Bonjour,
le vendredi 29 mai 15:55, Grégoire Scano a écrit :
>deux problèmes de formatage et une suggestion.
>
Merci Grégoire → patch fichier.diff
Autre chance de commentaire.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="1238e7c8f69216d88e87e47d2b7b24e01f4e5bc2" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Plusieurs vulnérabilités de sécurité ont été découvertes dans la servlet
Tomcat et le moteur JSP.
ATTENTIONÂ : le correctif pour
https://security-tracker.debian.org/tracker/CVE-2020-1938;>CVE-2020-1938
peut perturber les services reposant sur une configuration AJP de travail.
Lâoption secretRequired par défaut est réglée à « true » désormais. Vous devez
définir un secret dans votre server.xml ou revenir en arrière en réglant
secretRequired à « false ».
https://security-tracker.debian.org/tracker/CVE-2019-17563;>CVE-2019-17563
Lors de lâutilisation de lâauthentification FORM avec Tomcat, il existait une
fenêtre étroite pendant laquelle un attaquant pouvait réaliser une attaque de
fixation de session. La fenêtre était considérée comme trop étroite pour
la réalisation dâun exploit, mais selon le principe de précaution, ce problème
a été traité comme une vulnérabilité de sécurité.
https://security-tracker.debian.org/tracker/CVE-2020-1935;>CVE-2020-1935
Dans Apache Tomcat le code dâanalyse dâen-tête HTTP utilisait une méthode
dâanalyse de fin de ligne qui permettaient à quelques en-têtes HTTP non valables
dâêtre analysés comme valables. Cela conduisait à une possibilité de
dissimulation de requête HTTP si Tomcat résidait derrière un mandataire inverse
qui gérait incorrectement lâen-tête Transfer-Encoding non valable dâune certaine
manière. Un tel mandataire inverse est considéré comme peu probable.
https://security-tracker.debian.org/tracker/CVE-2020-1938;>CVE-2020-1938
Lors de lâutilisation du protocole JServ (AJP) dâApache, une attention doit
être portée lors de lâacceptation de connexions entrantes vers Apache Tomcat.
Tomcat traite les connexions AJP comme plus fiables que, par exemple, une
connexion HTTP similaire. Si de telles connexions sont à la disposition dâun
attaquant, elles peuvent être exploitées de manière surprenante. Précédemment,
Tomcat fournissait un connecteur AJP activé par défaut qui écoutait sur toutes
les adresses IP configurées. Il était attendu (et recommandé dans le guide de
sécurité) que ce connecteur soit désactivé sâil nâétait pas nécessaire.
Il est à remarquer que Debian désactivait déjà par défaut le connecteur AJP.
La mitigation est nécessaire seulement si le port AJP est rendu accessible à des
utilisateurs non authentifiés.
https://security-tracker.debian.org/tracker/CVE-2020-9484;>CVE-2020-9484
Lors de lâutilisation dâApache Tomcat et a) un attaquant était capable de
contrôler le contenu et le nom dâun fichier sur le serveur, b) le serveur était
configuré pour utiliser PersistenceManager avec un FileStore, c) le
PersistenceManager était configuré avec sessionAttributeValueClassNameFilter="null"
(la valeur par défaut à moins quâun SecurityManager soit utilisé ) ou quâun
filtre assez faible permettait la désérialisation de lâobjet fourni Ã
lâattaquant, d) lâattaquant connaissait le chemin relatif dans l'emplacement de
stockage utilisé par FileStore du fichier dont il avait le contrôle, alors, en
utilisant une requête spécialement contrefaite, lâattaquant était capable de
déclencher une exécution de code à distance par la désérialisation dâun fichier
sous son contrôle. Il est à remarquer que toutes les conditions (a à d) devaient
être satisfaites pour la réussite de lâattaque
Pour Debian 8 Jessie, ces problèmes ont été corrigés dans
la version 8.0.14-1+deb8u17.
Nous vous recommandons de mettre à jour vos paquets tomcat8.
Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2209.data"
# $Id: $
#use wml::debian::translation-check translation="e517dc276064271b4d1c6fde4ec267d97722d81c" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Diverses vulnérabilités mineures ont été corrigées dans libexif, une
bibliothèque pour analyser les fichiers de métadonnées EXIF.
https://security-tracker.debian.org/tracker/CVE-2018-20030;>CVE-2018-20030
Ce problème a déjà été corrigé par la DLA-2214-1. Cependant, lâamont a fourni
un correctif mis à jour, cela a été suivi.
https://security-tracker.debian.org/tracker/CVE-2020-13112;>CVE-2020-13112
Plusieurs lectures excessives de tampon dans le traitement de EXIF