[RFR] wml://lts/security/2022/dla-320{5-8}.wml

To: Debian-l10n French <debian-l10n-french@lists.debian.org>
Subject: [RFR] wml://lts/security/2022/dla-320{5-8}.wml
From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
Date: Mon, 28 Nov 2022 11:14:43 +0100
Message-id: <[🔎] 20221128111443.1c6133c7@debian>

Bonjour,

voici la traduction de nouvelles pages de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.

-- 
Jean-Paul

#use wml::debian::translation-check translation="eab80064c218e4ffaae98649935aa8eade532f68" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Martin van Kervel Smedshammer a découvert qu’une attaque de contrefaçon de
requête peut être réalisée dans les serveurs de cache Varnish qui ont le
protocole HTTP/2 activé. Un attaquant peut introduire des caractères à travers
les pseudo-en-têtes HTTP/2, qui sont non valables dans le contexte d’une ligne
de requête HTTP/1, faisant que le serveur Varnish produise des requêtes HTTP/1
non valables sur le dorsal. Cela peut être à son tour utilisé pour exploiter
avec succès des vulnérabilités dans un serveur derrière le serveur Varnish.</p>

<p>Pour Debian 10 « Buster », ces problèmes ont été corrigés dans
la version 6.1.1-1+deb10u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets varnish.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de varnish,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/varnish";>\
https://security-tracker.debian.org/tracker/varnish</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3208.data"
# $Id: $

#use wml::debian::translation-check translation="e1c06daa5e906ac14381c26b188b2ded9c79da65" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs défauts ont été découverts dans jackson-databind, une bibliothèque
JSON puissante et rapide pour Java.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-36518";>CVE-2020-36518</a>

<p>Exception Java StackOverflow et déni de service à l'aide d'une grande
profondeur d’objets imbriqués.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-42003";>CVE-2022-42003</a>

<p>Dans FasterXML un épuisement de ressources de jackson-databind peut se
produire à cause d’une absence de vérification dans les désérialiseurs de valeur
de primitive pour éviter une imbrication profonde de tableau d’enveloppes quand
la caractéristique UNWRAP_SINGLE_VALUE_ARRAYS est activée.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-42004";>CVE-2022-42004</a>

<p>Dans FasterXML un épuisement de ressources de jackson-databind peut se
produire à cause d’une absence de vérification dans
BeanDeserializerBase.deserializeFromArray pour éviter une imbrication profonde
de tableau. Une application est vulnérable seulement avec certains choix
personnels pour la désérialisation.</p></li>

</ul>

<p>Pour Debian 10 « Buster », ces problèmes ont été corrigés dans
la version 2.9.8-3+deb10u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jackson-databind.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de jackson-databind,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/jackson-databind";>\
https://security-tracker.debian.org/tracker/jackson-databind</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3207.data"
# $Id: $

#use wml::debian::translation-check translation="74294814f2a93794742137b24e84dc19fd68e8cb" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans heimdal, une
implémentation du protocole d’authentification Kerberos 5, qui peut aboutir à
un déni de service, une divulgation d'informations ou une exécution de code à
distance.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14870";>CVE-2019-14870</a>

<p>Isaac Boukris a signalé que le KDC d’Heimdal avant la version 7.7.1
n’appliquait pas les attributs d’utilisateur delegation_not_allowed
(c’est-à-dire not-delegated) pour S4U2Self. À la place le drapeau forwardable est
défini même si le client usurpé à le drapeau not-delegated établi.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3671";>CVE-2021-3671</a>

<p>Joseph Sutton a découvert que le KDC d’Heimdal avant la version 7.7.1 ne
vérifie pas les sname manquants dans TGS-REQ (Ticket serveur Granting-Request)
avant le déréférencement. Un utilisateur authentifié pourrait utiliser ce défaut
pour planter le KDC.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-44758";>CVE-2021-44758</a>

<p>Il a été découvert qu’Heimdal est prédisposé à un déréférencement de pointeur
NULL dans les accepteurs quand le jeton SPNEGO initial n'a pas de mécanisme.
Cela peut aboutir à un déni de service pour une application de serveur qui
utilise SPNEGO (Simple et Protected négociation GSSAPI Mechanism).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-3437";>CVE-2022-3437</a>

