Re: [RFR] wml://lts/security/2022/dla-{2999,3000}.wml
Bonjour Jean-Pierre, On 5/14/22 16:03, Jean-Pierre Giraud wrote: > Bonjour, > deux nouvelles annonces de sécurité ont été publiées. En voici une > traduction. Merci d'avance pour vos relectures. > Je profite du chiffre rond atteint pour préciser qu'en fait il y a eu > 3177 DLA traduites à ce jour par l'équipe dont 2166 par Jean-Paul que je > remercie pour son investissement remarquable dans cette tâche quelques > peu prenante (et parfois fastidieuse...) merci à tous les deux ! > Et merci encore pour vos relectures. rien à signaler. Amicalement, Grégoire
Re: [RFR] wml://lts/security/2022/dla-300{2,5,6,7}.wml
Bonjour, On 5/15/22 01:35, Jean-Pierre Giraud wrote: > quatre nouvelles annonces de sécurité ont été publiées. En voici une > traduction. Merci d'avance pour vos relectures. deux détails. Bien cordialement, Grégoire--- dla-3002.wml 2022-05-15 08:30:55.902182430 +0800 +++ gscano.dla-3002.wml 2022-05-15 08:31:39.106782035 +0800 @@ -3,7 +3,7 @@ Il y avait un problème dans Adminer, l'outil de base de données basé sur -le web, grâce à laquelle un attaquant pouvait réaliser la lecture d'un +le web, grâce auquel un attaquant pouvait réaliser la lecture d'un fichier arbitraire sur le serveur distant en demandant à Adminer de se connecter à une base de données MySQL distante contrefaite. --- dla-3007.wml 2022-05-15 08:30:46.042046426 +0800 +++ gscano.dla-3007.wml 2022-05-15 08:32:45.007706513 +0800 @@ -9,8 +9,8 @@ Un défaut de déréférencement de pointeur NULL a été découvert dans les versions d'ImageMagick antérieures à 7.0.10-31 dans ReadSVGImage() de coders/svg.c. Ce problème est dû à l'absence de vérification de la valeur -renvoyée par xmlCreatePushParserCtxt() de libxml2 et à l'utilisation de la -valeur directement, ce qui mène à une erreur de segmentation et un +renvoyée par xmlCreatePushParserCtxt() de libxml2 et à l'utilisation directe de la +valeur, ce qui mène à une erreur de segmentation et un plantage. https://security-tracker.debian.org/tracker/CVE-2022-28463;>CVE-2022-28463
Re: [RFR] wml://lts/security/2022/dla-299{1,7,9}.wml
Bonjour, On 5/14/22 07:07, Jean-Pierre Giraud wrote: > trois nouvelles annonces de sécurité ont été publiées. En voici une > traduction. Merci d'avance pour vos relectures. une suggestion. Bien cordialement, Grégoire--- dla-2991.wml 2022-05-15 08:24:02.849005906 +0800 +++ gscano.dla-2991.wml 2022-05-15 08:24:48.345493864 +0800 @@ -5,7 +5,7 @@ analysait plusieurs constructions de requêtes HTTP avec plus d'indulgence que ce qui est permis par la RFC 7230. Cette analyse non conforme peut conduire à une désynchronisation si les requêtes passent à travers -plusieurs analyseurs HTTP, avec pour conséquence éventuellement une +plusieurs analyseurs HTTP, avec éventuellement pour conséquence une dissimulation de requête HTTP. Pour Debian 9 Stretch, ce problème a été corrigé dans la version
[RFR] wml://lts/security/2022/dla-300{2,5,6,7}.wml
Bonjour, quatre nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures. Amicalement, jipege #use wml::debian::translation-check translation="427b37e5c38ae1197e59ac6c18371be24d1133ce" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS https://security-tracker.debian.org/tracker/CVE-2021-3596;>CVE-2021-3596 Un défaut de déréférencement de pointeur NULL a été découvert dans les versions d'ImageMagick antérieures à 7.0.10-31 dans ReadSVGImage() de coders/svg.c. Ce problème est dû à l'absence de vérification de la valeur renvoyée par xmlCreatePushParserCtxt() de libxml2 et à l'utilisation de la valeur directement, ce qui mène à une erreur de segmentation et un plantage. https://security-tracker.debian.org/tracker/CVE-2022-28463;>CVE-2022-28463 ImageMagick est vulnérable à un dépassement de tampon. Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 8:6.9.7.4+dfsg-11+deb9u14. Nous vous recommandons de mettre à jour vos paquets imagemagick. Pour disposer d'un état détaillé sur la sécurité de imagemagick, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/imagemagick;>\ https://security-tracker.debian.org/tracker/imagemagick. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3007.data" # $Id: $ #use wml::debian::translation-check translation="c89bbf6d362794c7bf461e1749fe64fe2c77d81e" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Plusieurs vulnérabilités ont été découvertes dans l'environnement d'exécution Java OpenJDK, qui peuvent avoir pour conséquences la divulgation d'informations ou un déni de service. Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 8u332-ga-1~deb9u1. Nous vous recommandons de mettre à jour vos paquets openjdk-8. Pour disposer d'un état détaillé sur la sécurité de openjdk-8, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/openjdk-8;>\ https://security-tracker.debian.org/tracker/openjdk-8. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3006.data" # $Id: $ #use wml::debian::translation-check translation="ebbf642d34936252947ee828cdb6f2dcddf2ce0a" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Il a été découvert que lrzip, un programme de compression, avait un bogue de corruption de mémoire de tas. Pour Debian 9 Stretch, ce problème a été corrigé dans la version 0.631-1+deb9u3. Nous vous recommandons de mettre à jour vos paquets lrzip. Pour disposer d'un état détaillé sur la sécurité de lrzip, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/lrzip;>\ https://security-tracker.debian.org/tracker/lrzip. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3005.data" # $Id: $ #use wml::debian::translation-check translation="12e1be1439ebc19dac4483216176e2ba722eeb77" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Il y avait un problème dans Adminer, l'outil de base de données basé sur le web, grâce à laquelle un attaquant pouvait réaliser la lecture d'un fichier arbitraire sur le serveur distant en demandant à Adminer de se connecter à une base de données MySQL distante contrefaite. https://security-tracker.debian.org/tracker/CVE-2021-43008;>CVE-2021-43008 Un contrôle d'accès incorrect dans Adminer versions 1.12.0 à 4.6.2 (corrigé dans la version 4.6.3) permet à un attaquant de réaliser la lecture d'un fichier arbitraire sur le serveur distant en demandant à Adminer de se connecter à une base de données MySQL distante. Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 4.2.5-3+deb9u3. Nous vous recommandons de mettre à jour vos paquets adminer. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3002.data" # $Id: $
[RFR] wml://lts/security/2022/dla-{2999,3000}.wml
Bonjour, deux nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures. Je profite du chiffre rond atteint pour préciser qu'en fait il y a eu 3177 DLA traduites à ce jour par l'équipe dont 2166 par Jean-Paul que je remercie pour son investissement remarquable dans cette tâche quelques peu prenante (et parfois fastidieuse...) Et merci encore pour vos relectures. Amicalement, jipege #use wml::debian::translation-check translation="6ab83bc40a33e4482bd19c8a9e77e9a7cbc55098" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Waitress est un serveur WSGI en Python, un serveur d'applications pour les applications web Python. Ces mises à jour de sécurité corrigent des bogues de dissimulation de requête, quand Waitress est combiné avec un autre mandataire HTTP qui interprète les requêtes différemment. Cela peut conduire à une possibilité de dissimulation ou de fractionnement de requête HTTP au moyen desquelles Waitress peut voir deux requêtes tandis que le serveur frontal ne voit qu'un seul message HTTP. Cela peut avoir pour conséquence un empoisonnement de cache ou une divulgation imprévue d'informations. https://security-tracker.debian.org/tracker/CVE-2019-16785;>CVE-2019-16785 Waitress reconnaît uniquement CRLF comme une fin de ligne, et nom un saut de ligne complet (LF). Avant cette modification, Waitress pouvait voir deux requêtes là où le mandataire frontal n'en voyait qu'une. https://security-tracker.debian.org/tracker/CVE-2019-16786;>CVE-2019-16786 Waitress pourrait analyser l'en-tête Transfer-Encoding en ne recherchant qu'une seule valeur de chaîne, si cette valeur n'a pas été chunked, il pourrait passer à travers et utiliser l'en-tête Content-Length à la place. Cela pourrait permettre à Waitress de traiter une requête unique comme des requêtes multiples dans le cas d'un pipeline HTTP. https://security-tracker.debian.org/tracker/CVE-2019-16789;>CVE-2019-16789 De requêtes contrefaites pour l'occasion contenant des caractères d'espace particuliers dans l'en-tête Transfer-Encoding pourraient être analysées par Waitress comme étant une requête « chunked », mais un serveur frontal pourrait utiliser l'en-tête Content-Length à la place dans la mesure où l'en-tête Transfer-Encoding est considéré comme non valable parce qu'il contient des caractères non valables.Si un serveur frontal établi un pipeline HTTP vers un serveur dorsal Waitress, cela pourrait conduire au fractionnement de la requête HTTP qui pourrait mener à un potentiel empoisonnement de cache ou à une divulgation imprévue d'informations. https://security-tracker.debian.org/tracker/CVE-2019-16792;>CVE-2019-16792 Si deux en-têtes Content-Length sont envoyés dans une requête unique, Waitress traiterait la requête comme n'ayant pas de corps, tout en traitant le corps de la requête comme une nouvelle requête dans un tunnel HTTP. https://security-tracker.debian.org/tracker/CVE-2022-24761;>CVE-2022-24761 Il y a deux classes de vulnérabilité qui peuvent conduire à une dissimulation de requête qui ont été traitées par cette alerte : L'utilisation d'int() de Python pour analyser des chaînes dans des entiers faisant que +10 est analysé comme 10, ou 0x01 comme 1, où la norme spécifie que la chaîne ne devrait contenir que des chiffres ou des chiffres hexadécimaux. Waitress ne gère pas les extensions de bloc, néanmoins il les rejette sans confirmer qu'elles ne contiennent pas de caractères interdits. Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1.0.1-1+deb9u1. Nous vous recommandons de mettre à jour vos paquets waitress. Pour disposer d'un état détaillé sur la sécurité de waitress, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/waitress;>\ https://security-tracker.debian.org/tracker/waitress. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3000.data" # $Id: $ #use wml::debian::translation-check translation="9e6f429ad124c125c542fc0f5c379559bd4520ec" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS KiCad est une suite de programmes pour la création de circuits imprimés. Il inclut un éditeur de schémas, un outil de conception de PCB, des outils d'assistance et un afficheur 3D pour visualiser le PCB finalisé avec ses composants. Plusieurs dépassements de tampons ont été découverts dans l'afficheur Gerber et dans l'analyseur de fichier excellon, qui pouvaient conduire à l'exécution de code lors de l'ouverture d'un fichier contrefait. https://security-tracker.debian.org/tracker/CVE-2022-23803;>CVE-2022-23803 Une vulnérabilité de dépassement de pile existe dans la fonction d'analyse de coordonnées