[RFR] wml://lts/security/2023/dla-359{1,2,3,5,6}.wml
Bonjour,
voici la traduction de nouvelles pages de sécurité.
Merci d’avance pour vos relectures et commentaires.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="95ba90be1b9d9452dceac8df83016626652bc259" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Intel® a publié l’annonce INTEL-SA-00766 concernant les vulnérabilités
potentielles de sécurité dans quelques produits Wi-Fi PROSet/Wireless et Killer™
qui pouvaient permettre une élévation de privilèges ou un déni de service.
L’annonce complète est disponible sur [1]</p>
<p>[1] <a href="https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00766.html";>https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00766.html</a>.</p>
<p>Cette mise à jour du paquet firmware-nonfree inclut les fichiers de
micrologiciels suivants :
</br>– Intel Bluetooth série AX2xx :
</br>ibt-0041-0041.sfi
</br>ibt-19-0-0.sfi
</br>ibt-19-0-1.sfi
</br>ibt-19-0-4.sfi
</br>ibt-19-16-4.sfi
</br>ibt-19-240-1.sfi
</br>ibt-19-240-4.sfi
</br>ibt-19-32-0.sfi
</br>ibt-19-32-1.sfi
</br>ibt-19-32-4.sfi
</br>ibt-20-0-3.sfi
</br>ibt-20-1-3.sfi
</br>ibt-20-1-4.sfi
</br>– Intel Wireless séries 22000 :
</br>iwlwifi-Qu-b0-hr-b0-77.ucode
</br>iwlwifi-Qu-b0-jf-b0-77.ucode
</br>iwlwifi-Qu-c0-hr-b0-77.ucode
</br>iwlwifi-Qu-c0-jf-b0-77.ucode
</br>iwlwifi-QuZ-a0-hr-b0-77.ucode
</br>iwlwifi-cc-a0-77.ucode</p>
<p>Les fichiers des micrologiciels mis à jour peuvent nécessiter un noyau mis à
pour fonctionner. Il est recommandé de désérialiser si le noyau incorpore le
fichier de micrologiciels mis à jour et de prendre les mesures adéquates si
nécessaires.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-27635";>CVE-2022-27635</a>
<p>Un contrôle d’accès incorrect pour quelques logiciels Wi-Fi PROSet/Wireless
d’Intel(R) WiFi et Killer(TM) pouvait permettre à un utilisateur privilégié
d’éventuellement permettre une élévation de privilèges à l’aide d’un accès
local.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-36351";>CVE-2022-36351</a>
<p>Un contrôle d’accès incorrect pour quelques logiciels Wi-Fi PROSet/Wireless
d’Intel(R) WiFi et Killer(TM) pouvait permettre à un utilisateur non authentifié
d’éventuellement provoquer un déni de service à l'aide d'un accès adjacent.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-38076";>CVE-2022-38076</a>
<p>Une validation d’entrée incorrecte pour quelques logiciels Wi-Fi
PROSet/Wireless d’Intel(R) WiFi et Killer(TM) pouvait permettre à un utilisateur
authentifié d’éventuellement permettre une élévation de privilèges à l’aide d’un
accès local.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-40964";>CVE-2022-40964</a>
<p>Un contrôle d’accès incorrect pour quelques logiciels Wi-Fi PROSet/Wireless
d’Intel(R) WiFi et Killer(TM) pouvait permettre à un utilisateur privilégié
d’éventuellement permettre une élévation de privilèges à l’aide d’un accès
local.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-46329";>CVE-2022-46329</a>
<p>Un défaut du mécanisme de protection pour quelques logiciels Wi-Fi
PROSet/Wireless d’Intel(R) WiFi et Killer(TM) pouvait permettre à un utilisateur
privilégié d’éventuellement permettre une élévation de privilèges à l’aide d’un
accès local.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 20190114+really20220913-0+deb10u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets firmware-nonfree.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de firmware-nonfree,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/firmware-nonfree";>\
https://security-tracker.debian.org/tracker/firmware-nonfree</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3596.data"
# $Id: $
#use wml::debian::translation-check translation="ab2f1a8b6e9c671fb32a470ee031c92261dfac4e" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs cas de validation incorrecte d’entrée ont été corrigés dans
Apache Traffic Server, un serveur mandataire direct et inverse.</p>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 8.1.7-0+deb10u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets trafficserver.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de trafficserver,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/trafficserver";>\
https://security-tracker.debian.org/tracker/trafficserver</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3595.data"
# $Id: $
#use wml::debian::translation-check translation="abdedbee955c7d29c5ae8ab13e96eb9eda0ca829" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été corrigées dans gerbv, un visualisateur pour
le format Gerber pour la conception de circuits imprimés (PCB).</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-40393";>CVE-2021-40393</a>
<p>Écriture hors limites dans les variables <q>d’aperture</q> de macros au
format RS-274X.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-40394";>CVE-2021-40394</a>
<p>Dépassement d'entier dans les variables <q>d’aperture</q> de primitives
de macros de contour au format RS-274X.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-4508";>CVE-2023-4508</a>
<p>Accès en mémoire hors limites lors du référencement de fichiers externes.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 2.7.0-1+deb10u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets gerbv.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de gerbv,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/gerbv";>\
https://security-tracker.debian.org/tracker/gerbv</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3593.data"
# $Id: $
#use wml::debian::translation-check translation="44e410e4968d702ea87dc692f4bd6676419b75f8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilité de sécurité ont été trouvées dans Jetty, un serveur
web basé sur Java et un moteur de servlets.</p>
<p>La classe org.eclipse.jetty.servlets.CGI class est devenu obsolète. Son
utilisation n’est plus sûre. Les développeurs amont de Jetty recommandent
d’utiliser Fast CGI à la place. Voir aussi
<a href="https://security-tracker.debian.org/tracker/CVE-2023-36479";>CVE-2023-36479</a>.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-26048";>CVE-2023-26048</a>
<p>Dans les versions affectées, les servlets avec prise en charge multipart
(par exemple, annotés <q>@MultipartConfig</q>) qui appelaient
<q>HttpServletRequest.getParameter()</q> ou <q>HttpServletRequest.getParts()</q>
pouvaient provoquer un <q>OutOfMemoryError</q> quand le client envoyait une
requête multipart avec une partie ayant un nom, mais pas de nom de fichier
et un contenu très important. Cela arrivait même avec le réglage par défaut
de <q>fileSizeThreshold=0</q> qui diffusait le contenu entier de la partie sur
le disque.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-26049";>CVE-2023-26049</a>
<p>Une analyse non standard de cookie dans Jetty pouvait permettre à un
attaquant d’introduire clandestinement des cookies dans d’autres cookies, ou
de provoquer un comportement inattendu en altérant le mécanisme d’analyse de
cookie.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-40167";>CVE-2023-40167</a>
<p>Avant cette version, Jetty acceptait le caractère <q>+</q> en traitant la
valeur content-length dans le champ d’en-tête HTTP/1. Cela était plus permissif
que ce qui était autorisé par la RFC et les autres serveurs rejetaient
systématiquement de telles requêtes avec des réponses 400. Aucun scénario
d’exploitation de cela n’est connu, mais il est concevable que ce trafic de
requête pouvait aboutir si jetty était utilisé en combinaison avec un serveur
qui ne fermait pas la connexion après l’envoi d’une telle réponse 400.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-36479";>CVE-2023-36479</a>
<p>Les utilisateurs de CgiServlet avec une structure particulière de commande
pouvait avoir une mauvaise commande exécutée. Si un utilisateur envoyait une
requête à un servlet org.eclipse.jetty.servlets.CGI pour un binaire avec une
espace dans son nom, le servlet protégeait la commande en l’enveloppant dans
des guillemets. Cette commande enveloppée, plus un préfixe de commande
facultatif, était alors exécutée à travers un appel à Runtime.exec. Si le nom
originel du binaire fourni par l’utilisateur contenait un guillemet suivi par
une espace, la ligne de commande résultante contenait plusieurs caractères
génériques au lieu d’un seul.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 9.4.16-0+deb10u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets jetty9.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de jetty9,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/jetty9";>\
https://security-tracker.debian.org/tracker/jetty9</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3592.data"
# $Id: $
#use wml::debian::translation-check translation="3520ed026ae0efaace49ac69246159f2e34dcce4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un dépassement de tampon dans le traitement de flux VP8 de média a été
découverte dans le navigateur web Firefox de Mozilla, qui pouvait éventuellement
aboutir à une exécution de code arbitraire.</p>
<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 115.3.1esr-1~deb10u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de firefox-esr,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/firefox-esr";>\
https://security-tracker.debian.org/tracker/firefox-esr</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3591.data"
# $Id: $
Reply to:
- Prev by Date:
[LCFC] wml://lts/security/2023/dla-35{87,88,89,90}.wml
- Next by Date:
[LCFC] wml://lts/security/2023/dla-358{0,1,2,3,5}.wml
- Previous by thread:
[DONE] wml://lts/security/2023/dla-35{87,88,89,90}.wml
- Next by thread:
Re: [RFR] wml://lts/security/2023/dla-359{1,2,3,5,6}.wml
- Index(es):