[RFR] wml://lts/security/2021/dla-2{594,600}.wml
Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="9e15d28daa5f346577a0d14e18d9f8a11f823f86" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert qu’il existait une série de vulnérabilités de déni de
service dans Pygments, une bibliothèque populaire de coloration syntaxique pour
Python.</p>
<p>Un certain nombre d’expressions rationnelles était sujet à une complexité
cubique ou exponentielle dans des cas extrêmes qui pouvait causer un déni de
service distant (DoS) lors de la fourniture d’une entrée malveillante.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-27291";>CVE-2021-27291</a>
<p>Dans pygments, versions 1.1 et plus, corrigés dans 2.7.4, les analyseurs
lexicaux utilisés pour vérifier les langages de programmation s’appuient
fortement sur les expressions rationnelles. Certaines ont une complexité
cubique ou exponentielle dans des cas extrêmes et sont vulnérables à une
attaque ReDoS. En contrefaisant une entrée, un attaquant malveillant peut
provoquer un déni de service.</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 2.2.0+dfsg-1+deb9u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets pygments.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2600.data"
# $Id: $
#use wml::debian::translation-check translation="35410c484742da27b9d6436dfc8ebda66e54fe80" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Trois problèmes de sécurité ont été détectés dans tomcat8.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-24122";>CVE-2021-24122</a>
<p>Lors du service de ressources à partir d’un emplacement réseau utilisant le
système de fichiers NTFS, Apache Tomcat, des versions 8.5.0 à 8.5.59, est
susceptible de divulguer du code source JSP dans certaines configurations. La
cause principale est le comportement inattendu de File.getCanonicalPath() de
l’API JRE, qui à son tour est provoqué par le comportement incohérent de l’API
Windows (FindFirstFileW) dans certaines circonstances.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-25122";>CVE-2021-25122</a>
<p>Lors de la réponse à de nouvelles requêtes de connexion h2c, Apache Tomcat
pourrait dupliquer des en-têtes de requête et une partie limitée du corps d’une
requête à une autre, signifiant qu’un utilisateur A et un utilisateur B
pourraient tous deux voir le résultat de la requête de A.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-25329";>CVE-2021-25329</a>
<p>Le correctif pour 2020-9484 était incomplet. Lors de l’utilisation d’Apache
Tomcat, versions 8.5.0 à 8.5.61, avec un cas extrême de configuration hautement
improbable, l’instance de Tomcat était encore vulnérable au
<a href="https://security-tracker.debian.org/tracker/CVE-2020-9494";>CVE-2020-9494</a>.
Remarquez que les prérequis précédemment publiés pour
<a href="https://security-tracker.debian.org/tracker/CVE-2020-9484";>CVE-2020-9484</a>
et les mitigations précédemment publiées pour le
<a href="https://security-tracker.debian.org/tracker/CVE-2020-9484";>CVE-2020-9484</a>
s’appliquent à ce problème.</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 8.5.54-0+deb9u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets tomcat8.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de tomcat8, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/tomcat8";>\
https://security-tracker.debian.org/tracker/tomcat8</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2594.data"
# $Id: $
Reply to: