[RFR] wml://lts/security/2022/dla-319{1,4,5,7,8}

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

voici la traduction de cinq nouvelles pages de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.

-- 
Jean-Paul

#use wml::debian::translation-check translation="670efef084627364665db1fa390d030bbf29e109" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que phpseclib, une implémentation en pur PHP de divers
algorithmes cryptographiques et arithmétiques (version 1), gère incorrectement
la vérification de la signature PKCS#1, version 1.5, RSA. Un attaquant pourrait
voir des signatures non valables acceptées en contournant le contrôle
d’authentification dans des situations particulières.</p>

<p>Pour Debian 10 « Buster », ce problème a été corrigé dans
la version 2.0.30-2~deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets php-phpseclib.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de php-phpseclib,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/php-phpseclib";>\
https://security-tracker.debian.org/tracker/php-phpseclib</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3198.data"
# $Id: $

#use wml::debian::translation-check translation="ff97631c855273f4ae48cce9064bedce7a1f445c" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que phpseclib, une implémentation en pur PHP de divers
algorithmes cryptographiques et arithmétiques (version 1), gère incorrectement
la vérification de la signature PKCS#1, version 1.5, RSA. Un attaquant pourrait
voir des signatures non valables acceptées en contournant le contrôle
d’authentification dans des situations particulières.</p>

<p>Pour Debian 10 « Buster », ce problème a été corrigé dans
la version 1.0.19-3~deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets phpseclib.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de phpseclib,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/phpseclib";>\
https://security-tracker.debian.org/tracker/phpseclib</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3197.data"
# $Id: $

#use wml::debian::translation-check translation="4eb4e99b84846b3bb951857ee34fff1cc5bee732" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que jupyter-core, le cadriciel de base pour les projets
Jupyter tels que Jupyter Notebooks, pourrait exécuter du code arbitraire lors
du chargement de fichiers de configuration.</p>

<p>Pour Debian 10 « Buster », ce problème a été corrigé dans
la version 4.4.0-2+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jupyter-core.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de jupyter-core,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/jupyter-core";>\
https://security-tracker.debian.org/tracker/jupyter-core</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3195.data"
# $Id: $

#use wml::debian::translation-check translation="4f17cbe55872e6ff372130e7a721c5ad6ae3beba" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans Asterisk, un
autocommutateur téléphonique privé (PBX) au code source ouvert. Des dépassements
de tampon et d'autres erreurs de programmations pouvaient être exploités pour la
divulgation d'informations ou l'exécution de code arbitraire.</p>

<p>Un soin particulier doit être pris lors de la mise à niveau vers cette
nouvelle version amont. Certains fichiers et options de configuration ont été
modifiés afin de remédier à certaines vulnérabilités de sécurité.
Principalement, le récepteur TLS pjsip n'accepte que des connexions TLSv1.3 dans
la configuration par défaut actuelle. Cela peut être annulé en ajoutant
« method=tlsv1_2 » au transport dans pjsip.conf. <a rel="nofollow" href="https://issues.asterisk.org/jira/browse/ASTERISK-29017";>https://issues.asterisk.org/jira/browse/ASTERISK-29017</a>.</p>

<p>Pour Debian 10 « Buster », ces problèmes ont été corrigés dans
la version 1:16.28.0~dfsg-0+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets asterisk.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de asterisk,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/asterisk";>\
https://security-tracker.debian.org/tracker/asterisk</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3194.data"
# $Id: $

#use wml::debian::translation-check translation="e2f9e1bbf6b5b0c0de57041f09c5f70ea2ba7364" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs problèmes ont été découverts dans Django, un cadriciel de
développement web basé sur Python :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-45452";>CVE-2021-45452</a>

<p>Storage.save permettait une traversée de répertoires si des noms de fichier
contrefaits lui étaient directement passés.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-22818";>CVE-2022-22818</a>

<p>La balise de patron {% debug %} n’encodait pas correctement le contenu
actuel. Cela pourrait conduire à une vulnérabilité de script intersite (XSS).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-23833";>CVE-2022-23833</a>

<p>Le HTTP MultiPartParser avait un problème par lequel certaines entrées pour
des formulaires multiparties pourraient aboutir à une boucle infinie lors de
l’analyse de fichiers téléversés.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 1:1.11.29-1+deb10u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3191.data"
# $Id: $