[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2022/dla-31{93-2,32,33,34,35,36,37,38}.wml



Bonjour,
huit nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="dcdcd755447c0ec9319d2893757a3f5c9abfeff5" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans BIND, une
implémentation de serveur DNS.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-2795";>CVE-2022-2795</a>

<p>Yehuda Afek, Anat Bremler-Barr et Shani Stajnrod ont découvert qu'un
défaut dans le code du solveur peut faire que <q>named</q> consomme une
quantité excessive de temps lors du traitement de grandes délégations,
dégrade significativement les performances du solveur ce qui a pour
conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-38177";>CVE-2022-38177</a>

<p>Le code de vérification de DNSSEC pour l'algorithme ECDSA est exposé à
un défaut de fuite de mémoire. Un attaquant distant peut tirer avantage de
ce défaut pour provoquer la consommation de ressources par BIND, avec pour
conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-38178";>CVE-2022-38178</a>

<p>Le code de vérification de DNSSEC pour l'algorithme EdDSA est exposé à
un défaut de fuite de mémoire. Un attaquant distant peut tirer avantage de
ce défaut pour provoquer la consommation de ressources par BIND, avec pour
conséquence un déni de service.</p></li>

</ul>

<p>Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version
1:9.11.5.P4+dfsg-5.1+deb10u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets bind9.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de bind9, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/bind9";>\
https://security-tracker.debian.org/tracker/bind9</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3138.data"
# $Id: $
#use wml::debian::translation-check translation="e867384068d86591de55d8ec058e28e5c9c1b5e4" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Node.js, un
environnement d'exécution JavaScript, qui pouvaient avoir pour conséquences
une corruption de mémoire, la validation de certificats non valables une
pollution de prototype ou une injection de commande.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-22930";>CVE-2021-22930</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2021-22940";>CVE-2021-22940</a></p>

<p>Une utilisation de mémoire après libération où un attaquant pouvait
exploiter la corruption de la mémoire pour modifier le comportement du
processus.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-22939";>CVE-2021-22939</a>

<p>Si l'API https de Node.js était utilisée incorrectement et
qu'<q>undefined</q> était passé au paramètre <q>rejectUnauthorized</q>,
aucune erreur n'était renvoyée et les connexions à des serveurs avec un
certificat expiré auraient pu être acceptées.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-21824";>CVE-2022-21824</a>

<p>Du fait de la logique de formatage de la fonction
<q>console.table()</q>, il n'était pas sûr de permettre le passage d'une
entrée contrôlée par l'utilisateur au paramètre <q>properties</q> tout en
passant simultanément un objet simple avec au moins une propriété comme
premier paramètre qui pouvait être <q>__proto__</q>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-32212";>CVE-2022-32212</a>

<p>Une vulnérabilité d'injection de commande du système d'exploitation due
à une vérification insuffisante d'<q>IsAllowedHost</q> qui peut facilement
être contournée parce qu'<q>IsIPAddress</q> ne vérifie pas correctement si
une adresse IP n'est pas valable avant de faire de requêtes DBS, permettant
des attaques par rattachement DNS.</p></li>

</ul>

<p>Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version
10.24.0~dfsg-1~deb10u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nodejs.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de nodejs, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/nodejs";>\
https://security-tracker.debian.org/tracker/nodejs</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3137.data"
# $Id: $
#use wml::debian::translation-check translation="317345ee6333a033f5cd59d9853d3e86ca5a5f96" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que Barbican, un service de gestion et de stockage de
secrets, était vulnérable à un contournement d'accès au moyen de
l'injection d'une chaîne de requête.</p>

<p>Pour Debian 10 Buster, ce problème a été corrigé dans la version
1:7.0.0-1+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets barbican.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de barbican, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/barbican";>\
https://security-tracker.debian.org/tracker/barbican</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3136.data"
# $Id: $
#use wml::debian::translation-check translation="c9238371d33cc1586e0ccf66b3a11198f6c9b997" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour inclut les modifications dans tzdata 2022d pour les
liaisons Perl. Consultez l'annonce DLA-3134-1 pour connaître la liste des
modifications.</p>

<p>Pour Debian 10 Buster, ce problème a été corrigé dans la version
1:2.23-1+2022d.</p>

<p>Nous vous recommandons de mettre à jour vos paquets
libdatetime-timezone-perl.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de
libdatetime-timezone-perl, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/libdatetime-timezone-perl";>\
https://security-tracker.debian.org/tracker/libdatetime-timezone-perl</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3135.data"
# $Id: $
#use wml::debian::translation-check translation="5dbbd616f436af8e2b42e3796b45a5aeb4aee2b7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour comprend les modifications de tzdata 2022d. Parmi les
changements notables :</p>


<p>− la Palestine est revenue à l'heure standard le 29 octobre ;</p>
<p>− mise à jour de la liste de secondes intercalaires qui était réglée
pour expirer à la fin du mois de décembre</p>

<p>Pour Debian 10 Buster, ce problème a été corrigé dans la version
2021a-0+deb10u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tzdata.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de tzdata, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/tzdata";>\
https://security-tracker.debian.org/tracker/tzdata</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3134.data"
# $Id: $
#use wml::debian::translation-check translation="3549a1fee73835b1b65d96e2b7d50ea7a60da616" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une requête HTTP non valable (initialisation de connexion de websocket)
peut provoquer un déréférencement de pointeur <code>NULL</code> dans le
module wstunnel.</p>

<p>Pour Debian 10 Buster, ce problème a été corrigé dans la version
1.4.53-4+deb10u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets lighttpd.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de lighttpd, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/lighttpd";>\
https://security-tracker.debian.org/tracker/lighttpd</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3133.data"
# $Id: $
#use wml::debian::translation-check translation="385043026fc14875a9ca1ee26fbbd508fd2f3ead" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans SnakeYaml,
un analyseur YAML pour Java, qui pouvaient faciliter une attaque par déni
de service chaque fois que des fichiers d'entrée contrefaits sont traités
par SnakeYaml.</p>

<p>Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version
1.23-1+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets snakeyaml.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de snakeyaml, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/snakeyaml";>\
https://security-tracker.debian.org/tracker/snakeyaml</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a rel="nofollow" href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3132.data"
# $Id: $
#use wml::debian::translation-check translation="1118b972a77a8372a655c7d21a21b1c64eaa5858" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La mise à jour de sécurité annoncée sous le nom de DLA 3093-1 qui
incluait un correctif pour le
<a href="https://security-tracker.debian.org/tracker/CVE-2022-32224";>CVE-2022-32224</a>
provoquait une régression due à une incompatibilité avec la version 2.5 de
ruby 2.5. Nous avons supprimé le correctif susmentionné. Les paquets rails
mis à jour sont maintenant disponibles.</p>

<p>Pour Debian 10 Buster, ce problème a été corrigé dans la version
2:5.2.2.1+dfsg-1+deb10u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets rails.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de rails, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/rails";>\
https://security-tracker.debian.org/tracker/rails</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3093-2.data"
# $Id: $

Attachment: OpenPGP_signature
Description: OpenPGP digital signature


Reply to: