[RFR] wml://lts/security/2021/dla-26{85,86,93}.wml
Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="1c2bc7e2ac7f74ec3bf9c8f0d325b82dd26de1d0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les analyseurs XML, utilisés par XMLBeans, ne réglaient pas les propriétés
nécessaires pour protéger l’utilisateur d’une entrée XML malveillante. Les
vulnérabilités incluent la possibilité d’attaque par expansion d’entités
XML qui pourrait conduire à un déni de service. Cette mise à jour implémente
les valeurs par défaut judicieuses pour les analyseurs XML pour une prévention
de ce genre d’attaque.</p>
<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 2.6.0+dfsg-1+deb9u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets xmlbeans.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de xmlbeans, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/xmlbeans";>\
https://security-tracker.debian.org/tracker/xmlbeans</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2693.data"
# $Id: $
#use wml::debian::translation-check translation="cea2e92155b7909ecf57574f339e401f9ed25744" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans python-urllib3, un client
HTTP pour Python.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20060";>CVE-2018-20060</a>
<p>Urllib3 ne retire pas l’en-tête d’autorisation HTTP lors du suivi d’une
redirection d’origine croisée (c’est-à-dire une redirection qui diffère dans
l’hôte, le port ou le schéma). Cela peut permettre aux accréditations dans
l’en-tête d’authentification d’être exposées à des hôtes non souhaités ou d’être
transmises en clair.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11236";>CVE-2019-11236</a>
<p>Une injection CRLF est possible si l’attaquant contrôle le paramètre de la
requête.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11324";>CVE-2019-11324</a>
<p>Urllib3 gère incorrectement certain cas où l’ensemble voulu de certificats CA
est différent du magasin de certificats CA du système d’exploitation, ce qui
aboutit à des connexions SSL aboutissant dans des situations où un échec de
vérification est le résultat correct. Cela concerne les arguments ssl_context,
ca_certs ou ca_certs_dir.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-26137";>CVE-2020-26137</a>
<p>Urllib3 permet une injection CRLF si l’attaquant contrôle la méthode de
requête HTTP, comme cela est démontré en insérant les caractères de contrôle CR
et LF dans le premier argument de putrequest().</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1.19.1-1+deb9u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python-urllib3.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de python-urllib3, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/python-urllib3";>\
https://security-tracker.debian.org/tracker/python-urllib3</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2686.data"
# $Id: $
#use wml::debian::translation-check translation="cea2e92155b7909ecf57574f339e401f9ed25744" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Squid, un serveur
mandataire et de cache.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-28651";>CVE-2021-28651</a>
<p>À cause d’un bogue de gestion de tampon, un déni de service est possible.
Lors de la résolution d’une requête avec l’URN : scheme, l’analyseur laisse
fuiter une petite partie de la mémoire. Cependant, il existe une méthodologie
d’attaque non précisée qui peut facilement provoquer une grande consommation
de mémoire.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-28652";>CVE-2021-28652</a>
<p>À cause d’une validation incorrecte d’analyseur, une attaque par déni de
service est possible sur l’API de gestion de cache. Cela permet à un client
authentifié de déclencher une fuite de mémoire qui, dans la durée, conduit à un
déni de service à l'aide d'une chaîne courte non précisée de requête. Cette
attaque est limitée aux clients pouvant accéder à cette API.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-31806";>CVE-2021-31806</a>
<p>À cause d’un bogue de gestion de mémoire, une vulnérabilité d’attaque pour
un déni de service (contre tous les clients utilisant le mandataire) est
possible à l’aide du traitement de requête d’intervalles HTTP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-31807";>CVE-2021-31807</a>
<p>Un problème de dépassement d'entier permet à un serveur distant de réaliser
un déni de service lors de la fourniture de réponses aux requêtes d’intervalle
HTTP. Le déclencheur du problème est un en-tête pouvant être attendu dans un
trafic HTTP sans aucune intention malveillante.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-31808";>CVE-2021-31808</a>
<p>À cause d’un bogue de validation d’entrée, une vulnérabilité d’attaque pour
un déni de service (contre tous les clients utilisant le mandataire) est
possible à l’aide du traitement de requête d’intervalles HTTP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-33620";>CVE-2021-33620</a>
<p>Un serveur distant peut provoquer un déni de service (affectant la
disponibilité à tous les clients) à l'aide d'une réponse HTTP. Le déclencheur du
problème est un en-tête pouvant être attendu dans un trafic HTTP sans aucune
intention malveillante du serveur.</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 3.5.23-5+deb9u7.</p>
<p>Nous vous recommandons de mettre à jour vos paquets squid3.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de squid3, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/squid3";>\
https://security-tracker.debian.org/tracker/squid3</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2685.data"
# $Id: $
Reply to: