[RFR2] wml://lts/security/2021/dla-25{68,69,70}.wml

To: debian-l10n-french@lists.debian.org
Subject: [RFR2] wml://lts/security/2021/dla-25{68,69,70}.wml
From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
Date: Sat, 20 Feb 2021 08:37:52 +0100
Message-id: <[🔎] 20210220083752.323f5889@debian>
In-reply-to: <[🔎] 543bfd9e-41d5-008b-f29a-d1d38907b24d@laposte.net>
References: <[🔎] 20210220071121.00388fff@debian> <[🔎] 543bfd9e-41d5-008b-f29a-d1d38907b24d@laposte.net>

Bonjour,

le samedi 20 février 11:23, daniel.malgorn@laposte.net a écrit :

>amicales remarques.

Merci Daniel corrigés (sauf deux-points → point-virgule, voir VO)

D’autres commentaires.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="0417ff81ce3293fff5f85fc9dbd0bcd519df9bec" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert qu’il existait une possibilité d’attaque par
empoisonnement du cache web dans Django, un cadriciel de développement web
populaire basé sur Python.</p>

<p>Cela était dû à un traitement non sûr de caractères « ; » dans
<tt>urllib.parse.parse_qsl<tt> de la méthode Python rétroportée vers le code de
base pour corriger d’autres problèmes de sécurité dans le passé.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-23336";>CVE-2021-23336</a>
<p>Les paquets python/cpython de la version 0 et avant la version 3.6.13,
de la version 3.7.0 et avant la version 3.7.10, de la version 3.8.0 et avant la
version 3.8.8, de la version 3.9.0 et avant la version 3.9.2 étaient vulnérables
à un empoisonnement de cache web à l’aide de urllib.parse.parse_qsl et
urllib.parse.parse_qs en utilisant une dissimulation du paramètre appelé de
vecteur. Quand l’attaquant peut séparer les paramètres de requête en utilisant
un point-virgule (;), il peut provoquer une différence dans l’interprétation de
la requête entre le mandataire (avec la configuration par défaut) et le serveur.
Cela peut conduire à des requêtes malveillantes mis en cache comme sûres, car le
mandataire ne voit habituellement pas le deux-points comme un séparateur, et
par conséquent ne l’inclut pas dans une clé de cache d’un paramètre sans clé.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1:1.10.7-2+deb9u11.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2569.data"
# $Id: $

#use wml::debian::translation-check translation="38f80062e2abeb127c295e7a37df1331a66b5bf6" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert qu’il existait une possibilité d’attaque par dépassement
de tampon dans le serveur DNS bind9 causée par un problème dans la politique de
négociation de sécurité dans GSSAPI (« Generic Security Services »).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8625";>CVE-2020-8625</a>
<p>Les serveurs BIND étaient vulnérables s’ils exécutaient une version affectée
et étaient configurés pour utiliser les fonctionnalités de GSS-TSIG. Dans une
configuration utilisant les réglages par défaut de BIND, le code de chemin
vulnérable n’est pas exposé, mais le serveur peut être rendu vulnérable en
réglant explicitement des valeurs autorisées pour les options de configuration
de tkey-gssapi-keytab ou tkey-gssapi-credentialconfiguration. Quoique la
configuration par défaut ne soit pas vulnérable, GSS-TSIG est couramment
utilisé dans les réseaux où BIND est intégré avec Samba, ainsi que dans les
environnements de serveurs mixtes qui combinent des serveurs BIND avec des
contrôleurs de domaine Active Directory. Le résultat le plus probable d’une
exploitation réussie de la vulnérabilité est un plantage du processus nommé.
Cependant, une exécution de code à distance, bien que non prouvée, est
théoriquement possible. Sont affectés les versions
BIND 9.5.0 -&gt; 9.11.27, 9.12.0 -&gt; 9.16.11 et les versions
BIND 9.11.3-S1 -&gt; 9.11.27-S1 et 9.16.8-S1 -&gt; 9.16.11-S1 de <q>BIND
Supported Preview Edition</q>. Sont aussi affectées les
versions 9.17.0 -&gt; 9.17.1 de la branche de développement BIND 9.17.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1:9.10.3.dfsg.P4-12.3+deb9u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets bind9.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2568.data"
# $Id: $

Reply to:

Follow-Ups:
- [LCFC] wml://lts/security/2021/dla-25{68,69,70}.wml
  - From: JP Guillonneau <guillonneau.jeanpaul@free.fr>

References:
- [RFR] wml://lts/security/2021/dla-25{68,69,70}.wml
  - From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
- Re: [RFR] wml://lts/security/2021/dla-25{68,69,70}.wml
  - From: daniel.malgorn@laposte.net

Prev by Date: [RFR2] po4a://manpages-fr/{nfsiostat,nfsdcltrack}.8 .po
Next by Date: Re: [RFR] wml://lts/security/2021/dla-255{0,2,3,4,5}.wml
Previous by thread: Re: [RFR] wml://lts/security/2021/dla-25{68,69,70}.wml
Next by thread: [LCFC] wml://lts/security/2021/dla-25{68,69,70}.wml
Index(es):
- Date
- Thread