[RFR] wml://lts/security/2023/dla-354{3,5,6,8,9}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

voici la traduction de cinq nouvelles pages de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.

-- 
Jean-Paul

#use wml::debian::translation-check translation="c7e8f26e04590f45c331888ec5b0b63b0b0dd4c4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs problèmes ont été découverts dans ring/jami, une plateforme
sécurisée et distribuée de voix, de vidéo et de clavardage. Ces problèmes
concernaient des vérifications manquantes de limites, aboutissant à un accès
en lecture hors limites, un dépassement de tampon ou un déni de service.</p>


<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 20190215.1.f152c98~ds1-1+deb10u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ring/jami.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de ring,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/ring";>\
https://security-tracker.debian.org/tracker/ring</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3549.data"
# $Id: $

#use wml::debian::translation-check translation="3901ce46ec8b677310ff46ac62b7f9b7c71282a7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs problèmes ont été découverts dans qpdf, un paquet d’outils pour
transformer et inspecter des fichiers PDF. Des fichiers contrefaits permettaient
à des attaquants distants d’exécuter du code arbitraire ou de créer des appels
récursifs pendant longtemps, ce qui causait un déni de service. De plus, un
dépassement de tampon de tas pouvait survenir quand une écriture en aval
échouait.</p>


<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 8.4.0-2+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qpdf.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de qpdf,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/qpdf";>\
https://security-tracker.debian.org/tracker/qpdf</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3548.data"
# $Id: $

#use wml::debian::translation-check translation="c6253c4dedab004700c7166f96f71fb3fe4002ac" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert qu’il existait un problème dans le système de filtrage de
courriels DMARC <tt>opendmarc</tt>. Une vulnérabilité permettait à des
attaquants d’injecter des résultats d’authentification pour fournir de fausses
informations à propos du domaine d’origine du message. Cela était dû à une
analyse et une interprétation incorrectes des résultats d’authentification
SPF/DKIM.</p>


<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-12272";>CVE-2020-12272</a>

<p>OpenDMARC jusqu’aux versions 1.3.2 et 1.4.x permettait des attaques
d’injection de résultats d’authentification pour fournir de fausses
informations à propos du domaine d’origine du message. Cela était dû à une
analyse et une interprétation incorrectes des résultats d’authentification
SPF/DKIM, comme le montre la sous-chaine example.net(.example.com.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 1.3.2-6+deb10u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets opendmarc.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3546.data"
# $Id: $

#use wml::debian::translation-check translation="0d84f468c75d625d7303b562589e24d2743ae68f" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que lors de l’utilisation des fonctions
get_post_logout_redirect et get_post_login_redirect dans flask-security, une
implémentation de sécurité simple pour les applications Flask, il était possible
de contourner une validation d’URL et rediriger un utilisateur vers un
arbitraire URL en fournissant plusieurs obliques inverses telles que
\\\evil.com/chemin.</p>

<p>Cette vulnérabilité était exploitable seulement si un serveur de remplacement
WSGI autre que Werkzeug était utilisé ou que le comportement par défaut de
Werkzeug était modifié en utilisant <q>autocorrect_location_header=false</q>.</p>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 1.7.5-2+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets flask-security.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de flask-security,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/flask-security";>\
https://security-tracker.debian.org/tracker/flask-security</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3545.data"
# $Id: $

#use wml::debian::translation-check translation="96e9d1cd886184fecf6bd72f9bd7541b8de1b6ca" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un défaut spécifique lors du traitement de volumes de sauvegarde existait
dans RAR, un programme d’archive pour des fichiers rar. Il permettait à des
attaquants distants d’exécuter du code arbitraire sur les installations
affectées. Une interaction utilisateur était requise pour exploiter cette
vulnérabilité. La cible devait visiter une page malveillante ou ouvrir un
fichier rar malveillant.</p>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 2:6.23-1~deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets rar.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de rar,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/rar";>\
https://security-tracker.debian.org/tracker/rar</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3543.data"
# $Id: $