[RFR] wml://security/2018/dsa-416{4,5,6}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
trois nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une
implémentation de la plateforme Java d'Oracle, avec pour conséquence un
déni de service, un contournement du bac à sable, l'exécution de code
arbitraire, une authentification LDAP/GSS incorrecte, l'utilisation d'un
chiffrement non sûr ou un contournement de restrictions de désérialisation.</p>

<p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
dans la version 7u171-2.6.13-1~deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openjdk-7.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de openjdk-7, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/openjdk-7";>\
https://security-tracker.debian.org/tracker/openjdk-7</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4166.data"
# $Id: dsa-4166.wml,v 1.1 2018/04/05 21:31:56 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Michal Kedzior a découvert deux vulnérabilités dans LDAP Account Manager,
un frontal web pour les répertoires LDAP.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8763";>CVE-2018-8763</a>

<p>La vulnérabilité réfléchie par script intersite (XSS) découverte pourrait
permettre à un attaquant d'exécuter du code JavaScript dans le navigateur de
la victime ou pour la rediriger vers un site web malveillant si la victime
clique sur un lien contrefait pour l'occasion.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8764";>CVE-2018-8764</a>

<p>L'application divulgue le jeton CSRF dans l'URL, ce qui peut être
utilisé par un attaquant pour réaliser une attaque de contrefaçon de
requête intersite, dans laquelle une victime connectée à LDAP Account
Manager pourrait réaliser des actions non désirées dans le frontal en
cliquant sur un lien contrefait par l'attaquant.</p></li>

</ul>

<p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
dans la version 4.7.1-1+deb8u1.</p>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 5.5-1+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ldap-account-manager.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de ldap-account-manager,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/ldap-account-manager";>\
https://security-tracker.debian.org/tracker/ldap-account-manager</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4165.data"
# $Id: dsa-4165.wml,v 1.1 2018/04/05 21:31:56 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le serveur web HTTPD
Apache.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15710";>CVE-2017-15710</a>

<p>Alex Nichols et Jakob Hirsch ont signalé que mod_authnz_ldap, s'il est
configuré avec l'option AuthLDAPCharsetConfig, pourrait provoquer une
lecture hors limite si un en-tête Accept-Language contrefait est fourni.
Cela pourrait éventuellement être utilisé pour une attaque par déni de
service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15715";>CVE-2017-15715</a>

<p>Elar Lang a découvert que l'expression spécifiée dans &lt;FilesMatch&gt;
pourrait faire correspondre « $ » à un caractère de changement de ligne
dans un nom de fichier malveillant, plutôt que de correspondre seulement à 
la fin du nom de fichier. Cela pourrait être exploité dans des
environnements où l'envoi de certains fichiers est bloqué extérieurement,
mais seulement en cherchant la correspondance avec la partie en fin de
ligne du nom de ficher.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1283";>CVE-2018-1283</a>

<p>Quand mod_session est configuré pour faire suivre ses données de session
aux applications CGI (option SessionEnv activée, pas l'option par défaut),
un utilisateur distant pourrait affecter leur contenu en utilisant un
en-tête <q>Session</q>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1301";>CVE-2018-1301</a>

<p>Robert Swiecki a signalé qu'une requête contrefaite pour l'occasion
pourrait faire planter le serveur HTTP Apache, du fait d'un accès hors
limite après que la limite de taille a été atteinte en lisant l'en-tête
HTTP.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1303";>CVE-2018-1303</a>

<p>Robert Swiecki a signalé qu'une en-tête de requête HTTP contrefaite pour
l'occasion pourrait faire planter le serveur HTTP Apache lors de
l'utilisation de mod_cache_socache, du fait d'une lecture hors limite
pendant la préparation des données à mettre en cache dans la mémoire
partagée.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1312";>CVE-2018-1312</a>

<p>Nicolas Daniels a découvert que, lors de la création d'un défi
d'authentification par Digest HTTP, le nonce envoyé par mod_auth_digest pour
empêcher les attaques par rejeu n'était pas correctement généré en utilisant
un générateur de nombres pseudo-aléatoires. Dans une grappe de serveurs
utilisant une configuration d'authentification par Digest commune, les
requêtes HTTP pourraient être rejouées sans détection par un attaquant dans
les serveurs.</p></li>

</ul>

<p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
dans la version 2.4.10-10+deb8u12.</p>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 2.4.25-3+deb9u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de apache2, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/apache2";>https://security-tracker.debian.org/tracker/apache2</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4164.data"
# $Id: dsa-4164.wml,v 1.1 2018/04/05 21:31:56 jipege1-guest Exp $