Re: [RFR] wml://lts/security/2022/dla-2927.wml

2022-02-20 Par sujet Grégoire Scano 
Bonjour,

On 2/21/22 07:59, Jean-Pierre Giraud wrote:
> Une nouvelle annonce de sécurité vient d'être publiée. En voici une
> traduction. Merci d'avance pour vos relectures.

rien à signaler.

Bien cordialement,
Grégoire

[RFR] wml://lts/security/2022/dla-2927.wml

2022-02-20 Par sujet Jean-Pierre Giraud 

Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="74a36603e9ef28016e065ee5527c6181753cd195" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Twisted, un cadriciel en Python basé sur les évènements pour construire
des applications web, est affecté par des vulnérabilités de fractionnement
de requête HTTP, et peut exposer des données sensibles en suivant des
redirections. Un attaquant peut contourner des vérifications de validation
et récupérer des identifiants.



https://security-tracker.debian.org/tracker/CVE-2020-10108;>CVE-2020-10108

Vulnérabilité de fractionnement de requête HTTP. Lorsque deux en-têtes
content-length sont fournis, le premier en-tête est ignoré. Lorsque la
seconde valeur content-length était réglée à zéro, le corps de la requête
était interprété comme une requête redirigée (pipe).

https://security-tracker.debian.org/tracker/CVE-2020-10109;>CVE-2020-10109

Vulnérabilité de fractionnement de requête HTTP. Lorsqu’un en-tête
content-length et un encodage en bloc étaient fournis, le content-length
prévalait et la suite du corps de la requête était interprétée comme une
requête redirigée (pipe).

https://security-tracker.debian.org/tracker/CVE-2022-21712;>CVE-2022-21712

Twisted expose les en-têtes « Cookie » et « Authorization » lorsqu'il
suit des redirections d'origines multiples. Ce problème est présent dans les
fonctions « twisted.web.RedirectAgent » et
« twisted.web.BrowserLikeRedirectAgent ».



Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la
version 16.6.0-2+deb9u1.

Nous vous recommandons de mettre à jour vos paquets twisted.

Pour disposer d'un état détaillé sur la sécurité de twisted, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/twisted;>\
https://security-tracker.debian.org/tracker/twisted.

Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-2927.data"
# $Id: $


OpenPGP_signature
Description: OpenPGP digital signature