[RFR] wml://lts/security/2023/dla-32{82,83}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

voici la traduction de nouvelles pages de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.

-- 
Jean-Paul

#use wml::debian::translation-check translation="059bb2aea48fabb506d90bc786468c921c152681" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été trouvés dans modsecurity-apache, un moteur de
pare-feu dâ??application web (WAF) multiplateforme au code source ouvert pour
Apache, qui permettaient à des attaquants distants de contourner le pare-feu
dâ??application ou dâ??avoir un autre impact non précisé.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-48279";>CVE-2022-48279</a>

<p>Dans ModSecurity avant la version 2.9.6 et les versions 3.x avant 3.0.8,
les requêtes HTTP multiparties étaient analysées incorrectement et pouvaient
contourner le pare-feu dâ??application web.
Remarque : cela est relatif au
<a href="https://security-tracker.debian.org/tracker/CVE-2022-39956";>CVE-2022-39956</a>,
mais peut être considéré indépendant des modifications code de base de
 ModSecurity (langage C).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-24021";>CVE-2023-24021</a>

<p>Le traitement incorrect de lâ??octet NULL dans le téléversement de fichier
dans ModSecurity avant la version 2.9.7 pouvait permettre des contournements
de pare-feu dâ??application web et des dépassements de tampon dans les pare-feux
dâ??application web lors de lâ??exécution de règles lisant la collection
FILES_TMP_CONTENT.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 2.9.3-1+deb10u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets modsecurity-apache.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de modsecurity-apache,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/modsecurity-apache";>\
https://security-tracker.debian.org/tracker/modsecurity-apache</a>.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3283.data"
# $Id: $

#use wml::debian::translation-check translation="f6a434bf244be42f1d7b84f2b626192ab4cbe6a7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes dans Git, un système de gestion de
versions distribué. Un attaquant pouvait déclencher lâ??exécution de code dans
des situations particulières.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-23521";>CVE-2022-23521</a>

<p>gitattributes est le mécanisme qui permet de définir des attributs pour les
chemins. Ces attributs peuvent être définis en ajoutant un fichier
<q>.gitattributes</q> au dépôt qui contient un ensemble de modèles de fichier
et les attributs qui devraient être définis pour les chemins correspondant à ces
modèles. Lors de lâ??analyse de gitattributes, plusieurs dépassements d'entier
pouvaient se produire si existaient un grand nombre de modèles de chemin, un
grand nombre dâ??attributs pour un seul modèle ou quand les noms dâ??attribut
déclaré étaient très grands. Ces dépassements pouvaient être déclenchés à l'aide
d'un fichier <q>.gitattributes</q> contrefait faisant partie de lâ??historique
des commits. Git silencieusement coupait les lignes supérieures à 2Ko lors de
lâ??analyse de gitattributes à  partir dâ??un fichier, mais pas lors de son analyse
à  partir de lâ??index. Par conséquent, le défaut dépend de si le fichier existait
dans lâ??arbre de travail, dans lâ??index ou dans les deux. Ce dépassement d'entier
pouvait aboutir dans des lectures ou des écritures arbitraires de tas et
conduire à une exécution de code à distance.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-41903";>CVE-2022-41903</a>

<p><q>git log</q> peut afficher des commits dans un format arbitraire en
utilisant ses spécificateurs <q>--format</q>. Cette fonctionnalité est aussi
exposée à  <q>git archive</q> à  lâ??aide du gitattribute <q>export-subst</q>. Lors
du traitement des opérateurs de remplissage, un dépassement d'entier existait
dans <q>pretty.c::format_and_pad_commit()</q> où un <q>size_t</q> était stocké
incorrectement comme <q>int</q>, et puis ajouté comme décalage à <q>memcpy()</q>.
Ce dépassement pouvait être déclenché directement par un utilisateur exécutant
une commande invoquant le mécanisme de formatage de commit (par exemple, <q>git
log --format=...</q>). Il pouvait aussi lâ??être indirectement à  travers git
archive à  lâ??aide du mécanisme export-subst qui développe les spécificateurs de
format dans les fichiers du dépôt lors dâ??un git archive. Ce dépassement d'entier
pouvait aboutir dans des lectures arbitraires de tas et conduire à une exécution
de code arbitraire.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 1:2.20.1-2+deb10u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets git.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de git,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/git";>\
https://security-tracker.debian.org/tracker/git</a>.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3282.data"
# $Id: $