[RFR] wml://lts/security/2023/dla-33{31-2,45}.wml

To: Debian-l10n French <debian-l10n-french@lists.debian.org>
Subject: [RFR] wml://lts/security/2023/dla-33{31-2,45}.wml
From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
Date: Mon, 27 Feb 2023 11:31:07 +0100
Message-id: <[🔎] 20230227113107.1804c6f1@debian>

Bonjour,

voici la traduction de nouvelles pages de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.

-- 
Jean-Paul

#use wml::debian::translation-check translation="2cfb81e1a6e4c87d81efe65a30dadf57d4fb2208" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été trouvés dans PHP, un langage de
script généraliste au source libre couramment utilisé, qui pouvaient aboutir à
un déni de service ou une validation incorrecte de hachages BCrypt.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-31631";>CVE-2022-31631</a>

<p>À cause d’un dépassement d'entier non capturé, <code>PDO::quote()</code> de
<code>PDO_SQLite</code> pouvait renvoyer une chaine incorrectement citée. Les
détails exacts dépendaient vraisemblablement de l’implémentation de
<code>sqlite3_snprintf()</code>, mais, avec certaines versions, il était
possible de forcer la fonction à renvoyer une seule apostrophe, si la fonction
était appelée sur une entrée fournie par un utilisateur sans restriction de
longueur mise en place.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-0567";>CVE-2023-0567</a>

<p>Tim Düsterhus a découvert que des hachages BCrypt mal formés qui incluaient
un caractère <code>&dollar;</code> dans leur partie sel déclenchait un
dépassement de lecture mémoire et pouvaient valider de manière erronée tout
mot de passe. (<code>Password_verify()</code> renvoyait toujours
<code>true</code> avec de telles entrées).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-0568";>CVE-2023-0568</a>

<p>Surlecture d’un octet de tableau lors de l’ajout de barre oblique dans des
chemins lors de la résolution de chemins.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-0662";>CVE-2023-0662</a>

<p>Jakob Ackermann a découvert une vulnérabilité de déni de service lors de
l’analyse de corps de requête multipartie : cette analyse dans PHP permettait à
un attaquant non authentifié d’utiliser pendant longtemps le CPU et déclencher
une journalisation excessive.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 7.3.31-1~deb10u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets php7.3.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de php7.3,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/php7.3";>\
https://security-tracker.debian.org/tracker/php7.3</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3345.data"
# $Id: $

#use wml::debian::translation-check translation="4a50708f3f930fe854540df9ba3411b62d8aeba3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert qu’il existait une régression dans le correctif précédent
pour python-cryptography, une bibliothèque de Python fournissant un certain
nombre de primitives de chiffrement et déchiffrement.</p>

<p>Le problème originel était qu’il existait une vulnérabilité potentielle de
corruption de mémoire. Cependant, la modification a entrainé une régression due
à un rétroportage incorrect du correctif de l’amont vers l’(ancienne) version
dans Debian LTS.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-23931";>CVE-2023-23931</a>

<p>cryptography est un paquet conçu pour fournir des primitives de chiffrement
et des recettes aux développeurs utilisant Python. Dans les versions affectées,
<q>Cipher.update_into</q> acceptait des objets Python qui mettaient en œuvre le
protocole de tampon, mais fournissait seulement des tampons immuables. Cela
permettait aux objets immuables (tels que <q>octets</q>) de muter, par
conséquent violant les règles fondamentales de Python et aboutissant à une
sortie corrompue. Désormais une exception est correctement levée. Ce problème
est présent depuis que <q>update_into</q> a été introduit dans cryptography 1.8.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 2.6.1-3+deb10u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-cryptography.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3331.data"
# $Id: $

Reply to:

Follow-Ups:
- Re: [RFR] wml://lts/security/2023/dla-33{31-2,45}.wml
  - From: bubub@no-log.org
- Re: [RFR] wml://lts/security/2023/dla-33{31-2,45}.wml
  - From: Lucien Gentis <lucien.gentis@waika9.com>

Prev by Date: Re: [RFR] po://installation-guide/po/fr/{partitioning,post-install}.po
Next by Date: [LCFC] wml://lts/security/2023/dla-33{27,30,31,32,33}.wml
Previous by thread: Re: [RFR] po://installation-guide/po/fr/{partitioning,post-install}.po
Next by thread: Re: [RFR] wml://lts/security/2023/dla-33{31-2,45}.wml
Index(es):
- Date
- Thread