[RFR] wml://lts/security/2023/dla-339{4,6,7,8}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

voici la traduction de quatre nouvelles pages de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.

-- 
Jean-Paul

#use wml::debian::translation-check translation="d23103bfae1499d647bd9ed94c857e48a552f315" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans cURL, une
bibliothèque de transfert d’URL, coté client et facile à utiliser.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-27533";>CVE-2023-27533</a>

<p>Une vulnérabilité dans la validation d’entrée existait dans curl lors de
communications utilisant le protocole TELNET et pouvait permettre à un attaquant
de passer un nom d’utilisateur contrefait de manière malveillante et <q>telnet
options</q> lors de la négociation de serveur. L’absence de nettoyage correct
d’entrée permettait à un attaquant d’envoyer du contenu ou de réaliser une
option de négociation sans intention de l’application. Cette vulnérabilité
pouvait être exploitée si une application permettait une entrée d’utilisateur,
autorisant par là même à des attaquants d’exécuter du code arbitraire sur
le système.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-27535";>CVE-2023-27535</a>

<p>Une vulnérabilité de contournement d’authentification existait dans libcurl
dans la fonction de réutilisation de connexion FTP, qui pouvait aboutir dans
l’utilisation de mauvaises accréditations lors de transferts subséquents.
Les connexions créées précédemment sont conservées dans un réservoir de
connexions pour une réutilisation si elles correspondent à la configuration en
cours. Cependant, certains réglages FTP tels que CURLOPT_FTP_ACCOUNT,
CURLOPT_FTP_ALTERNATIVE_TO_USER, CURLOPT_FTP_SSL_CCC et CURLOPT_USE_SSL
n’étaient pas inclus dans les vérifications de correspondance de configuration,
faisant qu’elles correspondaient trop facilement. Cela pouvait conduire à ce
que libcurl utilise les mauvaises accréditations lors de la réalisation d’un
transfert, potentiellement permettant un accès non autorisé à des informations
sensibles.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-27536";>CVE-2023-27536</a>

<p>Une vulnérabilité de contournement d’authentification existait dans libcurl
dans la fonction de réutilisation de connexion qui permettait de réutiliser des
connexions précédemment établies avec des permissions d’utilisateur incorrectes
à cause d’un défaut de vérification de modifications dans l’option
CURLOPT_GSSAPI_DELEGATION. Cette vulnérabilité affectait les transferts
krb5/kerberos/negotiate/GSSAPI et pouvait éventuellement raboutir à un accès non
autorisé à des informations sensibles. L’option la plus sûre est de ne pas
réutiliser les connexions si l’option CURLOPT_GSSAPI_DELEGATION a été modifiée.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-27538";>CVE-2023-27538</a>

<p>Une vulnérabilité de contournement d’authentification existait dans libcurl
quand elle réutilise une connexion SSH précédemment établie malgré le fait
qu’une option ait été modifiée, ce qui aurait dû empêcher la réutilisation. Libcurl
entretient un réservoir de connexions utilisées précédemment pour les réutiliser
dans des transferts subséquents si la configuration correspond. Cependant,
deux réglages SSH étaient omis de la vérification de configuration, permettant
une correspondance facile et conduisant éventuellement à une
réutilisation d’une connexion inappropriée.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 7.64.0-4+deb10u6.</p>

<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de curl,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/curl";>\
https://security-tracker.debian.org/tracker/curl</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3398.data"
# $Id: $

#use wml::debian::translation-check translation="3f36d56431a23428895f0b695effebff2dc20540" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert qu’il existait une vulnérabilité de déni de service
potentiel dans connman, un gestionnaire de réseau en ligne de commande conçu
pour être utilisé dans les périphériques embarqués.</p>

<p>Des attaquants, proches du point de vue réseau, opérant un serveur DHCP
contrefait pouvaient provoquer un dépassement de pile, aboutissant à un déni
de service en interrompant le processus connman.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-28488";>CVE-2023-28488</a>

<p>client.c dans gdhcp dans ConnMan jusqu’à la version 1.41 pouvait être
utilisé par des attaquants proches du point de vue réseau (opérant un serveur
DHCP contrefait) pour provoquer un dépassement de pile et un déni de service en
interrompant le processus connman.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 1.36-2.1~deb10u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets connman.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3397.data"
# $Id: $

#use wml::debian::translation-check translation="83b3819e19db4d7805684dcae2e7b0490aeb7b34" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert qu’il existait une vulnérabilité potentielle de déni de
service à distance dans Redis, une base de données populaire clé-valeur
<q>non SQL</q>.</p>

<p>Des utilisateurs authentifiés pouvaient utiliser la commande
<code>HINCRBYFLOAT</code> pour créer un champ de hachage non valable qui
plantait le serveur Redis lors de l’accès.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-28856";>CVE-2023-28856</a>

<p>Redis est une base de données en mémoire, au code source ouvert, qui persiste
sur le disque. Des utilisateurs authentifiés pouvaient utiliser la commande
<q>HINCRBYFLOAT</q> pour créer un champ de hachage non valable qui plantait
Redis lors de l’accès dans les versions affectées. Ce problème est corrigé
dans les versions 7.0.11, 6.2.12, et 6.0.19. Il est conseillé de mettre à
niveau. Aucun contournement de ce problème n’est connu.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 5:5.0.14-1+deb10u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets redis.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3396.data"
# $Id: $

#use wml::debian::translation-check translation="55df9dedff7bd99d6ff2d5a0c1591d8614cc406c" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un défaut a été découvert dans Asterisk, un autocommutateur téléphonique
privé au code source ouvert. Une vulnérabilité de dépassement de tampon
affectait les utilisateurs qui utilisaient le résolveur DNS PJSIP. Cette
vulnérabilité est relative au
<a href="https://security-tracker.debian.org/tracker/CVE-2022-24793";>CVE-2022-24793</a>.
La différence est que ce problème est dans l’analyse de l’enregistrement de
requête <q>parse_query()</q> tandis que ce problème dans
<a href="https://security-tracker.debian.org/tracker/CVE-2022-24793";>CVE-2022-24793</a>
est dans <q>parse_rr()</q>. Un contournement est de désactiver la résolution
DNS dans la configuration de PJSIP (en réglant <q>nameserver_count</q>
à zéro) ou d’utiliser à la place une implémentation externe de résolveur.</p>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 1:16.28.0~dfsg-0+deb10u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets asterisk.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de asterisk,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/asterisk";>\
https://security-tracker.debian.org/tracker/asterisk</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3394.data"
# $Id: $