Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="9e15d28daa5f346577a0d14e18d9f8a11f823f86" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert qu’il existait une série de vulnérabilités de déni de service dans Pygments, une bibliothèque populaire de coloration syntaxique pour Python.</p> <p>Un certain nombre d’expressions rationnelles était sujet à une complexité cubique ou exponentielle dans des cas extrêmes qui pouvait causer un déni de service distant (DoS) lors de la fourniture d’une entrée malveillante.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-27291";>CVE-2021-27291</a> <p>Dans pygments, versions 1.1 et plus, corrigés dans 2.7.4, les analyseurs lexicaux utilisés pour vérifier les langages de programmation s’appuient fortement sur les expressions rationnelles. Certaines ont une complexité cubique ou exponentielle dans des cas extrêmes et sont vulnérables à une attaque ReDoS. En contrefaisant une entrée, un attaquant malveillant peut provoquer un déni de service.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 2.2.0+dfsg-1+deb9u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets pygments.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2600.data" # $Id: $
#use wml::debian::translation-check translation="35410c484742da27b9d6436dfc8ebda66e54fe80" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Trois problèmes de sécurité ont été détectés dans tomcat8.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-24122";>CVE-2021-24122</a> <p>Lors du service de ressources à partir d’un emplacement réseau utilisant le système de fichiers NTFS, Apache Tomcat, des versions 8.5.0 à 8.5.59, est susceptible de divulguer du code source JSP dans certaines configurations. La cause principale est le comportement inattendu de File.getCanonicalPath() de l’API JRE, qui à son tour est provoqué par le comportement incohérent de l’API Windows (FindFirstFileW) dans certaines circonstances.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-25122";>CVE-2021-25122</a> <p>Lors de la réponse à de nouvelles requêtes de connexion h2c, Apache Tomcat pourrait dupliquer des en-têtes de requête et une partie limitée du corps d’une requête à une autre, signifiant qu’un utilisateur A et un utilisateur B pourraient tous deux voir le résultat de la requête de A.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-25329";>CVE-2021-25329</a> <p>Le correctif pour 2020-9484 était incomplet. Lors de l’utilisation d’Apache Tomcat, versions 8.5.0 à 8.5.61, avec un cas extrême de configuration hautement improbable, l’instance de Tomcat était encore vulnérable au <a href="https://security-tracker.debian.org/tracker/CVE-2020-9494";>CVE-2020-9494</a>. Remarquez que les prérequis précédemment publiés pour <a href="https://security-tracker.debian.org/tracker/CVE-2020-9484";>CVE-2020-9484</a> et les mitigations précédemment publiées pour le <a href="https://security-tracker.debian.org/tracker/CVE-2020-9484";>CVE-2020-9484</a> s’appliquent à ce problème.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 8.5.54-0+deb9u6.</p> <p>Nous vous recommandons de mettre à jour vos paquets tomcat8.</p> <p>Pour disposer d'un état détaillé sur la sécurité de tomcat8, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/tomcat8";>\ https://security-tracker.debian.org/tracker/tomcat8</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2594.data" # $Id: $
