Bonjour,
Une petite faute de temps
Le 18/12/2021 à 16:48, Jean-Pierre Giraud a écrit :
Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="6985a8d0aaada0aa722663f5905b4d69a427a1b7" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité
modsecurity-apache, un module Apache pour renforcer la sécurité des
applications Web, ne gérait pas correctement les objets JSON excessivement
imbriqués, ce qui pouvait avoir pour conséquence un déni de service. La
mise à jour introduit une nouvelle option
SecRequestBodyJsonDepthLimit pour limiter la profondeur maximale
d'analyse du corps d'une requête JSON que ModSecurity acceptera (10 000 par
défaut).
Pour la distribution oldstable (Buster), ce problème a été corrigé dans
la version 2.9.3-1+deb10u1.
Pour la distribution stable (Bullseye), ce problème a été corrigé dans
la version 2.9.3-3+deb11u1.
Nous vous recommandons de mettre à jour vos paquets modsecurity-apache.
Pour disposer d'un état détaillé sur la sécurité de modsecurity-apache,
veuillez consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/modsecurity-apache;>\
https://security-tracker.debian.org/tracker/modsecurity-apache.
# do not modify the following line
#include "$(ENGLISHDIR)/security/2021/dsa-5023.data"
# $Id: $
--- dsa-5023.wml.orig 2021-12-18 18:23:30.615307784 +0100
+++ dsa-5023.wml 2021-12-18 18:24:44.077228967 +0100
@@ -3,7 +3,7 @@
modsecurity-apache, un module Apache pour renforcer la sécurité des
applications Web, ne gérait pas correctement les objets JSON excessivement
-imbriqués, ce qui pourrait avoir pour conséquence un déni de service. La
+imbriqués, ce qui pouvait avoir pour conséquence un déni de service. La
mise à jour introduit une nouvelle option
SecRequestBodyJsonDepthLimit pour limiter la profondeur maximale
d'analyse du corps d'une requête JSON que ModSecurity acceptera (10 000 par