<p>Evgeny Legerov a signalé que les routines de déchiffrement DES et Triple-DES
dans la bibliothèque GSSAPI avant la version 7.7.1 d’Heimdal étaient prédisposées
à un dépassement de tampon dans la mémoire allouée par malloc() quand un petit
paquet malveillant était présenté. De plus, la routine de déchiffrement
Triple-DES et RC4 (arcfour) était prédisposée à des fuites de durée non
constantes, qui pourraient éventuellement amener à une fuite des données de clé
secrète lors de l’utilisation de ces chiffrements.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-41916";>CVE-2022-41916</a>

<p>Il a été découvert que la bibliothèque de validation de certificat PKI
d’Heimdal avant la version 7.7.1 peut sous certaines circonstances réaliser un
accès en mémoire hors limites lors d’une normalisation en Unicode, pouvant
aboutir à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-42898";>CVE-2022-42898</a>

<p>Greg Hudson a découvert un dépassement de multiplication d’entier dans la
routine d’analyse PAC (Privilege Attribute Certificate), qui peut aboutir à un
déni de service pour les KDC d’Heimdal et éventuellement de ses serveurs
(par exemple, à l’aide de GSS-API) sur les systèmes 32 bits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-44640";>CVE-2022-44640</a>

<p>Douglas Bagnall et les responsables d’Heimdal indépendamment ont découvert
qu’ASN.1 du compilateur d’Heimdal avant la version 7.7.1 générait du code qui
permettait à des encodages DER contrefaits pour l'occasion de CHOICE d’invoquer
la mauvaise fonction free() sur la structure décodée lors d’une erreur de
décodage. Cela pouvait aboutir à une exécution de code à distance dans le KDC
d’Heimdal et éventuellement dans le client Kerberos, la bibliothèque X.509 et
aussi d’autres composants.</p></li>

</ul>

<p>Pour Debian 10 « Buster », ces problèmes ont été corrigés dans
la version 7.5.0+dfsg-3+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets heimdal.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de heimdal,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/heimdal";>\
https://security-tracker.debian.org/tracker/heimdal</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3206.data"
# $Id: $

#use wml::debian::translation-check translation="d78d16f5edda87c389c585a4166c1f20aa200f3f" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans inetutils, une
collection de programmes courants pour le réseau.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-0053";>CVE-2019-0053</a>

<p>Le client telnet d’inetutils ne valide pas suffisamment les variables
d’environnement, cela peut conduire à des dépassements de pile. Ce problème est
limité à une exploitation locale à partir d’interpréteurs restreints.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-40491";>CVE-2021-40491</a>

<p>Le client ftp d’inetutils avant la version 2.2 ne valide pas les adresses
renvoyées par les réponses PASV/LSPV pour être sûr qu’elles correspondent à
l’adresse du serveur. Un serveur malveillant peut exploiter ce défaut pour
obtenir des services dans le réseau privé du client. Cela est similaire au
<a href="https://security-tracker.debian.org/tracker/CVE-2020-8284";>CVE-2020-8284</a>
de curl.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-39028";>CVE-2022-39028</a>

<p>Le serveur telnet d’inetutils jusqu’à la version 2.3 avait un déréférencement
de pointeur NULL qu’un client pouvait déclencher en envoyant 0xff 0xf7 ou
0xff 0xf8. Dans une installation typique, l’application telnetd planterait, mais
le service telnet serait toujours disponible à travers inetd. Cependant, si
l’application telnetd plantait souvent dans un intervalle de temps réduit, le
service telnet deviendrait non disponible après qu’inetd journalise une erreur
« telnet/tcp failing (looping), service terminated ».</p></li>

</ul>

<p>Pour Debian 10 « Buster », ces problèmes ont été corrigés dans
la version 2:1.9.4-7+deb10u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets inetutils.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de inetutils,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/inetutils";>\
https://security-tracker.debian.org/tracker/inetutils</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3205.data"
# $Id: $

Reply to:

Follow-Ups:
- Re: [RFR] wml://lts/security/2022/dla-320{5-8}.wml
  - From: Lucien Gentis <lucien.gentis@waika9.com>
- Re: [RFR] wml://lts/security/2022/dla-320{5-8}.wml
  - From: Md <daniel.malgorn@laposte.net>

Prev by Date: Re: [RFR] wml://lts/security/2022/dla-318{1,2,4,5,6,7x.wml
Next by Date: Re: [RFR] wml://lts/security/2022/dla-3204.wml
Previous by thread: Re: [RFR] wml://security/2022/dsa-528{8,9}.wml
Next by thread: Re: [RFR] wml://lts/security/2022/dla-320{5-8}.wml
Index(es):
- Date
- Thread