[RFR] wml://lts/security/2023/dla-356{0,1,2,4}.wml

To: Debian-l10n French <debian-l10n-french@lists.debian.org>
Subject: [RFR] wml://lts/security/2023/dla-356{0,1,2,4}.wml
From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
Date: Tue, 12 Sep 2023 22:43:45 +0200
Message-id: <[🔎] 20230912224345.21638927@debian>

Bonjour,

voici la traduction de quatre nouvelles pages de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.

-- 
Jean-Paul

#use wml::debian::translation-check translation="6089069b3a48c6e0b31c55455d11c4afacee80a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert qu’il existait une vulnérabilité potentielle d’homme du
milieu (Man dans the Middle – MITM) dans e2guardian, un moteur de filtrage de
contenu web.</p>

<p>Une validation de certificats SSL manquait dans le moteur de prévention MITM
d’e2guardian. Dans le mode autonome (c’est-à-dire agissant comme mandataire ou
mandataire transparent) avec MITM SSL activé, e2guardian ne validait pas les
noms d’hôte dans les certificats de serveurs web auxquels il était connecté et,
par conséquent, était lui-même vulnérable à des attaques MITM.</p>

<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-44273";>CVE-2021-44273</a>
<p>e2guardian versions v5.4.x &lt;= 5.4.3r était affecté par des validations
manquantes de certificats SSL dans le moteur MITM SSL. Dans le mode autonome,
(c’est-à-dire agissant comme mandataire ou mandataire transparent) avec MITM
SSL activé, e2guardian, si construit avec OpenSSL version 1.1.x, ne validait pas
les noms d’hôte dans les certificats de serveurs web auxquels il était connecté
et, par conséquent, était lui-même vulnérable à des attaques MITM.</p></li>


</ul>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 5.3.1-1+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets e2guardian.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3564.data"
# $Id: $

#use wml::debian::translation-check translation="02611d118b00d93f7468d03c5b354585599e35dc" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de sécurité a été identifiée dans Orthanc, un serveur DICOM
utilisé pour l’imagerie médicale, par laquelle des utilisateurs d’API
authentifiés avaient la capacité d’écraser des fichiers arbitraires et, dans
certaines configurations, exécuter du code non autorisé.</p>

<p>Cette mise à jour corrige le problème en rétroportant un mécanisme de
protection : l’option RestApiWriteToFileSystemEnabled est désormais incluse et
est réglée à <q>true</q> par défaut dans le fichier de configuration
/etc/orthanc/orthanc.json. Les utilisateurs voulant revenir au comportement
précédent peuvent régler manuellement cette option à  <q>true</q>.</p>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 1.5.6+dfsg-1+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets orthanc.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de orthanc,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/orthanc";>\
https://security-tracker.debian.org/tracker/orthanc</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3562.data"
# $Id: $

#use wml::debian::translation-check translation="71d74590d7de8fed979dcd1e892271b11f33703e" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert qu’il existait une attaque potentielle par déni de service
par expression rationnelle (ReDoS) dans node-cookiejar, une bibliothèque Node.js
pour analyser et manipuler des cookies HTTP. Une attaque était possible en
passant une grande valeur à la fonction <code>Cookie.parse</code>.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-25901";>CVE-2022-25901</a>

<p>Les versions de paquets cookiejar avant la version 2.1.4 étaient vulnérables
à un déni de service par expression rationnelle de service (ReDoS) à l’aide
de la fonction Cookie.parse qui utilise une expression rationnelle non sûre.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 2.0.1-1+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets node-cookiejar.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3561.data"
# $Id: $

#use wml::debian::translation-check translation="dd974c8bf9840440cc92eec6e4842f776ceef0c6" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de dépassement de tampon a été découverte dans la fonction
<code>LibRaw::Stretch()</code>, qui pouvait conduire à un déni de service lors
de l’analyse d’un fichier CRW malveillant.</p>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 0.19.2-2+deb10u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libraw.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de libraw,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/libraw";>\
https://security-tracker.debian.org/tracker/libraw</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3560.data"
# $Id: $

Reply to:

Follow-Ups:
- [LCFC] wml://lts/security/2023/dla-356{0,1,2,4}.wml
  - From: JP Guillonneau <guillonneau.jeanpaul@free.fr>

Prev by Date: [RFR] wml://security/2023/dsa-549{2,3,4,5}.wml
Next by Date: Re: [RFR] wml://security/2023/dsa-549{2,3,4,5}.wml
Previous by thread: [LCFC] wml://security/2023/dsa-549{2,3,4,5}.wml
Next by thread: [LCFC] wml://lts/security/2023/dla-356{0,1,2,4}.wml
Index(es):
- Date
- Thread