Bonjour, le vendredi 29 mai 15:55, Grégoire Scano a écrit :
>deux problèmes de formatage et une suggestion. > Merci Grégoire → patch fichier.diff Autre chance de commentaire. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="1238e7c8f69216d88e87e47d2b7b24e01f4e5bc2" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans la servlet Tomcat et le moteur JSP.</p> <p>ATTENTION : le correctif pour <a href="https://security-tracker.debian.org/tracker/CVE-2020-1938">CVE-2020-1938</a> peut perturber les services reposant sur une configuration AJP de travail. Lâoption secretRequired par défaut est réglée à « true » désormais. Vous devez définir un secret dans votre server.xml ou revenir en arrière en réglant secretRequired à « false ».</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-17563">CVE-2019-17563</a> <p>Lors de lâutilisation de lâauthentification FORM avec Tomcat, il existait une fenêtre étroite pendant laquelle un attaquant pouvait réaliser une attaque de fixation de session. La fenêtre était considérée comme trop étroite pour la réalisation dâun exploit, mais selon le principe de précaution, ce problème a été traité comme une vulnérabilité de sécurité.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1935">CVE-2020-1935</a> <p>Dans Apache Tomcat le code dâanalyse dâen-tête HTTP utilisait une méthode dâanalyse de fin de ligne qui permettaient à quelques en-têtes HTTP non valables dâêtre analysés comme valables. Cela conduisait à une possibilité de dissimulation de requête HTTP si Tomcat résidait derrière un mandataire inverse qui gérait incorrectement lâen-tête Transfer-Encoding non valable dâune certaine manière. Un tel mandataire inverse est considéré comme peu probable.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1938">CVE-2020-1938</a> <p>Lors de lâutilisation du protocole JServ (AJP) dâApache, une attention doit être portée lors de lâacceptation de connexions entrantes vers Apache Tomcat. Tomcat traite les connexions AJP comme plus fiables que, par exemple, une connexion HTTP similaire. Si de telles connexions sont à la disposition dâun attaquant, elles peuvent être exploitées de manière surprenante. Précédemment, Tomcat fournissait un connecteur AJP activé par défaut qui écoutait sur toutes les adresses IP configurées. Il était attendu (et recommandé dans le guide de sécurité) que ce connecteur soit désactivé sâil nâétait pas nécessaire. Il est à remarquer que Debian désactivait déjà par défaut le connecteur AJP. La mitigation est nécessaire seulement si le port AJP est rendu accessible à des utilisateurs non authentifiés.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9484">CVE-2020-9484</a> <p>Lors de lâutilisation dâApache Tomcat et a) un attaquant était capable de contrôler le contenu et le nom dâun fichier sur le serveur, b) le serveur était configuré pour utiliser PersistenceManager avec un FileStore, c) le PersistenceManager était configuré avec sessionAttributeValueClassNameFilter="null" (la valeur par défaut à moins quâun SecurityManager soit utilisé ) ou quâun filtre assez faible permettait la désérialisation de lâobjet fourni à lâattaquant, d) lâattaquant connaissait le chemin relatif dans l'emplacement de stockage utilisé par FileStore du fichier dont il avait le contrôle, alors, en utilisant une requête spécialement contrefaite, lâattaquant était capable de déclencher une exécution de code à distance par la désérialisation dâun fichier sous son contrôle. Il est à remarquer que toutes les conditions (a à d) devaient être satisfaites pour la réussite de lâattaque</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 8.0.14-1+deb8u17.</p> <p>Nous vous recommandons de mettre à jour vos paquets tomcat8.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow "href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p></li> </ul> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2209.data" # $Id: $
#use wml::debian::translation-check translation="e517dc276064271b4d1c6fde4ec267d97722d81c" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Diverses vulnérabilités mineures ont été corrigées dans libexif, une bibliothèque pour analyser les fichiers de métadonnées EXIF.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20030">CVE-2018-20030</a> <p>Ce problème a déjà été corrigé par la DLA-2214-1. Cependant, lâamont a fourni un correctif mis à jour, cela a été suivi.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13112">CVE-2020-13112</a> <p>Plusieurs lectures excessives de tampon dans le traitement de EXIF MakerNote pouvaient conduire à une divulgation d'informations et des plantages. Ce problème est différent du <a href="https://security-tracker.debian.org/tracker/CVE-2020-0093">CVE-2020-0093</a> déjà réglé. </p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13113">CVE-2020-13113</a> <p>Une utilisation de mémoire non initialisée dans le traitement de EXIF Makernote pouvait conduire à des plantages et des conditions dâutilisation de mémoire après libération.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13114">CVE-2020-13114</a> <p>Une taille non limitée dans le traitement de données EXIF MakerNote de Canon pouvait conduire à des durées de calcul très longues pour le décodage de données EXIF.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 0.6.21-2+deb8u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets libexif.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2222.data" # $Id: $