[RFR] wml://lts/security/2023/dla-3{498,499,500}.wml
Bonjour,
voici la traduction de trois nouvelles pages de sécurité.
Merci d’avance pour vos relectures et commentaires.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="47bf38472e10758572743728f86621b86187bfa9" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert qu’il existait une attaque potentielle par déni de service
dans Django, le cadriciel populaire de développement basé sur Python.</p>
<p><code>EmailValidator</code> et <code>URLValidator</code> étaient susceptibles
d’une attaque par déni de service par expression rationnelle à l'aide d'un grand
nombre d’étiquettes de nom de domaine de courriels et d’URL.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-36053";>CVE-2023-36053</a>
<p>Dans Django versions 3.2 avant 3.2.20, 4 avant 4.1.10 et 4.2 avant 4.2.3,
EmailValidator et URLValidator étaient susceptibles d’une attaque ReDoS (déni de
service par expression rationnelle) à l'aide d'un grand nombre d’étiquettes de
nom de domaine de courriels et d’URL.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 1:1.11.29-1+deb10u9.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3500.data"
# $Id: $
#use wml::debian::translation-check translation="4a9df1743fd26a446411e8234b4b48f857a2e559" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Des vulnérabilités de redirection ouverte ont été trouvées dans
libapache2-mod-auth-openidc, une implémentation OpenID Connect Relying Party
pour Apache, qui pouvaient conduire à une divulgation d'informations à l’aide
d’attaques par hameçonnage.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-39191";>CVE-2021-39191</a>
<p>La fonctionnalité SSO init de tierce partie de <code>mod_auth_openidc</code>
a été signalée comme vulnérable à une attaque de redirection ouverte en fournissant
un URL contrefait dans le paramètre <code>target_link_uri</code>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-23527";>CVE-2022-23527</a>
<p>Lors de la fourniture d’un paramètre de déconnexion à l’URI de redirection,
<code>mod_auth_openidc</code> échouait à vérifier correctement les URL
commençant avec <q><code>/\t</code></q>, conduisant à une redirection
ouverte.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 2.3.10.2-1+deb10u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libapache2-mod-auth-openidc.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de libapache2-mod-auth-openidc,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/libapache2-mod-auth-openidc";>\
https://security-tracker.debian.org/tracker/libapache2-mod-auth-openidc</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3499.data"
# $Id: $
#use wml::debian::translation-check translation="af20be509696191a5e7188dd7bc6753ad226849c" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert qu’il existait un déni de service potentiel (DoS)
dans bind9, le serveur populaire de noms de domaine (DNS). Shoham Danino, Anat
Bremler-Barr, Yehuda Afek et Yuval Shavitt ont découvert qu’un défaut dans
l’algorithme de nettoyage de cache utilisé dans named peut provoquer que la
limite de taille de cache configurée de named pouvait être largement dépassée
aboutissant éventuellement à une attaque par déni de service.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-2828";>CVE-2023-2828</a></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 1:9.11.5.P4+dfsg-5.1+deb10u9.</p>
<p>Nous vous recommandons de mettre à jour vos paquets bind9.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3498.data"
# $Id: $
Reply to: