Bonjour, voici la traduction de nouvelles pages de sécurité.
Merci d’avance pour vos relectures et commentaires. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="2cfb81e1a6e4c87d81efe65a30dadf57d4fb2208" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été trouvés dans PHP, un langage de script généraliste au source libre couramment utilisé, qui pouvaient aboutir à un déni de service ou une validation incorrecte de hachages BCrypt.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-31631";>CVE-2022-31631</a> <p>À cause d’un dépassement d'entier non capturé, <code>PDO::quote()</code> de <code>PDO_SQLite</code> pouvait renvoyer une chaine incorrectement citée. Les détails exacts dépendaient vraisemblablement de l’implémentation de <code>sqlite3_snprintf()</code>, mais, avec certaines versions, il était possible de forcer la fonction à renvoyer une seule apostrophe, si la fonction était appelée sur une entrée fournie par un utilisateur sans restriction de longueur mise en place.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-0567";>CVE-2023-0567</a> <p>Tim Düsterhus a découvert que des hachages BCrypt mal formés qui incluaient un caractère <code>$</code> dans leur partie sel déclenchait un dépassement de lecture mémoire et pouvaient valider de manière erronée tout mot de passe. (<code>Password_verify()</code> renvoyait toujours <code>true</code> avec de telles entrées).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-0568";>CVE-2023-0568</a> <p>Surlecture d’un octet de tableau lors de l’ajout de barre oblique dans des chemins lors de la résolution de chemins.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-0662";>CVE-2023-0662</a> <p>Jakob Ackermann a découvert une vulnérabilité de déni de service lors de l’analyse de corps de requête multipartie : cette analyse dans PHP permettait à un attaquant non authentifié d’utiliser pendant longtemps le CPU et déclencher une journalisation excessive.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans la version 7.3.31-1~deb10u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets php7.3.</p> <p>Pour disposer d'un état détaillé sur la sécurité de php7.3, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/php7.3";>\ https://security-tracker.debian.org/tracker/php7.3</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3345.data" # $Id: $
#use wml::debian::translation-check translation="4a50708f3f930fe854540df9ba3411b62d8aeba3" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert qu’il existait une régression dans le correctif précédent pour python-cryptography, une bibliothèque de Python fournissant un certain nombre de primitives de chiffrement et déchiffrement.</p> <p>Le problème originel était qu’il existait une vulnérabilité potentielle de corruption de mémoire. Cependant, la modification a entrainé une régression due à un rétroportage incorrect du correctif de l’amont vers l’(ancienne) version dans Debian LTS.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-23931";>CVE-2023-23931</a> <p>cryptography est un paquet conçu pour fournir des primitives de chiffrement et des recettes aux développeurs utilisant Python. Dans les versions affectées, <q>Cipher.update_into</q> acceptait des objets Python qui mettaient en œuvre le protocole de tampon, mais fournissait seulement des tampons immuables. Cela permettait aux objets immuables (tels que <q>octets</q>) de muter, par conséquent violant les règles fondamentales de Python et aboutissant à une sortie corrompue. Désormais une exception est correctement levée. Ce problème est présent depuis que <q>update_into</q> a été introduit dans cryptography 1.8.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans la version 2.6.1-3+deb10u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets python-cryptography.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3331.data" # $Id: $
