[RFR] wml://lts/security/2023/dla-349{1,2,3}.wml
Bonjour,
voici la traduction de trois nouvelles pages de sécurité.
Merci d’avance pour vos relectures et commentaires.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="0ad79430eb437a687d2d4987a07a002623a98bbf" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilité de sécurité ont été trouvées dans symfony, un
cadriciel PHP pour des applications web et un ensemble de composants PHP
réutilisables, qui pouvaient conduire à une divulgation d'informations ou
une usurpation.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-21424";>CVE-2021-21424</a>
<p>James Isaac, Mathias Brodala et Laurent Minguet ont découvert qu’il était
possible de dénombrer les utilisateurs sans les permissions adéquates à cause
de messages d’exception différents selon que l’utilisateur existait ou non.
Il était alors possible d’énumérer les utilisateurs en utilisant une attaque
temporelle, en comparant le temps écoulé pour l’authentification d’un
utilisateur existant ou non existant.</p>
<p>403s sont désormais renvoyées que l’utilisateur existe ou pas si un
utilisateur correspond à un utilisateur réel ou si l’utilisateur n’existe pas.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-24894";>CVE-2022-24894</a>
<p>Soner Sayakci a découvert que quand le système de cache HTTP de Symfonym
était activé, l’en-tête de réponse pouvait être stocké dans un en-tête
<code>Set-Cookie</code> et renvoyé à d’autres clients, par conséquent permettant
à un attaquant de récupérer la session de la victime.</p>
<p>Le constructeur <code>HttpStore</code> désormais prend un paramètre contenant
une liste d’en-têtes privés qui sont retirés des en-têtes de réponse HTTP. La
valeur par défaut pour ce paramètre est <code>Set-Cookie</code>, mais elle peut
être écrasée ou étendue par l’application.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-24895";>CVE-2022-24895</a>
<p>Marco Squarcina a découvert que des jetons CSRF n’étaient pas supprimés
lors de la connexion, ce qui pouvait permettre à des attaquants sur le même site
de contourner le mécanisme de protection CSRF en réalisant une attaque similaire
à une fixation de session.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 3.4.22+dfsg-2+deb10u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets symfony.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de symfony,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/symfony";>\
https://security-tracker.debian.org/tracker/symfony</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3493.data"
# $Id: $
#use wml::debian::translation-check translation="0cefe58a3181a750261466da85fb42fb7466fafa" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans yajl, un analyseur JSON et
un petit générateur de validation JSON, écrit en ANSI C, qui éventuellement
pouvaient provoquer une corruption de mémoire ou déni de service.</p>
<p>Le <a href="https://security-tracker.debian.org/tracker/CVE-20117-16516";>CVE-20117-16516</a>
a été déjà corrigé dans la DLA-3478, mais le correctif a été découvert incomplet
car il ne corrigeait pas une fuite de mémoire. Cette mise à jour corrige ce
problème.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-16516";>CVE-2017-16516</a>
<p>Quand un fichier contrefait JSON était fourni à yajl, le processus pouvait
planter avec SIGABRT dans la fonction yajl_string_decode dans yajl_encode.c.
Cela pouvait éventuellement aboutir à un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-24795";>CVE-2022-24795</a>
<p>Les branches 1.x et 2.x de <q>yajl</q> contenaient un dépassement d'entier
qui conduisait à une corruption de mémoire de tas lors du traitement d’entrées
importantes (~2Go).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-33460";>CVE-2023-33460</a>
<p>Une fuite de mémoire existait dans yajl 2.1.0 lors de l’utilisation de la
fonction yajl_tree_parse, qui, éventuellement, causait un épuisement de mémoire
dans le serveur et un plantage.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 2.1.0-3+deb10u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets yajl.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de yajl,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/yajl";>\
https://security-tracker.debian.org/tracker/yajl</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3492.data"
# $Id: $
#use wml::debian::translation-check translation="172b0fdb629ffa192af0f4d8e31b2f474d7c8ac3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de contournement d’authentification de client a été
découverte dans le langage Erlang, concurrent, temps réel, distribué et
fonctionnel. Étaient touchés ceux exécutant un serveur ssl/tls/dtls utilisant
l’application ssl soit directement ou indirectement à l’aide d’autres
applications. Remarquez que cette vulnérabilité affecte seulement les serveurs
qui demandent une certification de client, réglée avec l’option {verify,
verify_peer}.</p>
<p>De plus, le paquet source elixir-lang a été reconstruit à partir de la
nouvelle version d’Erlang. Le paquet rabbitmq-server a été mis à niveau dans sa
version 3.8.2 pour corriger une incompatibilité avec Erlang 22.</p>
<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 1:22.2.7+dfsg-1+deb10u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets erlang.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de erlang,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/erlang";>\
https://security-tracker.debian.org/tracker/erlang</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3491.data"
# $Id: $
Reply to: