Re: [RFR] wml://lts/security/2023/dla-35{38,39}.wml
Le 23/08/2023 à 12:06, JP Guillonneau a écrit :
Bonjour,
voici la traduction de deux nouvelles pages de sécurité.
Merci d’avance pour vos relectures et commentaires.
Amicalement.
Détails et suggestions
Amicalement
Lucien
--- dla-3538.wml.orig 2023-08-23 14:26:22.157903120 +0200
+++ dla-3538.wml 2023-08-23 14:44:40.224075876 +0200
@@ -1,23 +1,23 @@
#use wml::debian::translation-check translation="ea906494c55b7522834c1a7298f4d747d5b9d11a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans zabbix, une
solution de supervision réseau, permettant éventuellement le plantage du
serveur, la divulgation d'informations ou des attaques par script intersite.</p>
-<p>Remarques importantes ::
+<p>Remarques importantes :
Pour mitiger le
<a href="https://security-tracker.debian.org/tracker/CVE-2019-17382">CVE-2019-17382</a>,
sur les installations existantes, le compte du client doit être désactivé
manuellement, par exemple, en désactivant le <q>Guest group</q> dans l’interface
-utilisateur :Administration -> User groups -> Guests -> Untick Enabled</p>
+utilisateur : Administration -> User groups -> Guests -> Untick Enabled</p>
<p>Cette mise à jour corrige aussi une régression du
<a href="https://security-tracker.debian.org/tracker/CVE-2022-35229">CVE-2022-35229</a>,
qui casse la possibilité d’éditer et d’ajouter des règles de recherche dans
l’interface utilisateur.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7484">CVE-2013-7484</a>
@@ -33,21 +33,21 @@
<p>Un problème a été découvert dans zabbix.php?actionÚshboard.view&dashboardid=1
dans Zabbix jusqu’à la version 4.4. Un attaquant pouvait contourner la page de
connexion et accéder à la page dashboard et puis créer un Dashboard, Report,
Screen ou Map sans nom d’utilisateur/mot de passe (c’est-à-dire anonymement).
Tous les éléments créés (Dashboard/Report/Screen/Map) étaient accessibles aux
autres utilisateurs et à l’administrateur.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-35229">CVE-2022-35229</a>
<p>Un utilisateur authentifié pouvait créer un lien avec du code Javascript
-réfléchi à l’intérieur pour la page découverte et l’envoyer à d’autres
+réfléchi à l’intérieur pour la page de découverte et l’envoyer à d’autres
utilisateurs. La charge pouvait seulement être exécutée avec une valeur connue
de jeton CSRF de la victime, qui est modifiée périodiquement et qui est
difficile à prédire.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-43515">CVE-2022-43515</a>
<p>L’interface de Zabbix fournit une fonctionnalité qui permettait aux
administrateurs d’entretenir l’installation et assurer que seulement certaines
adresses IP pouvaient y accéder. De cette façon aucun utilisateur ne pouvait
accéder à l’interface de Zabbix tandis qu’il était entretenu et les données
@@ -71,35 +71,35 @@
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-29454">CVE-2023-29454</a>
<p>Une vulnérabilité de script intersite (XSS) stockée ou persistante a été
découverte dans la section <q>Users</q> dans l’onglet <q>Media</q> dans le champ
de formulaire <q>Send to</q>. Quand un nouveau média était créé avec du code
malveillant inclus dans le champ <q>Send to</q>, ce code était exécuté lors de
l’édition du même média.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-29455">CVE-2023-29455</a>
-<p>Une attaque XSS réfléchi, aussi connue non permanent, a été découverte où
+<p>Une attaque XSS réfléchie, aussi connue non permanente, a été découverte où
un attaquant pouvait passer du code malveillant dans des requêtes GET à
graph.php et que le système le stockait et qui était exécuté quand la page graph
était ouverte.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-29456">CVE-2023-29456</a>
<p>Un schéma de validation d’URL recevait une entrée d’un utilisateur et
ensuite l’analysait pour identifier ses divers composants. Le schéma de
-validation doit assurer que tous les composants de l’URL soient conformes aux
+validation doit assurer que tous les composants de l’URL sont conformes aux
normes d’Internet.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-29457">CVE-2023-29457</a>
-<p>Une attaque XSS réfléchi, aussi connue non permanent, a été découverte où des
+<p>Une attaque XSS réfléchie, aussi connue non permanente, a été découverte où des
cookies de session XSS pouvaient être révélés, autorisant le coupable à se faire
passer pour un utilisateur autorisé et trafiquer son compte privé.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 1:4.0.4+dfsg-1+deb10u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets zabbix.</p>
Reply to: