[RFR] wml://lts/security/2023/dla-3{}.wml

To: Debian-l10n French <debian-l10n-french@lists.debian.org>
Subject: [RFR] wml://lts/security/2023/dla-3{}.wml
From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
Date: Thu, 23 Feb 2023 10:07:27 +0100
Message-id: <[🔎] 20230223100727.7d7d074c@debian>

Bonjour,

voici la traduction de nouvelles pages de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.

-- 
Jean-Paul

#use wml::debian::translation-check translation="0da107e08419173d14038756772da3498ced0fe8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une nouvelle version 10.3.38 d’entretien mineur de MariaDB a été publiée.
Elle inclut des correctifs pour un problème majeur de performance et
consommation mémoire (MDEV-29988).</p>

<p>Pour de plus amples détails, consultez les
<a href="https://mariadb.com/kb/en/mariadb-10-3-38-release-notes/";>notes de publication de MariaDB 10.3.38</a>.</p>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 1:10.3.38-0+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mariadb-10.3.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de mariadb-10.3,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/mariadb-10.3";>\
https://security-tracker.debian.org/tracker/mariadb-10.3</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3337.data"
# $Id: $

#use wml::debian::translation-check translation="4f0a0aec9ff61adef5164db4087dae6787f382af" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été trouvées dans node-types-url-parse, un
module Node.js utilisé pour analyser les URL, qui pouvaient aboutir dans un
contournement d’autorisation ou une redirection vers des sites non fiables.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3664";>CVE-2021-3664</a>

<p>url-parse gérait incorrectement certains usages de (contre)oblique tels
que <code>https:&bsol;</code> et <code>https:/</code>, et interprète l’URI
comme un chemin relatif. Les navigateurs acceptent une seule contre-oblique
après le protocole et la traite comme une oblique normale tandis que url-parse
considérait cela comme un chemin relatif. Selon l’utilisation de la bibliothèque
cela pouvait aboutir à un contournement de liste <q>autorisé/bloqué</q>, des
attaques de contrefaçon de requête coté serveur (SSRF), des ouvertures de
redirection et d’autres comportements non désirés.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-27515";>CVE-2021-27515</a>

<p>L’utilisation de contre-oblique dans le protocole était autorisé dans le
navigateur, alors que url-parse pensait que c’était un chemin relatif. Une
application qui validait un URL en utilisant url-parse pouvait passer un lien
malveillant.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-0512";>CVE-2022-0512</a>

<p>Un traitement incorrect du nom d’utilisateur et du mot de passe pouvait
conduire à un échec d’identification correcte du nom d’hôte, qui pouvait alors
aboutir à un contournement d’autorisation.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-0639";>CVE-2022-0639</a>

<p>Une conversion incorrecte de caractères <code>@</code> dans le protocole dans
le champ <code>href</code> pouvait conduire à un échec d’identification correcte
du nom d’hôte, qui pouvait alors aboutir à un contournement d’autorisation.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-0686";>CVE-2022-0686</a>

<p>Rohan Sharma a signalé que url-parse était incapable de trouver le nom d’hôte
correct quand aucun numéro de port n’était fourni dans l’URL, tel que dans
<code>http://example.com:</code>. Cela pouvait aboutir alors dans une attaque
SSRF, une ouverture de redirections ou n’importe quelle autre vulnérabilité qui
dépendait du champ <code>hostname</code> dans l’URL utilisé.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-0691";>CVE-2022-0691</a>

<p>url-parse était incapable de trouver le nom d’hôte correct quand l’URL
contenait un caractère avec contre-oblique <code>&bsol;b</code>. Cela conduisait
l’analyseur à interpréter l’URL comme un chemin relatif, contournant toutes les
vérifications de nom d’hôte. Cela pouvait aussi conduire à des faux positifs
dans <code>extractProtocol()</code>.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 1.2.0-2+deb10u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets node-url-parse.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de node-url-parse,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/node-url-parse";>\
https://security-tracker.debian.org/tracker/node-url-parse</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3336.data"
# $Id: $

#use wml::debian::translation-check translation="ab4c935517e91f630ae14dc12498213174893bcc" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un déni de service (plantage) à l'aide d'un message UDP contrefait
aboutissant à une assertion interne a été corrigé dans sofia-sip, une
bibliothèque User-Agent SIP (Session protocole Initiation) .</p>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 1.12.11+20110422.1-2.1+deb10u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets sofia-sip.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de sofia-sip,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/sofia-sip";>\
https://security-tracker.debian.org/tracker/sofia-sip</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3334.data"
# $Id: $

Reply to:

Follow-Ups:
- Re: [RFR] wml://lts/security/2023/dla-3{}.wml
  - From: Lucien Gentis <lucien.gentis@waika9.com>

Prev by Date: [RFR2] wml://lts/security/2023/dla-33{27,30,31,32,33}.wml
Next by Date: Re: [RFR] wml://lts/security/2023/dla-3{}.wml
Previous by thread: [LCFC] wml://devel/debian-installer/errata.wml
Next by thread: Re: [RFR] wml://lts/security/2023/dla-3{}.wml
Index(es):
- Date
- Thread