[RFR] wml://lts/security/2023/dla-357{4,5}.wml

To: Debian-l10n French <debian-l10n-french@lists.debian.org>
Subject: [RFR] wml://lts/security/2023/dla-357{4,5}.wml
From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
Date: Thu, 21 Sep 2023 15:12:09 +0200
Message-id: <[🔎] 20230921151209.40df0576@debian>

Bonjour,

voici la traduction de deux nouvelles pages de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.

-- 
Jean-Paul

#use wml::debian::translation-check translation="98de218d0cf2c49c8954a801b222501204122b4d" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour corrige plusieurs vulnérabilités concernant le module
<code>urlparse</code> ainsi que des vulnérabilités concernant les modules
<code>heapq</code>, <code>hmac</code>, <code>plistlib</code> et
<code>ssl</code>.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-23336";>CVE-2021-23336</a>

<p>Python était vulnérable à un empoisonnement de cache web à l’aide de
<code>urlparse.parse_qsl</code> et <code>urlparse.parse_qs</code> en utilisant
un masquage de paramètre appelé de vecteur. Quand l’attaquant pouvait séparer
les paramètres de requête en utilisant un point-virgule (<code>;</code>), il
pouvait provoquer une différence dans l’interprétation de la requête entre le
mandataire (exécuté avec la configuration par défaut) et le serveur. Cela
pouvait aboutir à des requêtes malveillantes mises en cache comme celles
entièrement sûres, car le mandataire habituellement ne voyait pas les
points-virgules comme un séparateur, et ne l’incluait pas dans la clé de cache
d’un paramètre sans clé.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-0391";>CVE-2022-0391</a>

<p>Le module <code>urlparse</code> assiste dans la décomposition de chaines
d’URL (Uniform Resource Locator) en composants. Le problème concerne la manière
dont la méthode urlparse ne nettoyait pas l’entrée et autorisait des caractères
tels que « <code>\r</code> » et « <code>\n</code> » dans le chemin de l’URL. Ce
défaut permettait à attaquant de saisir un URL contrefait, conduisant à une
attaque par injection.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-48560";>CVE-2022-48560</a>

<p>Une utilisation de mémoire après libération existait dans Python à l’aide de
<code>heappushpop</code> dans <code>heapq</code>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-48565";>CVE-2022-48565</a>

<p>Un problème d’entité externe XML (XXE) a été découvert dans Python. Le
module <code>plistlib</code> n’accepte plus des déclarations d’entités dans des
fichiers plist XML pour éviter ces vulnérabilités XML.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-48566";>CVE-2022-48566</a>

<p>Un problème a été découvert dans <code>compare_digest</code> dans
<code>Lib/hmac.py</code> dans Python. Des optimisations pour contrer le problème
de temps constant (Constant-time-defeating) étaient possibles dans la variable
d’accumulateur dans <code>hmac.compare_digest</code>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-24329";>CVE-2023-24329</a>

<p>Un problème dans le composant <code>urlparse</code> de Python permettait à
des attaquants de contourner les méthodes de blocage en fournissant un URL
débutant par un caractère blanc.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-40217";>CVE-2023-40217</a>

<p>Ce problème affectait principalement les serveurs écrits en Python (tels que
les serveurs HTTP) qui utilisaient l’authentification TLS de client. Si un
socket côté serveur TLS était créé, recevait des données dans le tampon de
socket et était rapidement fermé, il existait une courte fenêtre pendant
laquelle l’instance <code>SSLSocket</code> pouvait détecter le socket comme
<q>notconnected</q> et ne pas initialiser la poignée de main, mais les données
en tampon pouvaient toujours être lues à partir du tampon de socket. Ces données
n’étaient pas authentifiées si le pair TLS côté serveur attendait une
authentification de certificat de client et étaient indistinguables de données
valables de flux TLS. La taille des données est limitée au montant adapté au
tampon. (La connexion TLS ne peut être utilisée directement pour l’exfiltration
car le chemin vulnérable de code nécessite que la connexion soit fermée lors de
l’initialisation du <code>SSLSocket</code>.)</p>


<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 2.7.16-2+deb10u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python2.7.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de python2.7,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/python2.7";>\
https://security-tracker.debian.org/tracker/python2.7</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li>

</ul>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3575.data"
# $Id: $

#use wml::debian::translation-check translation="a4e3245d0b767bdecb0632b5346e9660ccc6932f" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux défauts de déréférencement de pointeur NULL ont été découverts dans
Mutt, un client de messagerie en mode texte, gérant MIME, GPG, PGP et les fils
de discussion. Ils peuvent avoir pour conséquence un déni de service (plantage
d'application) lors de l'affichage d'un courriel contrefait pour l'occasion ou
d'une rédaction à partir d'un brouillon de message contrefait pour l'occasion.
</p>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 1.10.1-2.1+deb10u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mutt.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de mutt,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/mutt";>\
https://security-tracker.debian.org/tracker/mutt</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3574.data"
# $Id: $

Reply to:

Follow-Ups:
- [LCFC] wml://lts/security/2023/dla-357{4,5}.wml
  - From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
- [LCFC] wml://lts/security/2023/dla-357{4,5}.wml
  - From: JP Guillonneau <guillonneau.jeanpaul@free.fr>

Prev by Date: Re: [RFR] wml://security/2023/dsa-5503.wml
Next by Date: [RFR3] wml://News/2023/20230918.wml
Previous by thread: Re: [RFR] wml://security/2023/dsa-5503.wml
Next by thread: [LCFC] wml://lts/security/2023/dla-357{4,5}.wml
Index(es):
- Date
- Thread