Bonjour, huit nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="9495d192a69dc0455f10affcf2288b610ac56310" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs défauts ont été découverts dans libjettison-java, une collection d’analyseurs et d’éditeurs StAX pour JSON. Une entrée utilisateur contrefaite pour l'occasion pouvait causer un déni de service à l’aide d’un épuisement de mémoire ou des erreurs de dépassement de pile.</p> <p>Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 1.5.3-1~deb11u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libjettison-java.</p> <p>Pour disposer d'un état détaillé sur la sécurité de libjettison-java, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/libjettison-java">\ https://security-tracker.debian.org/tracker/libjettison-java</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2023/dsa-5312.data" # $Id: $
#use wml::debian::translation-check translation="bbf45cabb18dfdd9831a76ce62af71ea9123b9ef" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Il a été découvert que les personnes qui utilisent java.sql.Statement ou java.sql.PreparedStatement dans hsqldb, une base de données SQL Java, pour traiter des entrées non sûres peuvent être vulnérables à une attaque d'exécution de code à distance. Par défaut il est permis d'appeler n'importe quelle méthode statique de toute classe Java dans le classpath aboutissant à une exécution de code. Le problème peut être évité en mettant à jour vers la version 2.5.1-1+deb11u1 ou en définissant les propriétés du système <q>hsqldb.method_class_names</q> pour les classes qu'il est permis d'appeler. Par exemple, System.setProperty("hsqldb.method_class_names",\ "abc") ou l'argument Java <q>-Dhsqldb.method_class_names="abc"</q> peuvent être utilisés. À partir de la version 2.5.1-1+deb11u1, toutes les classes ne sont pas accessibles par défaut, sauf celles présentes dans java.lang.Math, et doivent être activées manuellement.</p> <p>Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 2.5.1-1+deb11u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets hsqldb.</p> <p>Pour disposer d'un état détaillé sur la sécurité de hsqldb, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/hsqldb">\ https://security-tracker.debian.org/tracker/hsqldb</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2023/dsa-5313.data" # $Id: $
#use wml::debian::translation-check translation="2a917a9618ccda968f5776d167baf42a82758012" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>L'absence de vérification des entrées dans la fonctionnalité ctags d'Emacs peut avoir pour conséquence l'exécution de commandes arbitraires de l'interpréteur.</p> <p>Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 1:27.1+1-3.1+deb11u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets emacs.</p> <p>Pour disposer d'un état détaillé sur la sécurité de emacs, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/emacs">\ https://security-tracker.debian.org/tracker/emacs</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2023/dsa-5314.data" # $Id: $
#use wml::debian::translation-check translation="31dd56ffc3a925fcd62629a94767920c8bfbbfd1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>XStream sérialise des objets Java vers XML et inversement. Les versions antérieures à 1.4.15-3+deb11u2 peuvent permettre à un attaquant distant de mettre fin à l'application avec une erreur de dépassement de pile, menant à un déni de service au moyen seulement de la manipulation du flux d'entrée traité. Les attaques utilisent l'implémentation du code de hachage pour les collections et les <q>maps</q> pour obliger à un calcul de hachage récursif provoquant un dépassement de pile. Cette mise à jour s'occupe du dépassement de pile et déclenche une InputManipulationException à la place.</p> <p>Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 1.4.15-3+deb11u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libxstream-java.</p> <p>Pour disposer d'un état détaillé sur la sécurité de libxstream-java, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/libxstream-java">\ https://security-tracker.debian.org/tracker/libxstream-java</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2023/dsa-5315.data" # $Id: $
#use wml::debian::translation-check translation="7b1194b035fe4a8d2513a8347a683808152b0ad7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités d'épuisement de mémoire, de dépassement de pile ou de dissimulation de requête HTTP ont été découvertes dans Netty, un environnement de développement de sockets client/serveur NIO en Java, qui peuvent permettre à des attaquants de provoquer un déni de service ou de contourner des restrictions lors de son utilisation comme mandataire.</p> <p>Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 1:4.1.48-4+deb11u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets netty.</p> <p>Pour disposer d'un état détaillé sur la sécurité de netty, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/netty">\ https://security-tracker.debian.org/tracker/netty</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2023/dsa-5316.data" # $Id: $
#use wml::debian::translation-check translation="c847cbc5be4f8619a29a69712778108cb02b23dd" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans Chromium. Cela pouvait avoir pour conséquences l'exécution de code arbitraire, un déni de service ou la divulgation d'informations.</p> <p>Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 109.0.5414.74-2~deb11u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets chromium.</p> <p>Pour disposer d'un état détaillé sur la sécurité de chromium, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/chromium">\ https://security-tracker.debian.org/tracker/chromium</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2023/dsa-5317.data" # $Id: $
#use wml::debian::translation-check translation="136901b7c79e22ff5f19b78388db1eafc4f0662b" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Igor Ponomarev a découvert que LAVA, un système d'intégration continue pour déployer des systèmes d'exploitation sur des matériels physiques et virtuels pour l'exécution de test, était vulnérable à un déni de service au moyen d'une expansion d'entité XML récursive.</p> <p>Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 2020.12-5+deb11u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets lava.</p> <p>Pour disposer d'un état détaillé sur la sécurité de lava, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/lava">\ https://security-tracker.debian.org/tracker/lava</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2023/dsa-5318.data" # $Id: $
#use wml::debian::translation-check translation="0bb57722b262158314620a81a2000bdf50f67f69" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités ont été découvertes dans l'implémentation de LLPD par Open vSwitch, un commutateur virtuel Ethernet à base logicielle, qui pouvaient avoir pour conséquence un déni de service.</p> <p>Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 2.15.0+ds1-2+deb11u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets openvswitch.</p> <p>Pour disposer d'un état détaillé sur la sécurité de openvswitch, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/openvswitch">\ https://security-tracker.debian.org/tracker/openvswitch</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2023/dsa-5319.data" # $Id: $
Attachment:
signature.asc
Description: This is a digitally signed message part