Bonjour,cinq nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures.
Amicalement, jipege
#use wml::debian::translation-check translation="3e39e450fa3e6314b6c30ab396de64010ccf812e" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans Asterisk, un autocommutateur téléphonique privé (PBX) au code source ouvert. Des dépassements de tampon et d'autres erreurs de programmations pouvaient être exploités pour la divulgation d'informations ou l'exécution de code arbitraire.</p> <p>Un soin particulier doit être pris lors de la mise à niveau vers cette nouvelle version amont. Certains fichiers et options de configuration ont été modifiés afin de remédier à certaines vulnérabilités de sécurité. Principalement, le récepteur TLS pjsip TLS n'accepte que des connexions TLSv1.3 dans la configuration par défaut actuelle. Cela peut être annulé en ajoutant <q>method=tlsv1_2</q> au transport dans pjsip.conf. Voir aussi <a href="https://issues.asterisk.org/jira/browse/ASTERISK-29017">\ https://issues.asterisk.org/jira/browse/ASTERISK-29017</a>.</p> <p>Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 1:16.28.0~dfsg-0+deb11u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets asterisk.</p> <p>Pour disposer d'un état détaillé sur la sécurité de asterisk, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/asterisk">\ https://security-tracker.debian.org/tracker/asterisk</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2022/dsa-5285.data" # $Id: $
#use wml::debian::translation-check translation="b2d77053cfcd579a040095c4ec45d99dcfb2bfed" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans Thunderbird. Cela pouvait avoir pour conséquences un déni de service ou l'exécution de code arbitraire.</p> <p>Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 1:102.5.0-1~deb11u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets thunderbird.</p> <p>Pour disposer d'un état détaillé sur la sécurité de thunderbird, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/thunderbird">\ https://security-tracker.debian.org/tracker/thunderbird</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2022/dsa-5284.data" # $Id: $
#use wml::debian::translation-check translation="a4a2fd361bb79ac6a6e7dfb3abc7ed376bf063c6" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs défauts ont été découverts dans jackson-databind, une bibliothèque JSON rapide et puissante pour Java.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-36518">CVE-2020-36518</a> <p>Une exception de dépassement de pile de Java et un déni de service à l'aide d'une grande profondeur d'objets imbriqués.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-42003">CVE-2022-42003</a> <p>Un épuisement de ressources dans jackson-databind de FasterXML peut survenir à cause de l'absence de vérification dans les désérialiseurs de valeur primitive pour éviter l'imbrication profonde de tableau d'enveloppes lorsque la fonction UNWRAP_SINGLE_VALUE_ARRAYS est activée.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-42004">CVE-2022-42004</a> <p>Un épuisement de ressources dans jackson-databind de FasterXML peut survenir à cause de l'absence de vérification dans BeanDeserializerBase.deserializeFromArray pour éviter l'utilisation de tableaux profondément imbriqués. Une application n'est vulnérable qu'avec certains choix personnalisés pour la désérialisation.</p></li> </ul> <p>Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 2.12.1-1+deb11u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets jackson-databind.</p> <p>Pour disposer d'un état détaillé sur la sécurité de jackson-databind, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/jackson-databind">\ https://security-tracker.debian.org/tracker/jackson-databind</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2022/dsa-5283.data" # $Id: $
#use wml::debian::translation-check translation="4bcf2493c5b0b47cc2adbc48d5a5f4400450c73e" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans le navigateur web Firefox de Mozilla. Cela pouvait éventuellement avoir pour conséquences l'exécution de code arbitraire, la divulgation d'informations, une usurpation ou le contournement de la politique de cookie <q>SameSite</q>.</p> <p>Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 102.5.0esr-1~deb11u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p> <p>Pour disposer d'un état détaillé sur la sécurité de firefox-esr, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/firefox-esr">\ https://security-tracker.debian.org/tracker/firefox-esr</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2022/dsa-5282.data" # $Id: $
#use wml::debian::translation-check translation="f2271644a86d9cc36378be3de5f5cd8b9e797d3f" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Le paquet wordpress édité dans la DSA-5279-1 avait des dépendances incorrectes qui ne pouvaient pas être satisfaites dans Debian stable : cette mise à jour corrige le problème. Pour rappel, voici le texte de l’annonce originelle :</p> <p>Plusieurs vulnérabilités ont été découvertes dans Wordpress, un outil de blog. Elles permettaient à des attaquants distants de réaliser des injections de code SQL, de créer des redirections d'ouverture, de contourner les autorisations d'accès ou de réaliser une contrefaçon de requête intersite (CSRF) ou des attaques par script intersite (XSS).</p> <p>Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 5.7.8+dfsg1-0+deb11u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p> <p>Pour disposer d'un état détaillé sur la sécurité de wordpress, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/wordpress">\ https://security-tracker.debian.org/tracker/wordpress</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2022/dsa-5279-2.data" # $Id: $
Attachment:
OpenPGP_signature
Description: OpenPGP digital signature