[RFR] wml://lts/security/2020/dla-22{78,79 }.wml

To: Debian-l10n French <debian-l10n-french@lists.debian.org>
Subject: [RFR] wml://lts/security/2020/dla-22{78,79 }.wml
From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
Date: Tue, 14 Jul 2020 12:31:48 +0200
Message-id: <[🔎] 20200714123148.024606bb@debian>

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="cc6531c220bcd1ef75e9490518fd2f6e2809dd90" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnÃ©rabilitÃ©s ont Ã©tÃ© dÃ©couvertes dans la servlet Tomcat et le
moteur JSP.</p>


<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9484";>CVE-2020-9484</a>

<p>Lors de lâ??utilisation dâ??Apache Tomcat, et a)Â un attaquant pouvait contrÃ´ler le
contenu et le nom dâ??un fichier sur le serveur, b)Â le serveur Ã©tait configurÃ© pour
utiliser le PersistenceManager avec un FileStore, c)Â le PersistenceManager Ã©tait
configurÃ© avec sessionAttributeValueClassNameFilter="null" (par dÃ©faut Ã  moins
quâ??un SecurityManager Ã©tait utilisÃ©) ou un filtre suffisamment laxiste pour
permettre Ã  lâ??attaquant de fournir un objet Ã  dÃ©sÃ©rialiser et d)Â lâ??attaquant
connaissait un chemin relatif de fichier vers lâ??emplacement de stockage utilisÃ©
par FileStore pour le fichier dont lâ??attaquant avait le contrÃ´le, alors, Ã  lâ??aide
dâ??une requÃªte spÃ©cialement contrefaite, lâ??attaquant Ã©tait capable de dÃ©clencher
une exÃ©cution de code Ã  distance Ã  lâ??aide dâ??une dÃ©sÃ©rialisation du fichier sous
son contrÃ´le. Il est Ã  remarquer que toutes les conditions devaient Ãªtre remplies
pour la rÃ©ussite de lâ??attaque.</p>

</li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11996";>CVE-2020-11996</a>

<p>Une sÃ©quence contrefaite pour l'occasion de requÃªtes HTTP/2 envoyÃ©es Ã  Apache
Tomcat pouvaient dÃ©clencher un usage immodÃ©rÃ© de CPU pendant plusieurs secondes.
Si un nombre suffisamment grand de telles requÃªtes Ã©taient faites sur des
connexions concurrentes HTTP/2, le serveur pouvait ne pas rÃ©agir.</p></li>

</ul>

<p>Pour DebianÂ 9 <q>stretch</q>, ces problÃ¨mes ont Ã©tÃ© corrigÃ©s dans
la versionÂ 8.5.54-0+deb9u2.</p>

<p>Nous vous recommandons de mettre Ã  jour vos paquets tomcat8.</p>

<p>Pour disposer d'un Ã©tat dÃ©taillÃ© sur la sÃ©curitÃ© de tomcat8, veuillez
consulter sa page de suivi de sÃ©curitÃ© Ã  l'adresseÂ :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/tomcat8";>https://security-tracker.debian.org/tracker/tomcat8</a></p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2279.data"
# $Id: $

#use wml::debian::translation-check translation="b4fc6dfebbd302d9fe554a7a7bf4c368d73ad83e" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a Ã©tÃ© dÃ©couvert que Squid, un serveur mandataire et de cache de haute
performance pour les clients web, Ã©tait affectÃ© de plusieurs vulnÃ©rabilitÃ© de
sÃ©curitÃ©. Ã? cause dâ??une mauvaise validation dâ??entrÃ©e et de gestion de requÃªte
dâ??URL, il Ã©tait possible de contourner les restrictions dâ??accÃ¨s Ã  des serveurs
HTTP limitÃ©s et de provoquer un dÃ©ni de service.</p>

<p>Pour DebianÂ 9 <q>stretch</q>, ces problÃ¨mes ont Ã©tÃ© corrigÃ©s dans
la versionÂ 3.5.23-5+deb9u2.</p>

<p>Nous vous recommandons de mettre Ã  jour vos paquets squid3.</p>

<p>Pour disposer d'un Ã©tat dÃ©taillÃ© sur la sÃ©curitÃ© de squid3, veuillez
consulter sa page de suivi de sÃ©curitÃ© Ã  l'adresseÂ :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/squid3";>https://security-tracker.debian.org/tracker/squid3</a></p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2278.data"
# $Id: $

Reply to:

Follow-Ups:
- Re: [RFR] wml://lts/security/2020/dla-22{78,79 }.wml
  - From: bubu <bubub@no-log.org>

Prev by Date: [RFR] po://developers-reference/developer-duties 6f 8u
Next by Date: [RFR2] wml://lts/security/2020/dla-22{69,70,71,75,76,77 }.wml
Previous by thread: Re: [RFR2] po://developers-reference/developer-duties 6f 8u
Next by thread: Re: [RFR] wml://lts/security/2020/dla-22{78,79 }.wml
Index(es):
- Date
- Thread