[RFR] wml://lts/security/2023/dla-3{399,400,401}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

voici la traduction de trois nouvelles pages de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.

-- 
Jean-Paul

#use wml::debian::translation-check translation="0a4924c3ed782f3c8b2221721240e1f7782b341e" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans apache2, un serveur web
qui peut être utilisé comme mandataire de frontal pour d’autres applications.
Ces vulnérabilités pouvaient conduire à une dissimulation de requête HTTP, et
par conséquent des contrôles de sécurité du frontal pouvaient être contournés.</p>

<p>Malheureusement, la correction de ces vulnérabilités de sécurité peuvent
nécessiter des modifications de fichier de configuration. Quelques directives
RewriteRule hors spécifications, qui étaient précédemment
silencieusement acceptées, sont désormais rejetées avec l’erreur AH10409. Par
exemple, certaines RewriteRules qui incluent une référence arrière et les
attributs <q>[L,NC]</q>, nécessitent d’être écrites avec des attributs
d’échappement supplémentaires tels que <q>[B= ?,BNP,QSA]</q>.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-25690";>CVE-2023-25690</a>

<p>Certaines configurations de mod_proxy permettaient des attaques par
dissimulation de requête HTTP. Des configurations étaient affectées quand
mod_proxy était activé avec certaines formes de RewriteRule ou ProxyPassMatch
dans lesquelles un motif non spécifique correspondait à une partie de données
de cible de requête (URL) fournie par l’utilisateur et était alors réinsérée
dans la cible de requête mise dans le mandataire en utilisant une substitution
de variable.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-27522";>CVE-2023-27522</a>

<p>Dissimulation de requête de réponse HTTP dans mod_proxy_uwsgi</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 2.4.38-3+deb10u10.</p>

<p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de apache2,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/apache2";>\
https://security-tracker.debian.org/tracker/apache2</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3401.data"
# $Id: $

#use wml::debian::translation-check translation="a3fd94e0bf67ff4cfad8894fe3fc2b7ea85fef82" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans 389-ds-base, un
serveur LDAP au code source ouvert pour Linux.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3883";>CVE-2019-3883</a>

<p>Les requêtes SSL/TLS n’appliquaient pas la limite ioblocktimeout, conduisant à
une vulnérabilité de déni de service (DoS) en suspendant tous les <q>workers</q>
avec des suspensions de requête LDAP.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10224";>CVE-2019-10224</a>

<p>Une vulnérabilité pouvait divulguer des informations sensibles, telles que
le mot de passe du <q>Directory Manager</q>, quand les commandes dscreate et
dsconf étaient exécutées dans le mode <q>verbose</q>. Un attaquant qui pouvait
voir l’écran ou capturer la sortie d’erreur du terminal pouvait exploiter cette
vulnérabilité pour obtenir des informations confidentielles.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14824";>CVE-2019-14824</a>

<p>Le greffon <q>deref</q> de 389-ds-base avait une vulnérabilité qui lui
permettait de divulguer des valeurs d’attribut en utilisant les permissions de
<q>search</q>. Dans certaines configurations, un attaquant authentifié pouvait
exploiter ce défaut pour accéder à des attributs confidentiels, dont les
hachages de mot de passe.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3514";>CVE-2021-3514</a>

<p>Si un client sync_repl était utilisé, un attaquant authentifié pouvait
déclencher un plantage en exploitant une requête contrefaite pour l'occasion,
aboutissant à un déréférencement de pointeur NULL.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3652";>CVE-2021-3652</a>

<p>L’importation d’un astérisque comme hachage de mot de passe conduisait à
un authentification réussie avec n’importe quel mot de passe, permettant à
des attaquants d’accéder aux comptes avec leur mot de passe désactivé.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-4091";>CVE-2021-4091</a>

<p>Une double libération de zone de mémoire a été découverte dans la façon dont
389-ds-base gérait le contexte virtuel d’attribut dans les recherches
persistantes. Un attaquant pouvait envoyer une série de requêtes de recherche,
forçant le serveur à se comporter de manière inattendue et planter.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-0918";>CVE-2022-0918</a>

<p>Un attaquant authentifié avec accès réseau au port LDAP pouvait provoquer un
déni de service. Le déni de service était déclenché par un seul message envoyé
à travers une connexion TCP, aucun <q>bind</q> ou autre authentification n’était
nécessaire. Le message déclenchait une erreur de segmentation qui aboutissait
au plantage de slapd.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-0996";>CVE-2022-0996</a>

<p>Des mots de passe expirés étaient toujours autorisés pour accéder à la
base de données. Un utilisateur dont le mot de passe était expiré était toujours
autorisé à accéder à la base de données comme si le mot de passe était toujours
valable. Une fois que le mot de passe avait expiré et que <q>grace logins</q>
était épuisé, le compte était en gros supposé verrouillé et ne devait pas
permettre de réaliser toute action nécessitant des privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-2850";>CVE-2022-2850</a>

<p>Une vulnérabilité dans greffon de synchronisation de contenu permettait à
un attaquant authentifié de déclencher un déni de service à l'aide d'une
requête contrefaite à travers un déréférencement de pointeur NULL.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 1.4.0.21-1+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets 389-ds-base.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de 389-ds-base,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/389-ds-base";>\
https://security-tracker.debian.org/tracker/389-ds-base</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3399.data"
# $Id: $

#use wml::debian::translation-check translation="ac25a9ca17b3a7c57bd1ea9d717cb4e3e128dfeb" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans Thunderbird,
qui pouvaient avoir pour conséquences un déni de service ou une exécution de
code arbitraire.</p>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 1:102.10.0-1~deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets thunderbird.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de thunderbird,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/thunderbird";>\
https://security-tracker.debian.org/tracker/thunderbird</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3400.data"
# $Id: $