> <p>Le correctif pour le bogue <a href="https://security-tracker.debian.org/tracker/CVE-2020-9484">CVE-2020-9484</a> introduisait une vulnérabilité de compétition entre la vérification et l'utilisation dans Apache Tomcat qui permettait à un attaquant local de réaliser des actions avec les privilèges de l'utilisateur que le processus de Tomcat utilise. Ce problème est seulement exploitable quand Tomcat est configuré pour des sessions persistantes utilisant le FileStore.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-29885">CVE-2022-29885</a> <p>La documentation d'Apache Tomcat pour l'EncryptInterceptor déclarait à tort qu'il permettait aux grappes de Tomcat de fonctionner sur un réseau non sûr. Ce n'était pas exact. Même si l'EncryptInterceptor fournit bien une protection de confidentialité et d'intégrité, il ne protège pas contre tous les risques associés à une exécution sur un réseau non sûr, en particulier contre les risques de déni de service.</p></li> </ul> <p>Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 9.0.43-2~deb11u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets tomcat9.</p> <p>Pour disposer d'un état détaillé sur la sécurité de tomcat9, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/tomcat9">\ https://security-tracker.debian.org/tracker/tomcat9</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2022/dsa-5265.data" # $Id: $
#use wml::debian::translation-check translation="91bff45110092492d216016888385e0d61d54e93" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Apache Batik, une bibliothèque SVG pour Java, permettait à des attaquants d'exécuter du code Java arbitraire en traitant un fichier SVG malveillant.</p> <p>Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 1.12-4+deb11u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets batik.</p> <p>Pour disposer d'un état détaillé sur la sécurité de batik, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/batik">\ https://security-tracker.debian.org/tracker/batik</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2022/dsa-5264.data" # $Id: $
#use wml::debian::translation-check translation="8f38dafc6e4469427ffe1a9e469914511c6cf926" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Un problème de sécurité a été découvert dans Chromium. Cela pouvait avoir pour conséquence l'exécution de code arbitraire.</p> <p>Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 107.0.5304.87-1~deb11u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets chromium.</p> <p>Pour disposer d'un état détaillé sur la sécurité de chromium, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/chromium">\ https://security-tracker.debian.org/tracker/chromium</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2022/dsa-5263.data" # $Id: $
#use wml::debian::translation-check translation="d2ea329f630dc3eca2b2c30d0d9cba456c4bce20" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans Thunderbird, qui pouvaient avoir pour conséquences un déni de service ou l'exécution de code arbitraire.</p> <p>Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 1:102.4.0-1~deb11u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets thunderbird.</p> <p>Pour disposer d'un état détaillé sur la sécurité de thunderbird, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/thunderbird">\ https://security-tracker.debian.org/tracker/thunderbird</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2022/dsa-5262.data" # $Id: $
#use wml::debian::translation-check translation="44e54c86a6afe5dedfc28555dc7ef8c9001045c2" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans Chromium. Cela pouvait avoir pour conséquences l'exécution de code arbitraire, un déni de service ou la divulgation d'informations.</p> <p>Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 107.0.5304.68-1~deb11u1.</p <p>Nous vous recommandons de mettre à jour vos paquets chromium.</p> <p>Pour disposer d'un état détaillé sur la sécurité de chromium, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/chromium">\ https://security-tracker.debian.org/tracker/chromium</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2022/dsa-5261.data" # $Id: $
#use wml::debian::translation-check translation="33568c86db030bc55a38e4f5be0d746338709c16" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Igor Ponomarev a découvert que LAVA, un système d'intégration continue pour déployer des systèmes d'exploitation sur des matériels physiques et virtuels pour l'exécution de test, utilisait exec() sur les entrées passées au composant serveur.</p> <p>Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 2020.12-5+deb11u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets lava.</p> <p>Pour disposer d'un état détaillé sur la sécurité de lava, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/lava">\ https://security-tracker.debian.org/tracker/lava</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2022/dsa-5260.data" # $Id: $
Attachment:
OpenPGP_signature
Description: OpenPGP digital signature