Bonjour Le 09/10/2022 à 17:14, Pierre PANTALÉON a écrit :
> Le 09/10/2022 à 14:43, Lucien Gentis a écrit :Le 06/10/2022 à 16:57, Jean-Pierre Giraud a écrit :Par contre pour la traduction même du passage de 3138, il faut changer
Personnellement je mettrai plutôt un truc du style. <p>Yehuda Afek, Anat Bremler-Barr et Shani Stajnrod ont découvert qu'un défaut dans le code du solveur peut faire que <q>named</q> prend un temps excessif lors du traitement de grandes délégations, et dégrade significativement les performances du solveur, ce qui a pour conséquence undéni de service.</p></li>
Nouvelles versions reprenant les suggestions de Lucien et de Pierre. Merci d'avance pour vos nouvelles relectures.
amicalement, jipege
#use wml::debian::translation-check translation="dcdcd755447c0ec9319d2893757a3f5c9abfeff5" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans BIND, une implémentation de serveur DNS.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-2795";>CVE-2022-2795</a> <p>Yehuda Afek, Anat Bremler-Barr et Shani Stajnrod ont découvert qu'un défaut dans le code du solveur peut faire que <q>named</q> prend un temps excessif lors du traitement de grandes délégations et dégrade significativement les performances du solveur, ce qui a pour conséquence un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-38177";>CVE-2022-38177</a> <p>Le code de vérification de DNSSEC pour l'algorithme ECDSA est exposé à un défaut de fuite de mémoire. Un attaquant distant peut tirer avantage de ce défaut pour provoquer la consommation de ressources par BIND, avec pour conséquence un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-38178";>CVE-2022-38178</a> <p>Le code de vérification de DNSSEC pour l'algorithme EdDSA est exposé à un défaut de fuite de mémoire. Un attaquant distant peut tirer avantage de ce défaut pour provoquer la consommation de ressources par BIND, avec pour conséquence un déni de service.</p></li> </ul> <p>Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 1:9.11.5.P4+dfsg-5.1+deb10u8.</p> <p>Nous vous recommandons de mettre à jour vos paquets bind9.</p> <p>Pour disposer d'un état détaillé sur la sécurité de bind9, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/bind9";>\ https://security-tracker.debian.org/tracker/bind9</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3138.data" # $Id: $
#use wml::debian::translation-check translation="e867384068d86591de55d8ec058e28e5c9c1b5e4" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Node.js, un environnement d'exécution JavaScript, qui pouvaient avoir pour conséquences une corruption de mémoire, la validation de certificats non valables, une pollution de prototype ou une injection de commande.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-22930";>CVE-2021-22930</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2021-22940";>CVE-2021-22940</a></p> <p>Une utilisation de mémoire après libération où un attaquant pouvait exploiter la corruption de la mémoire pour modifier le comportement du processus.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-22939";>CVE-2021-22939</a> <p>Si l'API https de Node.js était utilisée incorrectement et qu'<q>undefined</q> était passé au paramètre <q>rejectUnauthorized</q>, aucune erreur n'était renvoyée et les connexions à des serveurs avec un certificat expiré auraient pu être acceptées.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-21824";>CVE-2022-21824</a> <p>Du fait de la logique de formatage de la fonction <q>console.table()</q>, il n'était pas sûr de permettre le passage d'une entrée contrôlée par l'utilisateur au paramètre <q>properties</q> tout en passant simultanément un objet simple avec au moins une propriété comme premier paramètre qui pouvait être <q>__proto__</q>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-32212";>CVE-2022-32212</a> <p>Une vulnérabilité d'injection de commande du système d'exploitation due à une vérification insuffisante d'<q>IsAllowedHost</q> qui peut facilement être contournée parce qu'<q>IsIPAddress</q> ne vérifie pas correctement si une adresse IP n'est pas valable avant de faire des requêtes DBS, permettant des attaques par rattachement DNS.</p></li> </ul> <p>Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 10.24.0~dfsg-1~deb10u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets nodejs.</p> <p>Pour disposer d'un état détaillé sur la sécurité de nodejs, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/nodejs";>\ https://security-tracker.debian.org/tracker/nodejs</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3137.data" # $Id: $
#use wml::debian::translation-check translation="385043026fc14875a9ca1ee26fbbd508fd2f3ead" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans SnakeYaml, un analyseur YAML pour Java, qui pouvaient faciliter une attaque par déni de service chaque fois que des fichiers d'entrée contrefaits étaient traités par SnakeYaml.</p> <p>Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 1.23-1+deb10u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets snakeyaml.</p> <p>Pour disposer d'un état détaillé sur la sécurité de snakeyaml, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/snakeyaml";>\ https://security-tracker.debian.org/tracker/snakeyaml</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow" href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3132.data" # $Id: $
Attachment:
OpenPGP_signature
Description: OpenPGP digital signature