Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="169a167192d7b50f8d3cd4a43fa32d1a0aabc27f" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
encoding.c dans GNU Screen jusqu’à la version 4.8.0 permet à des attaquants
distants de provoquer un déni de service (accès non autorisé en écriture et
plantage d'application) ou, éventuellement, d’avoir un impact non précisé
à l'aide d'une séquence de caractères UTF-8 contrefaite.
Pour Debian 9 Stretch, ce problème a été corrigé dans
la version 4.5.0-6+deb9u1.
Nous vous recommandons de mettre à jour vos paquets screen.
Pour disposer d'un état détaillé sur la sécurité de screen, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/screen";>\
https://security-tracker.debian.org/tracker/screen.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2570.data"
# $Id: $
#use wml::debian::translation-check translation="0417ff81ce3293fff5f85fc9dbd0bcd519df9bec" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Il a été découvert qu’il existait une possibilité d’attaque par
empoisonnement du cache web dans Django, un cadriciel de développement web
populaire basé sur Python.
Cela était dû à un traitement non sûr de caractères « ; » dans
urllib.parse.parse_qsl de la méthode Python rétroportée vers le code de
base pour corriger d’autres problèmes de sécurité dans le passé.
https://security-tracker.debian.org/tracker/CVE-2021-23336";>CVE-2021-23336
Les paquets python/cpython de la version 0 et avant la version 3.6.13,
de la version 3.7.0 et avant la version 3.7.10, de la version 3.8.0 et avant la
version 3.8.8, de la version 3.9.0 et avant la version 3.9.2 étaient vulnérables
à un empoisonnement de cache web à l’aide de urllib.parse.parse_qsl et
urllib.parse.parse_qs en utilisant une dissimulation de paramètre appelé de
vecteur. Quand l’attaquant peut séparer les paramètres de requête en utilisant
un deux-points (;), il peut provoquer une différence dans l’interprétation de
la requête entre le mandataire (avec la configuration par défaut) et le serveur.
Cela peut conduire à des requêtes malveillantes mis en cache comme sûres, car le
mandataire ne voit habituellement pas le deux-points comme un séparateur, et
par conséquent ne l’inclut pas dans une clé de cache d’un paramètre sans clé.
Pour Debian 9 Stretch, ces problèmes ont été corrigés dans
la version 1:1.10.7-2+deb9u11.
Nous vous recommandons de mettre à jour vos paquets python-django.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2569.data"
# $Id: $
#use wml::debian::translation-check translation="38f80062e2abeb127c295e7a37df1331a66b5bf6" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Il a été découvert qu’il existait une possibilité d’attaque par dépassement
de tampon dans le serveur DNS bind9 causée par un problème dans la politique de
négociation de sécurité dans GSSAPI (« Generic Security Services »).
https://security-tracker.debian.org/tracker/CVE-2020-8625";>CVE-2020-8625
Les serveurs BIND étaient vulnérables s’ils exécutaient une version affectée
et étaient configurés pour utiliser les fonctionnalités de GSS-TSIG. Dans une
configuration utilisant les réglages par défaut de BIND, le code de chemin
vulnérable n’est pas exposé, mais le serveur peut être rendu vulnérable en
réglant explicitement des valeurs autorisées pour les options de configuration
de tkey-gssapi-keytab ou tkey-gssapi-credentialconfiguration. Quoique que la
configuration par défaut ne soit pas vulnérable, GSS-TSIG est couramment
utilisé dans les réseaux où BIND est intégré avec Samba, ainsi que dans les
environnements de serveurs mixtes qui combinent des serveurs BIND avec des
contrôleurs de domaine Active Directory. Le résultat le plus probable d’une
exploitation réussie de la vulnérabilité est un plantage du processus nommé.
Cependant, une exécution de code à distance, bien que non prouvée, est
théoriquement possible. Sont affectés les versions
BIND 9.5.0 -> 9.11.27, 9.12.0 -> 9.16.11 et les versions
BIND 9.11.3-S1 -> 9.11.27-S1
