[RFR] wml://lts/security/2023/dla-361{4,7,9}.wml
Bonjour,
voici la traduction de nouvelles pages de sécurité.
Merci d’avance pour vos relectures et commentaires.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="a6ffbb62ebc46d5fcde7dcb1ed9ad7366fb499ae" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Batik est une boîte à outils pour des applications ou appliquettes voulant
utiliser des images au format SVG (Scalable Vector Graphics) pour divers
utilisations telles que l’affichage, la création ou la manipulation.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11987";>CVE-2020-11987</a>
<p>Une contrefaçon de requête côté serveur (SSRF) a été découverte, provoquée
par une validation impropre d’entrée par NodePickerPanel. En utilisant un
argument contrefait pour l'occasion, un attaquant pouvait exploiter cette
vulnérabilité pour que le serveur sous-jacent fasse des requêtes GET
arbitraires.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-38398";>CVE-2022-38398</a>
<p>Une vulnérabilité de contrefaçon de requête côté serveur (SSRF) a été
découverte qui permettait à un attaquant de charger un URL à l’aide du
protocole jar.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-38648";>CVE-2022-38648</a>
<p>Une vulnérabilité de contrefaçon de requête côté serveur (SSRF) a été
découverte qui permettait à un attaquant de récupérer des ressources externes.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-40146";>CVE-2022-40146</a>
<p>Une vulnérabilité de contrefaçon de requête côté serveur (SSRF) a été
découverte qui permettait à un attaquant d’accéder à des fichiers à l’aide d’un
URL Jar.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-44729";>CVE-2022-44729</a>
<p>Une vulnérabilité de contrefaçon de requête côté serveur (SSRF) a été
découverte. Un fichier SVG malveillant pouvait déclencher un chargement de
ressources externes par défaut, provoquant une utilisation de ressources et
dans certains cas une divulgation d'informations.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-44730";>CVE-2022-44730</a>
<p>Une vulnérabilité de contrefaçon de requête côté serveur (SSRF) a été
découverte. Un fichier SVG malveillant pouvait examiner le profil ou les données
d’un utilisateur et les envoyer directement comme paramètre à un URL.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 1.10-2+deb10u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets batik.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de batik,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/batik";>\
https://security-tracker.debian.org/tracker/batik</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3619.data"
# $Id: $
#use wml::debian::translation-check translation="f5ba2570d9872a3847251af950e0dc549aa011bb" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans le moteur de
servlets et JSP Tomcat.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-24998";>CVE-2023-24998</a>
<p>Déni de service. Tomcat utilise une copie empaquetée renommée d’Apache
Commons FileUpload pour fournir la fonctionnalité de téléversement de fichier
définie dans la spécification de servlets Jakarta. Apache Tomcat était par
conséquent aussi sensible à la vulnérabilité Commons FileUpload
<a href="https://security-tracker.debian.org/tracker/CVE-2023-24998";>CVE-2023-24998</a>
car il n’existait pas de limite au nombre de parties de requête traitées. Cela
rendait possible à un attaquant le déclenchement d’un déni de service à l’aide
d’un téléversement malveillant ou d’une série de téléversements.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-41080";>CVE-2023-41080</a>
<p>Redirection ouverte. Si l’application web ROOT (par défaut) était configurée
pour utiliser l’authentification FORM, alors il était possible qu’un URL
contrefait pour l'occasion soit utilisé pour déclencher une redirection vers un
URL choisi par l’attaquant.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-42795";>CVE-2023-42795</a>
<p>Divulgation d'informations. Lors du recyclage de divers objets internes,
incluant la requête et la réponse, avant une réutilisation par les prochaines
requête/réponse, une erreur pouvait faire que Tomcat omette certaines parties
du processus de recyclage, conduisant à une fuite d'informations de la
requête/réponse en cours vers la prochaine.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-44487";>CVE-2023-44487</a>
<p>Déni de service provoqué par une surcharge de trame HTTP/2 (Rapid Reset
Attack)</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-45648";>CVE-2023-45648</a>
<p>Trafic de requête. Tomcat n’analysait pas correctement les en-têtes
<q>trailer</q> HTTP. Un <q>trailer</q> contrefait pour l'occasion et non valable
pouvait faire que Tomcat traite une seule requête comme plusieurs requêtes,
conduisant à une possibilité de trafic de requête derrière un mandataire
inverse.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 9.0.31-1~deb10u9.</p>
<p>Nous vous recommandons de mettre à jour vos paquets tomcat9.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de tomcat9,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/tomcat9";>\
https://security-tracker.debian.org/tracker/tomcat9</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3617.data"
# $Id: $
#use wml::debian::translation-check translation="75867dc15d137d7c31059fc6e4de8d5e17106647" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Python 3.7.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-48560";>CVE-2022-48560</a>
<p>Un problème d’utilisation de mémoire après libération a été découvert dans la
fonction heappushpop dans le module heapq.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-48564";>CVE-2022-48564</a>
<p>Une vulnérabilité potentielle de déni de service a été découverte dans la
fonction read_ints utilisée lors du traitement de certains fichiers mal formés de
listes de propriétés d’Apple au format binaire.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-48565";>CVE-2022-48565</a>
<p>Un problème d’entités externes XML (XXE) a été découvert. Dans le but
d’éviter des vulnérabilités possibles, le module plistlib n’accepte plus les
déclarations d’entités dans des fichiers plist XML.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-48566";>CVE-2022-48566</a>
<p>Des optimisations possibles d’annulation de temps constant
(constant-time-defeating) ont été découvertes dans la variable d’accumulateur
dans hmac.compare_digest.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-40217";>CVE-2023-40217</a>
<p>Il a été découvert qu’il était possible de contourner certaines des
protections mises en œuvre par l’initialisation de connexion TLS dans la classe
ssl.SSLSocket. Par exemple, des données non authentifiées pouvaient être lues
par un programme attendant des données authentifiées par un certificat de
client.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 3.7.3-2+deb10u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python3.7.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de python3.7,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/python3.7";>\
https://security-tracker.debian.org/tracker/python3.7</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3614.data"
# $Id: $
Reply to:
- Prev by Date:
Re: [RFR] wml://security/2023/dsa-55{07,11,22-2,26,27}.wml
- Next by Date:
Re: [RFR] wml://lts/security/2023/dla-361{4,7,9}.wml
- Previous by thread:
[DONE] wml://security/2023/dsa-55{07,11,22-2,26,27}.wml
- Next by thread:
Re: [RFR] wml://lts/security/2023/dla-361{4,7,9}.wml
- Index(es):