Bonjour, quatre nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="81d93299d43382e1f730a3178229d12ee833a160" maintainer="" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans OpenImageIO, une bibliothèque pour la lecture et l'écriture d'images. Des dépassements de tampon et des erreurs de programmation de lecture et d'écriture hors limites pouvaient conduire à un déni de service (plantage d'application) ou à l'exécution de code arbitraire lors du traitement d'un fichier d'image mal formé.</p> <p>Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 2.2.10.1+dfsg-1+deb11u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openimageio.</p> <p>Pour disposer d'un état détaillé sur la sécurité de openimageio, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/openimageio";>\ https://security-tracker.debian.org/tracker/openimageio</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2023/dsa-5384.data" # $Id: $
#use wml::debian::translation-check translation="df84b22ac6c1e47f77ba80cee54410c588a19f76" maintainer="" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Ghostscript, l'interpréteur PostScript et PDF sous GPL, est prédisposé à une vulnérabilité de dépassement de tampon dans les filtres d'encodage (T)BCP qui pouvait avoir pour conséquence l'exécution de code arbitraire lors du traitement de fichiers de documents mal formés (en dépit de l'activation de l'option -dSAFER du bac à sable).</p> <p>Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 9.53.3~dfsg-7+deb11u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets ghostscript.</p> <p>Pour disposer d'un état détaillé sur la sécurité de ghostscript, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/ghostscript";>\ https://security-tracker.debian.org/tracker/ghostscript</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2023/dsa-5383.data" # $Id: $
#use wml::debian::translation-check translation="7087d065c414450b9c9b6290e7be0e09a11f03b6" maintainer="" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Il a été signalé que cairosvg, un convertisseur SVG basé sur Cairo, peut envoyer des requêtes à des hôtes externes lors du traitement de fichiers SVG contrefaits pour l'occasion accompagné du chargement de ressources d'un fichier externe. Un attaquant peut tirer avantage ce défaut pour réaliser une contrefaçon de requête côté serveur ou un déni de service. La récupération de fichiers externes est désactivée par défaut avec cette mise à jour.</p> <p>Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 2.5.0-1.1+deb11u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets cairosvg.</p> <p>Pour disposer d'un état détaillé sur la sécurité de cairosvg, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/cairosvg";>\ https://security-tracker.debian.org/tracker/cairosvg</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2023/dsa-5382.data" # $Id: $
#use wml::debian::translation-check translation="2e6574c8189c823994786d48167daa0d6f74d2e6" maintainer="" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans la servlet Tomcat et le moteur JSP.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-42252";>CVE-2022-42252</a> <p>Apache Tomcat a été configuré pour ignorer les en-têtes HTTP non valables au moyen du réglage de rejectIllegalHeader à faux. Tomcat ne rejetait pas une requête contenant un en-tête Content-Length non valable rendant possible une attaque de dissimulation de requête si Tomcat était situé derrière un mandataire inverse qui échouait aussi à rejeter la requête avec l'en-tête non valable.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-45143";>CVE-2022-45143</a> <p>JsonErrorReportValve dans Apache Tomcat ne protégeait pas les valeurs type, message ou description. Dans certaines circonstances, elles sont construites à partir de données fournies par l'utilisateur et il était donc possible à des utilisateurs de fournir des valeurs qui invalidaient ou manipulaient la sortie JSON.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-28708";>CVE-2023-28708</a> <p>Lors de l'utilisation de RemoteIpFilter avec des requêtes reçues d'un mandataire inverse par HTTP qui incluent un en-tête X-Forwarded-Proto défini à https, les cookies de session créés par Apache Tomcat n'incluaient" pas l'attribut <q>secure</q>. Cela pouvait avoir pour conséquence la transmission par l'agent utilisateur d'un cookie de session sur un canal non sécurisé.</p></li> </ul> <p>Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 9.0.43-2~deb11u6.</p> <p>Nous vous recommandons de mettre à jour vos paquets tomcat9.</p> <p>Pour disposer d'un état détaillé sur la sécurité de tomcat9, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/tomcat9";>\ https://security-tracker.debian.org/tracker/tomcat9</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2023/dsa-5381.data" # $Id: $
Attachment:
signature.asc
Description: This is a digitally signed message part