[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2023/dla-3624.wml

Bonjour,

voici la traduction d’une nouvelle page de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.

-- 
Jean-Paul

#use wml::debian::translation-check translation="66c577e800db1a352e95c5d803b3626bcecc1a33" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Une vulnérabilité potentielle de contournement d’autorisation a été
découverte dans Apache Zookeeper, un service de coordination haute performance
pour les applications distribuées.</p>

<p>Plus précisément, si l’authentification SASL Quorum Peer était activée
à l’aide de <code>quorum.auth.enableSasl</code>, l’authentification était faite
en vérifiant que la partie d’instance d’authentification d’ID SASL était listée
dans la liste du serveur <code>zoo.cfg</code>. Cependant, cette valeur est
facultative, et, si absente (telle que dans <code>eve@EXAMPLE.COM</code>),
la vérification d’authentification était omise. En conséquence, un terminal
arbitraire pouvait rejoindre la grappe et commencer à propager des modifications
contrefaites au leader, lui donnant essentiellement un accès en lecture et
écriture complet à l’arbre des données.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-44981";>CVE-2023-44981</a>

<p>Contournement d’authentification à l’aide de la vulnérabilité de clé
contrôlée par l’utilisateur dans Apache ZooKeeper. Si l’authentification
SASL Quorum Peer était activée dans Zookeeper (quorum.auth.enableSasl=true),
l’autorisation était faite en vérifiant que la partie d’instance
d’authentification d’ID SASL était listée dans la liste du serveur zoo.cfg.
Cependant, cette partie d’instance est facultative, et, si absente, tel que
dans « eve@EXAMPLE.COM », la vérification d’authentification était omise.
En conséquence, un terminal arbitraire pouvait rejoindre la grappe et commencer
à propager des modifications contrefaites au leader, lui donnant essentiellement
un accès en lecture et écriture complet à l’arbre des données.
L’authentification Quorum Peer n’est pas activée par défaut. Il est recommandé
de mettre à niveau vers les versions 3.9.1, 3.8.3 et 3.7.2 qui corrigent ce
problème. Sinon, vérifiez que la communication de l’ensemble élection/quorum
soit protégée par un pare-feu car cela mitige le problème. Consultez la
documentation pour plus de détails sur l’administration correcte d’une grappe.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 3.4.13-2+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets zookeeper.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3624.data"
# $Id: $
Reply to: