[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2023/dla-348{5,6,7}.wml

Bonjour,

voici la traduction de trois nouvelles pages de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.

-- 
Jean-Paul

#use wml::debian::translation-check translation="2074507438f8d3a39ad2f8b50d8f85001981f664" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité potentielle de script intersite (XSS)
(<a href="https://security-tracker.debian.org/tracker/CVE-2022-36180";>CVE-2022-36180</a>) et une vulnérabilité de traitement de session
(<a href="https://security-tracker.debian.org/tracker/CVE-2022-36179";>CVE-2022-36179</a>)
ont été découvertes dans fusiondirectory, un programme d’administration LDAP
basée sur le web.</p>

<p>De plus, fusiondirectory a été mis à niveau pour corriger la modification
d’API dans php-cas à cause du
<a href="https://security-tracker.debian.org/tracker/CVE-2022-39369";>CVE-2022-39369</a>.
Consulter la DLA 3485-1 pour plus de détails.</p>

<p>Dû à cela, si l’authentification CAS est utilisée, fusiondirectory ne
fonctionnera plus avant que ces deux étapes aient été réalisées :</p>

<p>— installation du nouveau paquet fusiondirectory-schema pour Buster</p>

<p>— mise à jour du schéma central de fusiondirectory dans LDAP en exécutant
fusiondirectory-insert-schema -m</p>

<p>— basculer vers la nouvelle API de php-cas en exécutant
fusiondirectory-setup --set-config-CasLibraryBool=TRUE</p>

<p>— régler le ClientServiceName CAS à l’URL de base dans l’installation de
fusiondirectory, par exemple :
fusiondirectory-setup --set-config-CasClientServiceName="https://fusiondirectory.example.org/";</p>


<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 1.2.3-4+deb10u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets fusiondirectory.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de fusiondirectory,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/fusiondirectory";>\
https://security-tracker.debian.org/tracker/fusiondirectory</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3487.data"
# $Id: $

#use wml::debian::translation-check translation="2074507438f8d3a39ad2f8b50d8f85001981f664" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le paquet source ocsinventory-server a été mis à niveau pour corriger la
modification d’API dans php-cas à cause du
<a href="https://security-tracker.debian.org/tracker/CVE-2022-39369";>CVE-2022-39369</a>, consulter DLA 3485-1 pour plus de détails.</p>

<p>CAS est un mécanisme d’authentification facultatif dans le paquet binaire
ocsinventory-reports, et si utilisé, ocsinventory-reports ne fonctionnera plus
s’il n’est pas reconfiguré.</p>

<p>Il nécessite que l’URL de base du service à authentifier soit configuré.</p>

<p>Pour ocsinventory-reports, cela est fait avec la variable
$cas_service_base_url dans le fichier
the /usr/share/ocsinventory-reports/backend/require/cas.config.php</p>

<p>Attention : malgré cette mise à niveau, ocsreports-server devrait être
utilisé que dans des environnement fiables et sécurisés.</p>


<p>Pour Debian 10 <q>Buster</q>, cette mise à jour est disponible jusqu’à
la version 2.5+dfsg1-1+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ocsinventory-server.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de ocsinventory-server,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/ocsinventory-server";>\
https://security-tracker.debian.org/tracker/ocsinventory-server</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3486.data"
# $Id: $

#use wml::debian::translation-check translation="2074507438f8d3a39ad2f8b50d8f85001981f664" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans phpCAS, une bibliothèque cliente de
système d’authentification (CAS) en PHP, qui pouvait permettre à un attaquant
d’obtenir un accès à un compte de victime sur un service CASifié sans que
celle-ci en ait connaissance et visitait un site web de l’attaquant tout en
étant connectée au même serveur CAS.</p>

<p>Le correctif pour cette vulnérabilité nécessite un changement important de
l’API dans php-cas et la mise à niveau des logiciels utilisant cette
bibliothèque.</p>

<p>Pour Buster, tous les paquets dans les dépôts de Debian qui utilisent php-cas
ont été mis à niveau, cependant une configuration manuelle supplémentaire est
attendue car php-cas a besoin d’une information de site supplémentaire, l’URL de
base du service, pour fonctionner. Les DLA pour leurs paquets respectifs auront
une information supplémentaire ainsi que les fichiers NEWS des paquets.</p>

<p>Pour les logiciels de tierces parties utilisant php-cas, veuillez noter que
l’amont a fourni les instructions suivantes pour mettre à niveau ce logiciel [1].</p>

<p>phpCAS a désormais besoin d’un argument d’URL de base de service
supplémentaire lors de la construction de la classe cliente. Il accepte
n’importe quel argument de :</p>

<p>1. Une chaine d’URL de base de service. La découverte d’URL de service
utilisera toujours ce nom de serveur (protocole, nom d’hôte et numéro de port)
sans utiliser aucun nom d’hôte de service externe.
2. Un tableau de chaines d’URL de base de service. La découverte d’URL de
service vérifiera en se servant de cette liste avant d’utiliser l’URL de base
auto-découvert. Sans correspondance, le premier URL dans le tableau sera utilisé
par défaut. Cette option est utile si votre site web PHP est accessible depuis
plusieurs domaines sans nom canonique ou par HTTP et HTTPS.
3. Une classe mettant en œuvre CAS_ServiceBaseUrl_Interface. Si vous avez
besoin de personnaliser le comportement de la découverte d’URL de base, vous
pouvez utiliser une classe qui met en œuvre l’interface.</p>

<p>La construction de la classe cliente est habituellement faite avec
phpCAS::client().</p>

<p>Par exemple, en utilisant la première possibilité :
phpCAS::client(CAS_VERSION_2_0, $cas_host, $cas_port, $cas_context);
peut devenir :
phpCAS::client(CAS_VERSION_2_0, $cas_host, $cas_port, $cas_context, "https://casified-service.example.org:8080";);</p>


<p>Détails de la vue :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-39369";>CVE-2022-39369</a>

<p>La bibliothèque phpCAS utilise les en-têtes HTTP pour déterminer l’URL de
service utilisé pour valider les tickets. Cela permettait à un attaquant de
contrôler l’en-tête de l’hôte et utiliser un ticket valable accordé pour
n’importe quel service autorisé dans le même domaine SSO (serveur CAS) pour
authentifier le service protégé par phpCAS. Selon les réglages du registre du
serveur CAS de service, dans le pire des cas, cela peut être n’importe quel autre
URL de service (si les URL autorisés sont configurés à <q>^(https)://.*</q>) ou
cela peut être strictement limité aux services connus ou autorisés dans la même
fédération SSO si une validation de service d’URL est appliquée.</p>

<p>[1] <a href="https://github.com/apereo/phpCAS/blob/f3db27efd1f5020e71f2116f637a25cc9dbda1e3/docs/Upgrading#L1C1-L1C1";>https://github.com/apereo/phpCAS/blob/f3db27efd1f5020e71f2116f637a25cc9dbda1e3/docs/Upgrading#L1C1-L1C1</a>.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 1.3.6-1+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets php-cas.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de php-cas,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/php-cas";>\
https://security-tracker.debian.org/tracker/php-cas</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3485.data"
# $Id: $
Reply to: