[RFR] wml://lts/security/2023/dla-33{71,82,84,85,88}.wml

To: Debian-l10n French <debian-l10n-french@lists.debian.org>
Subject: [RFR] wml://lts/security/2023/dla-33{71,82,84,85,88}.wml
From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
Date: Tue, 11 Apr 2023 10:13:11 +0200
Message-id: <[🔎] 20230411101311.1d13a13f@debian>

Bonjour,

voici la traduction de cinq nouvelles pages de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.

-- 
Jean-Paul

#use wml::debian::translation-check translation="36e27fbffe2c1d2daa2f79a95db8726493409d78" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert qu’il existait deux attaques par déni de service (DoS)
potentielles dans lldpd, une implémentation du protocole IEEE 802.1ab (LLDP)
utilisé pour administrer et superviser des périphériques réseau.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-27827";>CVE-2020-27827</a>

<p>Un défaut a été découvert dans plusieurs versions d’OpenvSwitch. Des paquets
LLDP contrefaits pour l'occasion pouvaient provoquer une perte de mémoire lors
de l’allocation de données pour gérer des TLV spécifiques optionnels, causant
éventuellement un déni de service. Le plus grand danger de cette vulnérabilité
concernait la disponibilité du système.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-43612";>CVE-2021-43612</a>

<p>Plantage dans le décodeur SONMP.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 1.0.3-1+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets lldpd.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3388.data"
# $Id: $

#use wml::debian::translation-check translation="2db3123d5bcff5160349236950445aa4730d1ae9" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Apache Traffic Server, un
serveur mandataire inverse et de redirection, qui pouvaient aboutir à une
dissimulation de requête HTTP, à un empoisonnement de cache ou à une divulgation
d'informations.</p>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 8.1.6+ds-1~deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets trafficserver.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de trafficserver,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/trafficserver";>\
https://security-tracker.debian.org/tracker/trafficserver</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3385.data"
# $Id: $

#use wml::debian::translation-check translation="5e83c6caec4bb5412fb5bbcc2a5edb307627c0d1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans le moteur
de servlet et JSP Tomcat.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-42252";>CVE-2022-42252</a>

<p>Apache Tomcat a été configuré pour ignorer les en-têtes non valables à l’aide
du réglage rejectIllegalHeader à <q>false</q>. Tomcat ne rejetait pas les
requêtes contenant un en-tête Content-Length non valable rendant une attaque
par dissimulation de requête possible si Tomcat était situé derrière un
mandataire inverse qui échouait à rejeter la requête avec l’en-tête non
valable.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-28708";>CVE-2023-28708</a>

<p>Lors de l’utilisation de RemoteIpFilter avec des requêtes reçues d’un
mandataire inverse à travers HTTP qui incluaient l’en-tête X-Forwarded-Proto
réglé à https, les cookies de session créés par Apache Tomcat n’incluaient pas
l’attribut de sécurité. Cela pouvait aboutir à ce que l’agent utilisateur
transmettait le cookie de session à travers un canal non sécurisé.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 9.0.31-1~deb10u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tomcat9.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de tomcat9,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/tomcat9";>\
https://security-tracker.debian.org/tracker/tomcat9</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3384.data"
# $Id: $

#use wml::debian::translation-check translation="d2aa1ee6f88dacf488d7fdbc7f7660101004b28f" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans OpenImageIO,
une bibliothèque pour lire et écrire des images. Des dépassements de tampon et
des erreurs de programmation de lecture ou d’écriture hors limites pouvaient
conduire à un déni de service (plantage d'application) ou à l’exécution de code
arbitraire si un fichier d’image mal formé était traité.</p>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 2.0.5~dfsg0-1+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openimageio.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de openimageio,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/openimageio";>\
https://security-tracker.debian.org/tracker/openimageio</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3382.data"
# $Id: $

#use wml::debian::translation-check translation="255b07ac34425e9c61b4cb8e52d25027ccaf1090" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans unbound, un
résolveur DNS mettant en cache, récursif et validant.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-3204";>CVE-2022-3204</a>

<p>Une vulnérabilité appelée <q>Non-Responsive Delegation Attack</q>
(NRDelegation Attack) a été découverte dans divers logiciels de résolution DNS.
L’attaque NRDelegation fonctionne en ayant une délégation malveillante avec un
nombre considérable de serveurs de noms non réactifs. L’attaque débute en
demandant à un résolveur un enregistrement qui repose sur un de ces serveurs de
noms non réactifs. L’attaque peut faire qu’un résolveur prenne un temps très
long ou utilise d’importantes ressources pour résoudre des enregistrements sous
un point de délégation malveillante où réside un nombre considérable
d’enregistrements de serveurs non réactifs. Cela peut déclencher un usage
intensif du CPU dans certaines implémentations de résolveur qui recherchent
continuellement dans le cache pour des enregistrements résolus de serveurs de
noms dans cette délégation. Cela peut conduire à une dégradation des
performances et finalement à un déni de service lors d’attaques orchestrées.
Unbound n’est pas sensible à un usage intense de CPU, mais des ressources sont
toujours nécessaires pour résoudre la délégation malveillante. Unbound essaiera
de résoudre l’enregistrement jusqu’à ce que les limites extrêmes soient atteintes.
Selon la nature de l’attaque et des réponses, différentes limites pouvaient être
atteintes. Désormais Unbound incorpore des correctifs pour une meilleure
performance lorsque surchargé en coupant les requêtes opportunistes de
découverte de serveur de noms et la pré-extraction de DNSKEY et en
limitant le nombre de fois qu’un point de délégation peut présenter une
recherche dans le cache pour des enregistrements manquants.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-30698";>CVE-2022-30698</a>

<p>and <a href="https://security-tracker.debian.org/tracker/CVE-2022-30699";>CVE-2022-30699</a>.</p>

<p>Unbound est vulnérable à une nouveau type d’attaque <q>ghost domain names</q>.
La vulnérabilité fonctionne en ciblant une instance Unbound. Unbound est
interrogé pour un nom de domaine véreux quand l’information de délégation de
cache est sur le point d’expirer. Le serveur de noms véreux retarde la réponse
de telle façon que cette information ait expirée. Lors de la réception de la
réponse retardée contenant l’information de délégation, Unbound surcharge les
entrées désormais expirées. Cette action peut être répétée quand l’information
de délégation est sur le point d’expirer, faisant que l’information de
délégation véreuse soit toujours à jour. Désormais, Unbound enregistre
l’instant de démarrage d’une requête et l’utilise pour décider si l’information
de délégation en cache peut être surchargée.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28935";>CVE-2020-28935</a>

 <p>Unbound contenait une vulnérabilité locale qui pouvait permettre une attaque
locale par lien symbolique.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 1.9.0-2+deb10u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets unbound.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de unbound,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/unbound";>\
https://security-tracker.debian.org/tracker/unbound</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3371.data"
# $Id: $

Reply to:

Follow-Ups:
- Re: [RFR] wml://lts/security/2023/dla-33{71,82,84,85,88}.wml
  - From: bubub@no-log.org

Prev by Date: [RFR] wml://security/2023/dsa-538{1,2,3,4}.wml
Next by Date: Re: [RFR] wml://lts/security/2023/dla-33{71,82,84,85,88}.wml
Previous by thread: [DONE] wml://security/2023/dsa-538{1,2,3,4}.wml
Next by thread: Re: [RFR] wml://lts/security/2023/dla-33{71,82,84,85,88}.wml
Index(es):
- Date
- Thread