[LCFC] wml://lts/security/2021/dla-26{85,86,93}.wml
- To: debian-l10n-french@lists.debian.org
- Subject: [LCFC] wml://lts/security/2021/dla-26{85,86,93}.wml
- From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
- Date: Fri, 2 Jul 2021 19:00:31 +0200
- Message-id: <[🔎] 20210702190031.285b6fa0@debian>
- In-reply-to: <a5f79d17-ae60-365e-8c43-af031703ffd7@free.fr>
- References: <20210629100333.0567264b@debian> <eaaddc84-9f67-cf3a-21ee-911d08c97373@laposte.net> <20210629212002.010a7c92@debian> <bc5738e9-311a-64ab-9544-851e3d928f97@free.fr> <a5f79d17-ae60-365e-8c43-af031703ffd7@free.fr>
Bonjour,
le mercredi 30 juin 8:18, Jean-Pierre Giraud a écrit :
>> Suggestions.
Merci jipege, presque tout pris.
Dernier appel à commentaire.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="cea2e92155b7909ecf57574f339e401f9ed25744" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Squid, un serveur
mandataire et de cache.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-28651";>CVE-2021-28651</a>
<p>À cause d’un bogue de gestion de tampon, un déni de service est possible.
Lors de la résolution d’une requête avec l’URN : scheme, l’analyseur laisse
fuiter une petite partie de la mémoire. Cependant, il existe une méthodologie
d’attaque non précisée qui peut facilement provoquer une grande consommation
de mémoire.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-28652";>CVE-2021-28652</a>
<p>À cause d’une validation incorrecte d’analyseur, une attaque par déni de
service est possible sur l’API de gestion de cache. Cela permet à un client
authentifié de déclencher une fuite de mémoire qui, dans la durée, conduit à un
déni de service à l'aide d'une courte chaîne non précisée de requête . Cette
attaque est limitée aux clients pouvant accéder à cette API.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-31806";>CVE-2021-31806</a>
<p>À cause d’un bogue de gestion de mémoire, une vulnérabilité d’attaque par
déni de service (contre tous les clients utilisant le mandataire) est
possible à l’aide du traitement d'une requête d’intervalles HTTP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-31807";>CVE-2021-31807</a>
<p>Un problème de dépassement d'entier permet à un serveur distant de réaliser
un déni de service lors de la fourniture de réponses aux requêtes d’intervalle
HTTP. Le déclencheur du problème est un en-tête pouvant être attendu dans un
trafic HTTP sans aucune intention malveillante.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-31808";>CVE-2021-31808</a>
<p>À cause d’un bogue de validation d’entrée, une vulnérabilité d’attaque par
déni de service (contre tous les clients utilisant le mandataire) est
possible à l’aide de l'envoi d'une requête d’intervalles HTTP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-33620";>CVE-2021-33620</a>
<p>Un serveur distant peut provoquer un déni de service (affectant la
disponibilité à tous les clients) à l'aide d'une réponse HTTP. Le déclencheur du
problème est un en-tête pouvant être attendu dans un trafic HTTP sans aucune
intention malveillante du serveur.</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 3.5.23-5+deb9u7.</p>
<p>Nous vous recommandons de mettre à jour vos paquets squid3.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de squid3, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/squid3";>\
https://security-tracker.debian.org/tracker/squid3</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2685.data"
# $Id: $
#use wml::debian::translation-check translation="cea2e92155b7909ecf57574f339e401f9ed25744" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans python-urllib3, un client
HTTP pour Python.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20060";>CVE-2018-20060</a>
<p>Urllib3 ne retire pas l’en-tête d’autorisation HTTP lors du suivi d’une
redirection d’origine croisée (c’est-à-dire une redirection qui diffère dans
l’hôte, le port ou le schéma). Cela peut permettre l'exposition à des hôtes
non souhaités des accréditations dans l’en-tête d’authentification ou leur
transmission en clair.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11236";>CVE-2019-11236</a>
<p>Une injection CRLF est possible si l’attaquant contrôle le paramètre de la
requête.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11324";>CVE-2019-11324</a>
<p>Urllib3 gère incorrectement certain cas où l’ensemble voulu de certificats CA
est différent du magasin de certificats CA du système d’exploitation, ce qui
aboutit à des connexions SSL réussies dans des situations où un échec de
vérification est le résultat correct. Cela concerne les arguments ssl_context,
ca_certs ou ca_certs_dir.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-26137";>CVE-2020-26137</a>
<p>Urllib3 permet une injection CRLF si l’attaquant contrôle la méthode de
requête HTTP, comme cela est démontré en insérant des caractères de contrôle CR
et LF dans le premier argument de putrequest().</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1.19.1-1+deb9u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python-urllib3.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de python-urllib3, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/python-urllib3";>\
https://security-tracker.debian.org/tracker/python-urllib3</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2686.data"
# $Id: $
Reply to: