[RFR] wml://lts/security/2023/dla-32{85,87,89,91,93}.wml
Bonjour,
voici la traduction de nouvelles pages de sécurité.
Merci d’avance pour vos relectures et commentaires.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="3c6c36b12d8fce77e606578dfdf60ae7b711471a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été trouvés dans modsecurity-crs, un ensemble de
règles génériques de détection d’attaque utilisé avec ModSecurity ou des
pare-feux d’application web compatible. Cela permettait à des attaquants
distants de contourner le pare-feu d’applications web.</p>
<p>Lors de l’utilisation de modsecurity-crs avec apache2/libapache2-modsecurity,
assurez-vous de revoir votre configuration de modsecurity, habituellement
/etc/modsecurity/modsecurity.conf, en vous servant de la configuration
recommendée mise à jour, disponible dans
/etc/modsecurity/modsecurity.conf-recommended : certaines des modifications des
règles recommandées sont requises pour éviter le contournement de pare-feu
d’applications web dans certaines circonstances.</p>
<p>Veuillez remarquer que
<a href="https://security-tracker.debian.org/tracker/CVE-2022-39956";>CVE-2022-39956</a> \
nécessite un paquet modsecurity-apache mis à jour, qui a été précédemment
téléversé dans Buster-security, consultez l’annonce LTS DLA-3283-1 de Debian
pour plus de détails.</p>
<p>Si vous utilisez une autre solution en connexion avec modsecurity-ruleset,
par exemple, une qui utilise libmodsecurity3, votre solution peut produire une
erreur avec un message tel que <q>Error creating rule: Unknown variable:
MULTIPART_PART_HEADERS</q>. Dans ce cas, vous pouvez désactiver la mitigation
pour le <a href="https://security-tracker.debian.org/tracker/CVE-2022-29956";>CVE-2022-29956</a> \
en supprimant le fichier REQUEST-922-MULTIPART-ATTACK.conf. Cependant, soyez
conscients que cela désactivera la protection et pourrait permettre à des
attaquants de contourner votre pare-feu d’application web.</p>
<p>Il n’y a pas de paquet dans Debian qui dépend de libmodsecurity3, aussi si
vous n’avez que des logiciels de Debian, vous n’êtes pas touché par cette
limitation.</p>
<p>Merci à @airween pour l’aide pendant la préparation de cette mise à jour.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-16384";>CVE-2018-16384</a>
<p>Un contournement d’injection SQL (c’est-à-dire, contournement PL1) existait
dans l’ensemble de règles centrales de ModSecurity d’OWASP
(owasp-modsecurity-crs) jusqu’à la version 3.1.0-rc3 à l’aide de {`a`b} où
a est un nom spécial de fonction (tel que <q>if</q>) et b est une déclaration
SQL à exécuter.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-22669";>CVE-2020-22669</a>
<p>Modsecurity owasp-modsecurity-crs 3.2.0 (niveau PL1 de paranoïa) avait une
vulnérabilité de contournement d’injection SQL. Des attaquants pouvaient
utiliser les caractères de commentaire et des affectations de variable dans la
syntaxe SQL pour contourner la protection WAF de Modsecurity et mettre en œuvre
une attaque par injection SQL dans des applications web.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-39955";>CVE-2022-39955</a>
<p>L’ensemble de règles centrales de ModSecurity d’OWASP (CRS) était sujet à un
contournement partiel lors de la soumission d’un champ d’en-tête Content-Type
HTTP contrefait pour l'occasion qui indiquait plusieurs schémas d’encodage de
caractères. Un dorsal vulnérable pouvait potentiellement être exploité en
déclarant plusieurs noms <q>charset</q> de Content-Type et par conséquent
contourner la liste permise de <q>charset</q> configurable de l’en-tête
Content-Type CRS. Une charge utile encodée pouvait contourner la détection CRS
de cette façon et pouvait être alors décodée par le dorsal. Les anciennes
versions 3.0.x et 3.1.x de CRS sont affectées, ainsi que les versions 3.2.1 et
3.3.2 actuellement gérées. Les intégrateurs et les utilisateurs seraient
bien avisés de mettre à niveau vers les versions 3.2.2 et 3.3.3 respectivement.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-39956";>CVE-2022-39956</a>
<p>L’ensemble de règles centrales de ModSecurity d’OWASP (CRS) était sujet à un
contournement partiel de requêtes multiparties HTTP en soumettant une charge
utile qui utilise un schéma d’encodage de caractères à l’aide de Content-Type ou
des champs obsolètes d’en-tête MIME multipartie Content-Transfer-Encoding, qui
ne seront pas décodés et inspectés par le moteur de pare-feu de l’application
web et l’ensemble de règles. La charge multipartie contournait alors la
détection. Un dorsal vulnérable qui gérait ces schémas d’encodage pouvait être
éventuellement exploité. Les anciennes versions 3.0.x et 3.1.x de CRS sont
affectées, ainsi que les versions 3.2.1 et 3.3.2 actuellement gérées. Les
intégrateurs et les utilisateurs seraient avisés de mettre à niveau vers les
versions 3.2.2 et 3.3.3 respectivement. La mitigation pour ces vulnérabilités
dépend de l’installation de la dernière version de ModSecurity
(versions 2.9.6/3.0.8).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-39957";>CVE-2022-39957</a>
<p>L’ensemble de règles centrales de ModSecurity d’OWASP (CRS) était sujet à un
contournement de corps de réponse. Un client pouvait émettre un champ d’en-tête
Accept HTTP contenant un paramètre facultatif <q>charset</q> afin de recevoir
la réponse dans une forme encodée. Selon le <q>charset</q>, cette réponse
pouvait ne pas être décodée par le pare-feu de l’application web. Une ressource
restreinte, dont l’accès serait ordinairement détecté, pouvait par conséquent
contourner la détection. Les anciennes versions 3.0.x et 3.1.x de CRS sont
affectées, ainsi que les versions 3.2.1 et 3.3.2 actuellement gérées. Les
intégrateurs et les utilisateurs seraient avisés de mettre à niveau vers les
versions 3.2.2 et 3.3.3 respectivement.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-39958";>CVE-2022-39958</a>
<p>L’ensemble de règles centrales de ModSecurity d’OWASP (CRS) était sujet à un
contournement de corps de réponse pour exfiltrer séquentiellement de petites et
indétectables sections de données en soumettant de manière répétitive un champ
d’en-tête Range HTTP avec un petit intervalle d’octets. Une ressource restreinte,
dont l’accès serait ordinairement détecté, pourrait être exfiltrée du dorsal,
bien que protégée par le pare-feu de l’application web qui utilise CRS. De
courtes sous-sections de ressource restreinte pouvaient contourner les
techniques de correspondance de modèles et permettre un accès non détecté. Les
anciennes versions 3.0.x et 3.1.x de CRS sont affectées, ainsi que les
versions 3.2.1 et 3.3.2 actuellement gérées. Les intégrateurs et les
utilisateurs seraient avisés de mettre à niveau vers les versions 3.2.2 et 3.3.3
respectivement et de configurer le niveau paranoïa de CRS à 3 ou au-dessus.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 3.2.3-0+deb10u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets modsecurity-crs.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de modsecurity-crs,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/modsecurity-crs";>\
https://security-tracker.debian.org/tracker/modsecurity-crs</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3293.data"
# $Id: $
#use wml::debian::translation-check translation="ae8be054da264fc499381ae635ac8ee2d4edaf00" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été trouvées dans lemonldap-ng, un système
OpenID-Connect, CAS et SAML, compatible Web-SSO, qui pouvaient aboutir à une
divulgation d'informations ou une usurpation d’identité.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-16093";>CVE-2020-16093</a>
<p>Maxime Besson a découvert que LemonLDAP::NG avant la version 2.0.9 ne
vérifiait pas la validité du certificat X.509 par défaut lors de la connexion
à des dorsaux LDAP distants, parce que la configuration par défaut du module
Net::LDAPS pour Perl était utilisée.</p>
<p>Cette mise à jour change le comportement par défaut pour requérir une
validation X.509 par rapport à l’ensemble
<code>/etc/ssl/certs/ca-certificates.crt</code> de la distribution. Le
comportement antérieur peut être rétabli en exécutant
<code>/usr/share/lemonldap-ng/bin/lemonldap-ng-cli set ldapVerify none</code>.</p>
<p>Si un dorsal de session est défini à
Apache::Session::LDAP ou Apache::Session::Browseable::LDAP, alors la correction
entière implique la mise à niveau du module Apache::Session correspondant
(libapache-session-ldap-perl respectivement libapache-session-browseable-perl)
à la version 0.4-1+deb10u1 (ou ⩾ 0.5) respectivement à la
version 1.3.0-1+deb10u1 (ou ⩾ 1.3.8). Consultez les annonces relatives
<a href="dla-3284">DLA-3284-1</a> et <a href="dla-3285">DLA-3285-1</a> pour plus
de détails.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-37186";>CVE-2022-37186</a>
<p>Mickael Bride a découvert que, sous certaines conditions, la session
demeurait valable sur les gestionnaires après avoir été détruite sur le
portail.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 2.0.2+ds-7+deb10u8.</p>
<p>Nous vous recommandons de mettre à jour vos paquets lemonldap-ng.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de lemonldap-ng,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/lemonldap-ng";>\
https://security-tracker.debian.org/tracker/lemonldap-ng</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3287.data"
# $Id: $
#use wml::debian::translation-check translation="cb488de11d927d25ddf68f457a3c55a12a2f38be" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que node-object-path, un module de Node.js pour accéder
aux propriétés enfouies d’objet en utilisant des chemins séparés par des points,
était vulnérable à une pollution de prototype.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3805";>CVE-2021-3805</a>
<p>Vulnérabilité de pollution de prototype dans les fonctions <code>del()</code>,
<code>empty()</code>, <code>push()</code> et <code>insert()</code> lors de
l’utilisation du mode <q>inherited props</q> (par exemple, quand une nouvelle
instance <code>object-path</code> est créée avec l’option
<code>includeInheritedProps</code> réglée à <code>true</code> ou lors de
l’utilisation de l’instance par défaut <code>withInheritedProps</code>).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-23434";>CVE-2021-23434</a>
<p>Une vulnérabilité de confusion de type pouvait conduire à un contournement
du correctif
<a href="https://security-tracker.debian.org/tracker/CVE-2020-15256";>CVE-2020-15256</a> \
quand les composants path utilisés dans le paramètre path sont des tableaux, car
l’opérateur <code>===</code> renvoie toujours <code>false</code> quand le type
d’opérandes est différent.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 0.11.4-2+deb10u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets node-object-path.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de node-object-path,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/node-object-path";>\
https://security-tracker.debian.org/tracker/node-object-path</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3291.data"
# $Id: $
#use wml::debian::translation-check translation="94346e1c15d3e143ce47873de29cd62b534ed91a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été trouvées dans dojo, une boîte à outils modulaire
en JavaScript, qui pouvaient aboutir à une divulgation d'informations.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-4051";>CVE-2020-4051</a>
<p>Le greffon LinkDialog de Dijit Editor de dojo, versions 1.14.0 à 1.14.7i est
vulnérable à une attaque par script intersite (XSS).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-23450";>CVE-2021-23450</a>
<p>Vulnérabilité de pollution de prototype à l’aide de la fonction
<code>setObject()</code>.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 1.14.2+dfsg1-1+deb10u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets dojo.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de dojo,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/dojo";>\
https://security-tracker.debian.org/tracker/dojo</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3289.data"
# $Id: $
#use wml::debian::translation-check translation="8f6c46e38f1ed69bd126f4c9905edf56fd346871" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dans Apache::Session::Browseable avant la version 1.3.6,la validité du certificat
X.509 n’est pas vérifiée par défaut lors de la connexion à des dorsaux LDAP
distants, parce que la configuration par défaut du module Net::LDAPS pour Perl
était utilisée.</p>
<p>Cette mise à jour change le comportement par défaut pour requérir une
validation X.509 par rapport à l’ensemble
<code>/etc/ssl/certs/ca-certificates.crt</code>.
Le comportement antérieur peut être rétabli en exécutant <code>ldapVerify =>
"none"</code> lors de l’initialisation de l’objet Apache::Session::Browseable::LDAP.
<p><b>Remarque</b> : cette mise à jour est un prérequis pour le correctif de
LemonLDAP::NG
<a href="https://security-tracker.debian.org/tracker/CVE-2020-16093";>CVE-2020-16093</a>
quand son dorsal de session est réglé à Apache::Session::Browseable::LDAP.</p>
<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 1.3.0-1+deb10u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libapache-session-browseable-perl.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de libapache-session-browseable-perl,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/libapache-session-browseable-perl";>\
https://security-tracker.debian.org/tracker/libapache-session-browseable-perl</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3285.data"
# $Id: $
#use wml::debian::translation-check translation="a4525c596e0bd2e4b56d5e12a9e6094e0f806a80" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dans Apache::Session::LDAP avant la version 0.5, la validité du certificat
X.509 n’est pas vérifiée par défaut lors de la connexion à des dorsaux LDAP
distants, parce que la configuration par défaut du module Net::LDAPS pour Perl
était utilisée.</p>
<p>Cette mise à jour change le comportement par défaut pour requérir une
validation X.509 par rapport à l’ensemble
<code>/etc/ssl/certs/ca-certificates.crt</code>.
Le comportement antérieur peut être rétabli en exécutant <code>ldapVerify =>
"none"</code> lors de l’initialisation de l’objet Apache::Session::LDAP.
<p><b>Remarque</b> : cette mise à jour est un prérequis pour le correctif de
LemonLDAP::NG
<a href="https://security-tracker.debian.org/tracker/CVE-2020-16093";>CVE-2020-16093</a>
quand son dorsal de session est réglé à Apache::Session::LDAP.</p>
<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 0.4-1+deb10u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libapache-session-ldap-perl.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de libapache-session-ldap-perl,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/libapache-session-ldap-perl";>\
https://security-tracker.debian.org/tracker/libapache-session-ldap-perl</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3284.data"
# $Id: $
Reply to: