[RFR] wml://lts/security/2023/dla-344{2,3,4,5,6,7,8}.wml

To: Debian-l10n French <debian-l10n-french@lists.debian.org>
Subject: [RFR] wml://lts/security/2023/dla-344{2,3,4,5,6,7,8}.wml
From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
Date: Mon, 12 Jun 2023 14:53:53 +0200
Message-id: <[🔎] 20230612145353.46253fce@debian>

Bonjour,

voici la traduction de huit nouvelles pages de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.

-- 
Jean-Paul

#use wml::debian::translation-check translation="d675d2c5767201c05295391bab6f3e142739d08e" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL, une boîte à outils
SSL (Secure Sockets Layer).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-0464";>CVE-2023-0464</a>

<p>David Benjamin a signalé un défaut relatif à la vérification de chaines de
certificats X.509 qui incluaient des contraintes de politique, ce qui pouvait
aboutir à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-0465";>CVE-2023-0465</a>

<p>David Benjamin a signalé que des politiques de certificat non autorisé dans
les certificats feuilles étaient ignorées silencieusement. Un CA malveillant
pouvait exploiter ce défaut pour délibérément déclarer des politiques de
certificats non valables ou incorrectes afin de contourner complètement la
vérification de politique.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-0466";>CVE-2023-0466</a>

<p>David Benjamin a découvert que l’implémentation de la fonction
X509_VERIFY_PARAM_add0_policy() n’activait pas la vérification, ce qui permettait
aux certificats avec des politiques non valables ou incorrectes de passer la
vérification de certificat (contrairement à la documentation).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-2650";>CVE-2023-2650</a>

<p>Il a été découvert que le traitement d’identifiants ou de données d’objet
ASN.1 mal formés pouvait aboutir à un déni de service.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 1.1.1n-0+deb10u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de openssl,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/openssl";>\
https://security-tracker.debian.org/tracker/openssl</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3449.data"
# $Id: $

#use wml::debian::translation-check translation="e72390108f5980336afd7ab68d741123bc4f18d6" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans le navigateur web
Firefox de Mozilla, qui pouvaient éventuellement aboutir à l’exécution de code
arbitraire.</p>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 102.12.0esr-1~deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de firefox-esr,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/firefox-esr";>\
https://security-tracker.debian.org/tracker/firefox-esr</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3448.data"
# $Id: $

#use wml::debian::translation-check translation="cf7ca80be383e43ff25cf3a62ef2cea97cc2e249" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Deux problèmes de déni de service par expression rationnelle (ReDoS) ont été
découverts dans Ruby : le premier dans le composant URI et le second dans le
module Time. Chacun de ces problèmes pouvait aboutir dans une augmentation
considérable de temps d’exécution pour une entrée malveillante.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-28755";>CVE-2023-28755</a>

<p>Un problème de déni de service a été découvert dans le composant URI jusqu’à
la version 0.12.0 dans la version 3.2.1 de Ruby. L'analyseur d’URI gérait
incorrectement les URL non valables ayant des caractères spécifiques. Il
provoquait une augmentation de temps d’exécution d’analyse des chaines d’objets
d’URI. Les versions corrigées sont 0.12.1, 0.11.1, 0.10.2 et 0.10.0.1.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-28756";>CVE-2023-28756</a>

<p>Un problème de déni de service a été découvert dans le composant Time jusqu’à
la version 0.2.1 dans Ruby 3.2.1. L'analyseur de Time gérait
incorrectement les URL non valables ayant des caractères spécifiques. Il
provoquait une augmentation de temps d’exécution d’analyse des chaines d’objets
d’URI. Les versions corrigées sont 0.1.1 et 0.2.2.</p></li>
</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 2.5.5-3+deb10u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ruby2.5.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3447.data"
# $Id: $

#use wml::debian::translation-check translation="e3dc6ce0acf5c147e826ef5157771e30e5e0f56d" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pouvaient
conduire à une élévation des privilèges, un déni de service ou une fuite
d'informations.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-0386";>CVE-2023-0386</a>

<p>Il a été découvert que sous certaines conditions l’implémentation du
système de fichiers overlayfs ne gérait pas correctement les opérations de copie.
Un utilisateur local autorisé pour des montages overlay dans l’espace de
nommage utilisateur pouvait exploiter ce défaut pour une élévation locale des
privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-31436";>CVE-2023-31436</a>

<p>Gwangun Jung a signalé un défaut provoquant des erreurs de lecture/écriture
hors limites dans le sous-système de contrôle de trafic pour l’ordonnanceur QFQ
(Quick Fair Queueing), qui pouvaient aboutir à une fuite d'informations, un déni
de service ou une élévation des privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-32233";>CVE-2023-32233</a>

<p>Patryk Sondej et Piotr Krysiuk ont découvert un défaut d’utilisation de
mémoire après libération dans l’implémentation Netfilter de nf_tables lors du
traitement de requêtes par lot, qui pouvait aboutir à une élévation locale des
privilèges pour un utilisateur ayant la capacité CAP_NET_ADMIN dans n’importe
quel espace de nommage utilisateur ou réseau.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 5.10.179-1~deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets linux-5.10.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de linux-5.10,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/linux-5.10";>\
https://security-tracker.debian.org/tracker/linux-5.10</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

<p>--+0qAE+i6HpB7e8fy
Content-Type: application/pgp-signature; name="signature.asc"</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3446.data"
# $Id: $

#use wml::debian::translation-check translation="ab04c93a4cf9eff2ad7ac326478c0d1d8d24e0ac" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été corrigées dans GNU cpio, un programme pour gérer
les archives de fichiers.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14866";>CVE-2019-14866</a>

<p>Validation impropre des fichiers d’entrée lors de la génération d’archives
tar.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-38185";>CVE-2021-38185</a>

<p>Code arbitraire à l’aide de fichier de patron contrefait.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 2.12+dfsg-9+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets cpio.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de cpio,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/cpio";>\
https://security-tracker.debian.org/tracker/cpio</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3445.data"
# $Id: $

#use wml::debian::translation-check translation="ece8c2dd8256165f3951ba2871890e3d9537e6c4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dernière version 10.3.39 d’entretien mineur de MariaDB incluant un correctif
pour la vulnérabilité de sécurité suivante :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-47015";>CVE-2022-47015</a>
<p>moteur de stockage Spider vulnérable à un déni de service.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 1:10.3.39-0+deb10u1.</p>

<p>De plus, la modification de l’IPA libmariadb non rétrocompatible a été
annulée (clôture du bogue n° 1031773).</p>

<p>Nous vous recommandons de mettre à jour vos paquets mariadb-10.3.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de mariadb-10.3,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/mariadb-10.3";>\
https://security-tracker.debian.org/tracker/mariadb-10.3</a>.</p>

<p>Note! According to <a href="https://mariadb.org/about/#maintenance-policy";>https://mariadb.org/about/#maintenance-policy</a> cette was the last minor maintenance release pour MariaDB 10.3 series.</p>


<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3444.data"
# $Id: $

#use wml::debian::translation-check translation="ab74025f93fe40f3bcbc149b2dd8e48224c4a11c" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été corrigées dans l’analyseur de trafic réseau
Wireshark.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-2856";>CVE-2023-2856</a>

<p>Plantage de l’analyseur de fichier TCPIPtrace VMS.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-2858";>CVE-2023-2858</a>
 <p>Plantage de l’analyseur de fichier NetScaler.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-2879";>CVE-2023-2879</a>

<p>Boucle infinie GDSDB.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-2952";>CVE-2023-2952</a>

<p>Boucle infinie du dissecteur XRA.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 2.6.20-0+deb10u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wireshark.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de wireshark,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/wireshark";>\
https://security-tracker.debian.org/tracker/wireshark</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3443.data"
# $Id: $

#use wml::debian::translation-check translation="c6295eb2f31a64c181c7688461a1a2b04f16cab6" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Alvaro Muñoz du <q>GitHub Security Lab</q> a découvert seize façons
d’exploiter une vulnérabilité de script intersite dans nbconvert, un outil et
une bibliothèque utilisés pour convertir des <q>notebooks</q> dans divers autres
formats à l’aide de patrons Jinja.</p>

<p>Lors de l’utilisation de nbconvert pour créer une version HTML notebook
contrôlable par l’utilisateur, il était possible d’injecter du HTML arbitraire
qui pouvait conduire à une vulnérabilité de script intersite (XSS) si ces
notebooks HTML étaient servis par un serveur web sans
<code>Content-Security-Policy</code> serrée (par exemple, nbviewer).</p>

<ol>
<li> GHSL-2021-1013: XSS dans <code>notebook.metadata.language_info.pygments_lexer</code> ;</li>
<li> GHSL-2021-1014: XSS dans <code>notebook.metadata.title</code> ;</li>
<li> GHSL-2021-1015: XSS dans <code>notebook.metadata.widgets</code> ;</li>
<li> GHSL-2021-1016: XSS dans <code>notebook.cell.metadata.tags</code> ;</li>
<li> GHSL-2021-1017: XSS dans les cellules de données de sortie <code>text/html</code> ;</li>
<li> GHSL-2021-1018: XSS dans les cellules de données de sortie <code>image/svg+xml</code> ;</li>
<li> GHSL-2021-1019: XSS dans <code>notebook.cell.output.svg_filename</code> ;</li>
<li> GHSL-2021-1020: XSS dans les cellules de données de sortie <code>text/markdown</code> ;</li>
<li> GHSL-2021-1021: XSS dans les cellules de données de sortie <code>application/javascript</code> ;</li>
<li> GHSL-2021-1022: XSS dans output.metadata.filenames <code>image/png</code> et <code>image/jpeg</code> ;</li>
<li> GHSL-2021-1023: XSS dans les cellules de données de sortie <code>image/png</code> et <code>image/jpeg</code> ;</li>
<li> GHSL-2021-1024: XSS dans output.metadata.width/height <code>image/png</code> et <code>image/jpeg</code> ;</li>
<li> GHSL-2021-1025: XSS dans les cellules de données de sortie <code>application/vnd.jupyter.widget-state+json</code> ;</li>
<li> GHSL-2021-1026: XSS dans les cellules de données de sortie <code>application/vnd.jupyter.widget-view+json</code> ;</li>
<li> GHSL-2021-1027: XSS dans les cellules raw ;</li>
<li> GHSL-2021-1028: XSS dans les cellules markdown.</li>
</ol>

<p>Certaines de ces vulnérabilités, précisement GHSL-2021-1017, -1020, -1021 et -1028,
sont réellement des décisions de conception où les cellules <code>text/html</code>,
<code>text/markdown</code>, <code>application/javascript</code> et markdown
pouvaient permettre une exécution de code arbitraire JavaScript. Ces
vulnérabilités sont par conséquent laissées ouvertes par défaut, mais les
utilisateurs peuvent désormais exclure et enlever tous les éléments JavaScript
à l'aide d'une nouvelle option <code>HTMLExporter</code> <code>sanitize_html</code>.</p>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 5.4-2+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nbconvert.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de nbconvert,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/nbconvert";>\
https://security-tracker.debian.org/tracker/nbconvert</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3442.data"
# $Id: $

Reply to:

Follow-Ups:
- [LCFC] wml://lts/security/2023/dla-344{2,3,4,5,6,7,8}.wml
  - From: JP Guillonneau <guillonneau.jeanpaul@free.fr>

Prev by Date: Re: [RFR] wml://security/2023/dsa-542{2,3}.wml
Next by Date: [RFR] wml://lts/security/2023/dla-34{26-2,51,52}.wml
Previous by thread: [DONE] wml://lts/security/2023/dla-343{6,7}.wml
Next by thread: [LCFC] wml://lts/security/2023/dla-344{2,3,4,5,6,7,8}.wml
Index(es):
- Date
- Thread