[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://lts/security/2020/dla-221{6,7}.wml

Bonjour,

le mardi 26 mai 16:18, Grégoire Scano a écrit :

>quelques suggestions et préférences personnelles.
>

Merci Grégoire, incorporées.

Les fichiers sont ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Autre chance de commentaire.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="7882b5b7ec70cb22d1377e56ab2123a55e821785" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert quâ??il existait une exécution potentielle de code à
distance à lâ??aide dâ??une désérialisation dans tomcat7, un serveur pour HTTP et
les « servlets » Java.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9484";>CVE-2020-9484</a>

<p>Lors de lâ??utilisation dâ??Apache Tomcat, versions 10.0.0-M1 à 10.0.0-M4,
9.0.0.M1 à 9.0.34, 8.5.0 à 8.5.54 et 7.0.0 à 7.0.103, si : a) un attaquant était
capable de contrôler le contenu et le nom dâ??un fichier sur le serveur, b)
le serveur était configuré pour utiliser PersistenceManager avec un FileStore,
c) le PersistenceManager était configuré avec
sessionAttributeValueClassNameFilter="null" (la valeur par défaut à moins quâ??un
SecurityManager soit utilisé ) ou quâ??un filtre assez faible permettait la
désérialisation de lâ??objet fourni à lâ??attaquant, d) lâ??attaquant connaissait le
chemin relatif dans l'emplacement de stockage utilisé par FileStore
du fichier dont il avait le contrôle, alors, en utilisant une requête
spécialement contrefaite, lâ??attaquant était capable de déclencher une exécution
de code à distance par la désérialisation dâ??un fichier sous son contrôle.
Il est à remarquer que toutes les conditions (a à d) devaient être satisfaites
pour la réussite de lâ??attaque.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 7.0.56-3+really7.0.100-1+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tomcat7.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2217.data"
# $Id: $

#use wml::debian::translation-check translation="fb0d1c16c8295b2df92b980c9e3fd059ed23a68f" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il existait une vulnérabilité de possible traversée de répertoires dans
lâ??<em>app</em> de Rack::Directory fournie avec Rack.</p>

<p>Si certains répertoires existent dans un répertoire géré par Rack::Directory,
un attaquant peut, en utilisant cette vulnérabilité, lire le contenu de fichiers
sur le serveur en dehors de la racine précisée lors de lâ??initialisation de
Rack::Directory.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.5.2-3+deb8u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ruby-rack.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2216.data"
# $Id: $
Reply to: