Re: [RFR] wml://security/2021/dsa-5023.wml
Bonjour,
Une petite faute de temps
Le 18/12/2021 à 16:48, Jean-Pierre Giraud a écrit :
Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="6985a8d0aaada0aa722663f5905b4d69a427a1b7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>modsecurity-apache, un module Apache pour renforcer la sécurité des
applications Web, ne gérait pas correctement les objets JSON excessivement
imbriqués, ce qui pouvait avoir pour conséquence un déni de service. La
mise à jour introduit une nouvelle option
<q>SecRequestBodyJsonDepthLimit</q> pour limiter la profondeur maximale
d'analyse du corps d'une requête JSON que ModSecurity acceptera (10 000 par
défaut).</p>
<p>Pour la distribution oldstable (Buster), ce problème a été corrigé dans
la version 2.9.3-1+deb10u1.</p>
<p>Pour la distribution stable (Bullseye), ce problème a été corrigé dans
la version 2.9.3-3+deb11u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets modsecurity-apache.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de modsecurity-apache,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/modsecurity-apache">\
https://security-tracker.debian.org/tracker/modsecurity-apache</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2021/dsa-5023.data"
# $Id: $
--- dsa-5023.wml.orig 2021-12-18 18:23:30.615307784 +0100
+++ dsa-5023.wml 2021-12-18 18:24:44.077228967 +0100
@@ -3,7 +3,7 @@
<define-tag moreinfo>
<p>modsecurity-apache, un module Apache pour renforcer la sécurité des
applications Web, ne gérait pas correctement les objets JSON excessivement
-imbriqués, ce qui pourrait avoir pour conséquence un déni de service. La
+imbriqués, ce qui pouvait avoir pour conséquence un déni de service. La
mise à jour introduit une nouvelle option
<q>SecRequestBodyJsonDepthLimit</q> pour limiter la profondeur maximale
d'analyse du corps d'une requête JSON que ModSecurity acceptera (10 000 par
Reply to: