Bonjour, Dixit Jean-Pierre Giraud, le 13/12/2021 : >Cinq nouvelles annonces de sécurité viennent d'être publiée. En voici >une traduction. Merci d'avance pour vos relectures. Suggestions. Baptiste
--- 000002f1.dla-2816.wml 2021-12-14 10:08:20.037343289 +0100 +++ ./000002f1.dla-2816-bj.wml 2021-12-14 10:12:11.686981348 +0100 @@ -12,15 +12,15 @@ <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-32739";>CVE-2021-32739</a> <p>Il existe une vulnérabilité qui pourrait permettre une élévation de -privilèges des utilisateurs authentifiés de l'API. Avec les accréditations -en lecture seule des utilisateurs, un attaquant peut voir la plupart des +privilèges des utilisateurs authentifiés de l'API. Avec une accréditation +de lecture seule d'utilisateur, un attaquant peut voir la plupart des attributs des objets de configuration y compris « ticket_salt » d'ApiListener. Ce salage est suffisant pour calculer un ticket pour chaque Nom Commun (CN) possible. Un ticket, le certificat maître du nÅ?ud et un certificat auto-signé sont suffisants pour demander avec succès le certificat désiré à Icinga. Ce certificat peut à son tour être utilisé pour dérober l'identité d'un point de terminaison ou d'un utilisateur de l'API. -Consultez également les procédures manuels complémentaires +Consultez également les procédures manuelles complémentaires <a href="https://icinga.com/blog/2021/07/15/releasing-icinga-2-12-5-and-2-11-10/#change-ticket-salt";>\ https://icinga.com/blog/2021/07/15/releasing-icinga-2-12-5-and-2-11-10/#change-ticket-salt</a> et <a href="https://icinga.com/blog/2021/07/15/releasing-icinga-2-12-5-and-2-11-10/#replace-icinga-ca";>\ @@ -29,7 +29,7 @@ <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-32743";>CVE-2021-32743</a> <p>Certaines des fonctionnalités d'Icinga 2 qui ont besoin d'accréditations -pour des services externes exposent leurs accréditations à travers l'API +pour des services externes exposent ces accréditations à travers l'API pour authentifier les utilisateurs de l'API avec des droits de lecture pour les types d'objet correspondants. IdoMysqlConnection et IdoPgsqlConnection exposent le mot de passe de l'utilisateur utilisé pour se connecter à la
--- 0000031a.dla-2818.wml 2021-12-14 10:08:32.773205808 +0100 +++ ./0000031a.dla-2818-bj.wml 2021-12-14 10:16:55.311975173 +0100 @@ -32,7 +32,7 @@ <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-22037";>CVE-2020-22037</a> <p>Vulnérabilité de déni de service due à une fuite de mémoire dans -avcodec_alloc_context3 dans options.c</p></li> +options.c de avcodec_alloc_context3.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-22041";>CVE-2020-22041</a> @@ -74,7 +74,7 @@ <p>Un échec d'assertion a été détecté dans src/libavutil/mathematics.c, interrompant ffmpeg. Dans certains cas extrêmes, comme avec des -échantillons adpcm_ms samples avec un nombre de canaux extrêmement élevé, +échantillons adpcm_ms avec un nombre de canaux extrêmement élevé, get_audio_frame_duration() peut renvoyer une valeur négative de durée de trame.</p></li>
Attachment:
pgpJ4UJoqCTd6.pgp
Description: Signature digitale OpenPGP