Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="cc6531c220bcd1ef75e9490518fd2f6e2809dd90" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans la servlet Tomcat et le moteur JSP.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9484";>CVE-2020-9484</a> <p>Lors de lâutilisation dâApache Tomcat, et a) un attaquant pouvait contrôler le contenu et le nom dâun fichier sur le serveur, b) le serveur était configuré pour utiliser le PersistenceManager avec un FileStore, c) le PersistenceManager était configuré avec sessionAttributeValueClassNameFilter="null" (par défaut à moins quâun SecurityManager était utilisé) ou un filtre suffisamment laxiste pour permettre à lâattaquant de fournir un objet à désérialiser et d) lâattaquant connaissait un chemin relatif de fichier vers lâemplacement de stockage utilisé par FileStore pour le fichier dont lâattaquant avait le contrôle, alors, à lâaide dâune requête spécialement contrefaite, lâattaquant était capable de déclencher une exécution de code à distance à lâaide dâune désérialisation du fichier sous son contrôle. Il est à remarquer que toutes les conditions devaient être remplies pour la réussite de lâattaque.</p> </li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11996";>CVE-2020-11996</a> <p>Une séquence contrefaite pour l'occasion de requêtes HTTP/2 envoyées à Apache Tomcat pouvaient déclencher un usage immodéré de CPU pendant plusieurs secondes. Si un nombre suffisamment grand de telles requêtes étaient faites sur des connexions concurrentes HTTP/2, le serveur pouvait ne pas réagir.</p></li> </ul> <p>Pour Debian 9 <q>stretch</q>, ces problèmes ont été corrigés dans la version 8.5.54-0+deb9u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets tomcat8.</p> <p>Pour disposer d'un état détaillé sur la sécurité de tomcat8, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/tomcat8";>https://security-tracker.debian.org/tracker/tomcat8</a></p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow "href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2279.data" # $Id: $
#use wml::debian::translation-check translation="b4fc6dfebbd302d9fe554a7a7bf4c368d73ad83e" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert que Squid, un serveur mandataire et de cache de haute performance pour les clients web, était affecté de plusieurs vulnérabilité de sécurité. à cause dâune mauvaise validation dâentrée et de gestion de requête dâURL, il était possible de contourner les restrictions dâaccès à des serveurs HTTP limités et de provoquer un déni de service.</p> <p>Pour Debian 9 <q>stretch</q>, ces problèmes ont été corrigés dans la version 3.5.23-5+deb9u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets squid3.</p> <p>Pour disposer d'un état détaillé sur la sécurité de squid3, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/squid3";>https://security-tracker.debian.org/tracker/squid3</a></p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow "href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2278.data" # $Id: $
