Bonjour, voici la traduction de nouvelles pages de sécurité.
Merci d’avance pour vos relectures et commentaires. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="059bb2aea48fabb506d90bc786468c921c152681" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes ont été trouvés dans modsecurity-apache, un moteur de pare-feu dâapplication web (WAF) multiplateforme au code source ouvert pour Apache, qui permettaient à des attaquants distants de contourner le pare-feu dâapplication ou dâavoir un autre impact non précisé.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-48279";>CVE-2022-48279</a> <p>Dans ModSecurity avant la version 2.9.6 et les versions 3.x avant 3.0.8, les requêtes HTTP multiparties étaient analysées incorrectement et pouvaient contourner le pare-feu dâapplication web. Remarque : cela est relatif au <a href="https://security-tracker.debian.org/tracker/CVE-2022-39956";>CVE-2022-39956</a>, mais peut être considéré indépendant des modifications code de base de ModSecurity (langage C).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-24021";>CVE-2023-24021</a> <p>Le traitement incorrect de lâoctet NULL dans le téléversement de fichier dans ModSecurity avant la version 2.9.7 pouvait permettre des contournements de pare-feu dâapplication web et des dépassements de tampon dans les pare-feux dâapplication web lors de lâexécution de règles lisant la collection FILES_TMP_CONTENT.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans la version 2.9.3-1+deb10u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets modsecurity-apache.</p> <p>Pour disposer d'un état détaillé sur la sécurité de modsecurity-apache, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/modsecurity-apache";>\ https://security-tracker.debian.org/tracker/modsecurity-apache</a>.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3283.data" # $Id: $
#use wml::debian::translation-check translation="f6a434bf244be42f1d7b84f2b626192ab4cbe6a7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités ont été découvertes dans Git, un système de gestion de versions distribué. Un attaquant pouvait déclencher lâexécution de code dans des situations particulières.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-23521";>CVE-2022-23521</a> <p>gitattributes est le mécanisme qui permet de définir des attributs pour les chemins. Ces attributs peuvent être définis en ajoutant un fichier <q>.gitattributes</q> au dépôt qui contient un ensemble de modèles de fichier et les attributs qui devraient être définis pour les chemins correspondant à ces modèles. Lors de lâanalyse de gitattributes, plusieurs dépassements d'entier pouvaient se produire si existaient un grand nombre de modèles de chemin, un grand nombre dâattributs pour un seul modèle ou quand les noms dâattribut déclaré étaient très grands. Ces dépassements pouvaient être déclenchés à l'aide d'un fichier <q>.gitattributes</q> contrefait faisant partie de lâhistorique des commits. Git silencieusement coupait les lignes supérieures à 2Ko lors de lâanalyse de gitattributes à partir dâun fichier, mais pas lors de son analyse à partir de lâindex. Par conséquent, le défaut dépend de si le fichier existait dans lâarbre de travail, dans lâindex ou dans les deux. Ce dépassement d'entier pouvait aboutir dans des lectures ou des écritures arbitraires de tas et conduire à une exécution de code à distance.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-41903";>CVE-2022-41903</a> <p><q>git log</q> peut afficher des commits dans un format arbitraire en utilisant ses spécificateurs <q>--format</q>. Cette fonctionnalité est aussi exposée à <q>git archive</q> à lâaide du gitattribute <q>export-subst</q>. Lors du traitement des opérateurs de remplissage, un dépassement d'entier existait dans <q>pretty.c::format_and_pad_commit()</q> où un <q>size_t</q> était stocké incorrectement comme <q>int</q>, et puis ajouté comme décalage à <q>memcpy()</q>. Ce dépassement pouvait être déclenché directement par un utilisateur exécutant une commande invoquant le mécanisme de formatage de commit (par exemple, <q>git log --format=...</q>). Il pouvait aussi lâêtre indirectement à travers git archive à lâaide du mécanisme export-subst qui développe les spécificateurs de format dans les fichiers du dépôt lors dâun git archive. Ce dépassement d'entier pouvait aboutir dans des lectures arbitraires de tas et conduire à une exécution de code arbitraire.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans la version 1:2.20.1-2+deb10u7.</p> <p>Nous vous recommandons de mettre à jour vos paquets git.</p> <p>Pour disposer d'un état détaillé sur la sécurité de git, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/git";>\ https://security-tracker.debian.org/tracker/git</a>.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3282.data" # $Id: $
