Re: [RFR] wml://security/2021/dsa-5020.wml
Bonjour, suggestions, amicalement, bubu Le 12/12/2021 à 10:32, Jean-Pierre Giraud a écrit : Bonjour, Une nouvelle annonce de sécurité vient d'être publiée. En voici une traduction. Merci d'avance pour vos relectures. Amicalement, jipege --- dsa-5020.wml 2021-12-12 10:43:17.236852915 +0100 +++ dsa-5020.relu.wml 2021-12-12 10:45:58.071298459 +0100 @@ -4,10 +4,10 @@ Chen Zhaojun de l'équipe Alibaba Cloud Security a découvert une vulnérabilité de sécurité critique dans Log4j d'Apache, une infrastructure de journalisation répandue pour Java. La fonction JNDI utilisée dans la -configuration, les messages de journal et les paramètres ne protégeait pas +configuration, les messages de journal et les paramètres ne protégeaient pas d'un LDAP et d'autres points de terminaison liés à JNDI contrôlés par un attaquant. Un attaquant qui peut contrôler les messages ou les paramètres -de messages de journal peut exécuter du code arbitraire chargé à partir de +de messages de journal, peut exécuter du code arbitraire chargé à partir de serveurs LDAP quand la recherche/substitution de messages est active. Ce comportement a été désactivé par défaut à partir de la version 2.15.0.
[RFR] wml://security/2021/dsa-5020.wml
Bonjour, Une nouvelle annonce de sécurité vient d'être publiée. En voici une traduction. Merci d'avance pour vos relectures. Amicalement, jipege #use wml::debian::translation-check translation="9d48707cc1410dc9bc5673e6b67304a923f19557" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité Chen Zhaojun de l'équipe Alibaba Cloud Security a découvert une vulnérabilité de sécurité critique dans Log4j d'Apache, une infrastructure de journalisation répandue pour Java. La fonction JNDI utilisée dans la configuration, les messages de journal et les paramètres ne protégeait pas d'un LDAP et d'autres points de terminaison liés à JNDI contrôlés par un attaquant. Un attaquant qui peut contrôler les messages ou les paramètres de messages de journal peut exécuter du code arbitraire chargé à partir de serveurs LDAP quand la recherche/substitution de messages est active. Ce comportement a été désactivé par défaut à partir de la version 2.15.0. Cette mise à jour corrige également le https://security-tracker.debian.org/tracker/CVE-2020-9488;>\ CVE-2020-9488 dans la distribution oldstable (Buster). Une validation incorrecte de certificat avec erreur d'hôte dans le flux (« appender ») SMTP de log4j d'Apache. Cela pourrait permettre l'interception d'une connexion SMTPS par une attaque de type homme du milieu qui pourrait aboutir à une divulgation de n'importe quel message de journal envoyé au moyen de cet « appender ». Pour la distribution oldstable (Buster), ce problème a été corrigé dans la version 2.15.0-1~deb10u1. Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 2.15.0-1~deb11u1. Nous vous recommandons de mettre à jour vos paquets apache-log4j2. Pour disposer d'un état détaillé sur la sécurité de apache-log4j2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/apache-log4j2;>\ https://security-tracker.debian.org/tracker/apache-log4j2. # do not modify the following line #include "$(ENGLISHDIR)/security/2021/dsa-5020.data" # $Id: $ OpenPGP_signature Description: OpenPGP digital signature