Bonjour,cinq nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures.
Amicalement, jipege
#use wml::debian::translation-check translation="6984f64209740b25e5e29cb98b47fd2f6d18499d" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans squid, un cache de serveur mandataire web.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-41317";>CVE-2022-41317</a> <p>Du fait d'un traitement incohérent des URI internes, Squid était vulnérable à l'exposition d'informations sensibles sur les clients utilisant le mandataire.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-41318";>CVE-2022-41318</a> <p>Du fait d'une protection incorrecte contre les dépassements d'entier, les assistants d'authentification SSPI et SMB de Squid étaient vulnérables à une attaque par dépassement de tampon.</p></li> </ul> <p>Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 4.6-1+deb10u8.</p> <p>Nous vous recommandons de mettre à jour vos paquets squid.</p> <p>Pour disposer d'un état détaillé sur la sécurité de squid, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/squid";>\ https://security-tracker.debian.org/tracker/squid</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3151.data" # $Id: $
#use wml::debian::translation-check translation="33334756f36a41dc9f9bbaf08a4b4c23d83dad07" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité d'injection de commande a été découverte dans Rexical, un générateur d'analyseur lexical pour le langage de programmation Ruby. Les processus ne sont vulnérables que si la méthode non documentée <q>Nokogiri::CSS::Tokenizer#load_file</q> est appelée avec une entrée non sûre de l'utilisateur comme nom de fichier. Cette vulnérabilité apparaît dans le code généré par le gem Rexical.</p> <p>Pour Debian 10 Buster, ce problème a été corrigé dans la version 1.0.5-2+deb10u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets rexical.</p> <p>Pour disposer d'un état détaillé sur la sécurité de rexical, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/rexical";>\ https://security-tracker.debian.org/tracker/rexical</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3150.data" # $Id: $
#use wml::debian::translation-check translation="a2309c5e0522b188c4703bf2c6eb3035b7cd6ae3" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Nokogiri, un analyseur HTML/XML/SAX/Reader pour le langage de programmation Ruby, menant à une injection de commande, une injection d'entité externe XML (XXE) et à un déni de service (DoS).</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-5477";>CVE-2019-5477</a> <p>Une vulnérabilité d'injection de commande permettait l'exécution de commandes dans un sous-processus au moyen de la méthode <q>Kernel.open</q> de Ruby. Les processus ne sont vulnérables que si la méthode non documentée <q>Nokogiri::CSS::Tokenizer#load_file</q> est appelée avec une entrée non sûre de l'utilisateur comme nom de fichier. Cette vulnérabilité apparaît dans le code généré par le gem Rexical versions v1.0.6 et antérieures. Rexical est utilisé par Nokogiri pour générer le code d'analyse lexical pour le traitement de requêtes CSS.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-26247";>CVE-2020-26247</a> <p>Une vulnérabilité d'injection d'entité externe XML (XXE) : les schémas XML analysés par Nokogiri::XML::Schema étaient considérés comme fiables par défaut, permettant l’accès à des ressources externes à travers le réseau, autorisant éventuellement des attaques XXE ou SSRF. Ce comportement est contraire à la politique de sécurité suivi par les responsables de Nokogiri qui est de traiter toutes les entrées comme non fiables par défaut chaque fois que c'est possible.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-24836";>CVE-2022-24836</a> <p>Nokogiri contient une expression rationnelle inefficace qui est vulnérable à un retour sur trace excessif lorsqu'il tente de détecter l'encodage dans les documents HTML.</p></li> </ul> <p>Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 1.10.0+dfsg1-2+deb10u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets ruby-nokogiri.</p> <p>Pour disposer d'un état détaillé sur la sécurité de ruby-nokogiri, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/ruby-nokogiri";> https://security-tracker.debian.org/tracker/ruby-nokogiri</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3149.data" # $Id: $
#use wml::debian::translation-check translation="3cbbe205c4de468660b7739a142c62a4a080ec06" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans MediaWiki, un moteur de site web pour un travail collaboratif.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-41765";>CVE-2022-41765</a> <p>HTMLUserTextField exposait l'existence d'utilisateurs cachés.</p> <p></p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-41767";>CVE-2022-41767</a> <p>Le script de maintenance reassignEdits ne mettait pas à jour les résultats dans une vérification de plage d'IP dans Special:Contributions.</p></li> </ul> <p>Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 1:1.31.16-1+deb10u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets mediawiki.</p> <p>Pour disposer d'un état détaillé sur la sécurité de mediawiki, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/mediawiki";>\ https://security-tracker.debian.org/tracker/mediawiki</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow" href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3148.data" # $Id: $
#use wml::debian::translation-check translation="801c6bd7145a4a5317233abb440f0a2d6d97e671" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il y avait une vulnérabilité potentielle de lecture de fichier arbitraire dans twig, une bibliothèque de modèles pour PHP. Elle était provoquée par une validation insuffisante des noms de modèle dans les instructions <q>source</q> et <q>include</q>.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-39261";>CVE-2022-39261</a> <p>Twig est un langage de modèle pour PHP. Les versions 1.x antérieures à 1.44.7, 2.x antérieures à 2.15.3 et 3.x antérieures à 3.4.3 étaient confrontées à un problème quand le chargeur du système de fichiers charge des modèles dont le nom est une entrée de l'utilisateur. Il est possible d'utiliser les instructions <q>source</q> et <q>include</q> pour lire des fichiers arbitraires en dehors du répertoire des modèles lors de l'utilisation d'un espace de noms de type <q>@quelque_part/../un.fichier</q>. Dans ce cas, la validation est contournée. Les versions 1.44.7, 2.15.3 et 3.4.3 contiennent un correctif pour la validation de ce type de nom de modèle. Il n'existe pas de contournement connus à part la mise à niveau.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans la version 2.6.2-2+deb10u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets twig.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3147.data" # $Id: $
Attachment:
OpenPGP_signature
Description: OpenPGP digital signature