[RFR] wml://lts/security/2020/dla-21{15-2,33,36 }.wml
Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="cb63a631d1e137f78e0dc60b234d4eb316ab7585" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert quâ??il existait une vulnérabilité de lecture de tampon hors
limites dans <tt>libvpx</tt>, une bibliothèque mettant en Å?uvre les codecs vidéo
VP8 &Â VP9.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-0034";>CVE-2020-0034</a></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.3.0-3+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libvpx.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2136.data"
# $Id: $
#use wml::debian::translation-check translation="5cce6e19042ece6cac569ce8e96257a21f73442b" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans la servlet
Tomcat et le moteur JSP.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-17569";>CVE-2019-17569</a>
<p>La réécriture dans 7.0.98 introduisait une régression. Le résultat de la
régression faisait que les en-têtes Transfer-Encoding non valables étaient
traités incorrectement conduisant à une possibilité de dissimulation de requête
HTTP si Tomcat résidait derrière un mandataire inverse qui gérait
incorrectement lâ??en-tête Transfer-Encoding non valable dâ??une certaine manière.
Un tel mandataire inverse est considéré comme peu probable.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1935";>CVE-2020-1935</a>
<p>Le code dâ??analyse dâ??en-têtes header utilisait une manière dâ??analyse de fin
de ligne (EOL) qui permettait à quelques en-têtes HTTP non valables dâ??être
analysés comme valables. Cela conduisait à une possibilité de dissimulation de
requête HTTP si Tomcat résidait derrière un mandataire inverse qui gérait
incorrectement lâ??en-tête Transfer-Encoding non valable dâ??une certaine manière.
Un tel mandataire inverse est considéré comme peu probable.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1938";>CVE-2020-1938</a>
<p>Lors de lâ??utilisation du protocole Apache JServ (AJP), une attention doit
être portée lors de la confiance dans les connexions entrantes vers Apache
Tomcat. Tomcat traite les connexions AJP comme de plus haute confiance que,
par exemple, une connexion HTTP similaire. Si de telles connexions sont
disponibles à un attaquant, elles peuvent être exploitées de manières
surprenantes. Avant sa version 7.0.100, Tomcat était fourni avec un connecteur
AJP activé par défaut qui écoutait toutes les adresses IP configurées. Il était
prévu (et recommandé dans le guide de sécurité) que ce connecteur soit désactivé
sâ??il nâ??était pas requis.</p>
<p>Il est à remarquer que Debian désactive le connecteur AJP par défaut. La
mitigation est seulement nécessaire si le port AJP était accessible aux
utilisateurs non fiables.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 7.0.56-3+really7.0.100-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets tomcat7.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2133.data"
# $Id: $
#use wml::debian::translation-check translation="04e404003ca9b52983bb51dae340192671e02ae0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert quâ??il existait une régression dans le précédent correctif
pour une vulnérabilité dâ??utilisation de mémoire après libération dans le serveur
FTP <tt>proftpd-dfsg</tt>.</p>
<p>Lâ??exploitation de la vulnérabilité originale dans la gestion de la mémoire
mutuelle pouvait permettre à un attaquant distant dâ??exécuter du code arbitraire
sur le système affecté. Cependant, le correctif publié dans <tt>proftpd-dfsg</tt>,
version <tt>1.3.5e+r1.3.5-2+deb8u6</tt>, possédait une régression concernant le
traitement du formatage des journaux.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9273";>CVE-2020-9273</a>
<p>Dans ProFTPD 1.3.7, il était possible de corrompre la mémoire mutuelle en
interrompant le canal de transfert de données. Cela provoquait une utilisation
de mémoire après libération dans <tt>alloc_pool</tt> dans <tt>pool.c</tt>, et
une possible exécution de code à distance.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.3.5e+r1.3.5-2+deb8u7.</p>
<p>Nous vous recommandons de mettre à jour vos paquets proftpd-dfsg.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2115.data"
# $Id: $
Reply to: