Bonjour,trois nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures.
Amicalement, jipege
#use wml::debian::translation-check translation="ab372ec580ba390ad42e0d39eb1cda00b009f60b" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il y avait un problème de divulgation d'informations dans python-treq, une API et une bibliothèque de haut niveau bibliothèque/API pour effectuer des requêtes HTTP en utilisant la bibliothèque de programmation réseau Twisted. Les cookies HTTP n'étaient pas liés à un domaine unique, mais étaient à la place envoyés à tous les domaines.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-23607";>CVE-2022-23607</a> <p>treq est une bibliothèque HTTP inspirée par Requests mais écrite en se basant sur les Agents de Agents. Les méthodes de requête de Treq (« treq.get », « treq.post », etc.) et le constructeur « treq.client.HTTPClient » acceptent les cookies en temps que dictionnaire. Ces cookies ne sont pas liés à une domaine unique, et sont donc envoyés à *tous* les domaines (« supercookies"). Cela peut éventuellement provoquer la divulgation d'information au moment d'une redirection HTTP à un domaine différent. Par exemple, « https://example.com »; pourrait rediriger vers « http://cloudstorageprovider.com »;, ce dernier recevrait le cookie « session ». Les versions 2021.1.0 et suivantes de Treq lient les cookies fournis aux méthodes de requête (« treq.request », « treq.get », « HTTPClient.request », « HTTPClient.get », etc.) à l'origine du paramètre *url*. Il est conseillé aux utilisateurs de mettre à niveau leur système et, pour les utilisateurs qui ne peuvent pas effectuer de mise à niveau, au lieu de transmettre un dictionnaire comme l'argument de *cookies*, de trasnmettre une instance « http.cookiejar.CookieJar » contenant des cookies avec un domaine et un schéma dont la portée est correctement définie.</p></li> </ul> <p><p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 15.1.0-1+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets python-treq.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-2954.data" # $Id: $
#use wml::debian::translation-check translation="f60f02c3ff3e5087c373f37280873f10dda3d4c8" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert que bind9, un serveur de noms de domaine internet, était vulnérable à un empoisonnement de cache. Lors de l'utilisation de transitaires (« forwarders »), de faux enregistrements NS fournis par ou à travers ces transitaires peuvent être mis en cache et utilisés par named s'il nécessite une récursion pour une raison quelconque, faisant qu'il obtient et transmet des réponses éventuellement incorrectes.</p> <p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans la version 1:9.10.3.dfsg.P4-12.3+deb9u11.</p> <p>Nous vous recommandons de mettre à jour vos paquets bind9.</p> <p>Pour disposer d'un état détaillé sur la sécurité de bind9, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/bind9";>\ https://security-tracker.debian.org/tracker/bind9</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow" href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-2955.data" # $Id: $
#use wml::debian::translation-check translation="e8612430a9c2407c3dc0ba50f88eafa4c9a72a8b" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>La mise à jour de sécurité annoncée par la DLA 2955-1 provoquait une régression dans named due à une correction incomplète du <a href="https://security-tracker.debian.org/tracker/CVE-2021-25220";>CVE-2021-25220</a> quand l'option Forwarders était configurée. Des paquets de bind9 mis à jour sont maintenant disponibles pour corriger ce problème.</p> <p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans la version 1:9.10.3.dfsg.P4-12.3+deb9u12.</p> <p>Nous vous recommandons de mettre à jour vos paquets bind9.</p> <p>Pour disposer d'un état détaillé sur la sécurité de bind9, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/bind9";>https://security-tracker.debian.org/tracker/bind9</a></p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow" href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-2955-2.data" # $Id: $
Attachment:
OpenPGP_signature
Description: OpenPGP digital signature