Bonjour, Le 11/04/23 01:18 Jean-Pierre a écrit : >quatre nouvelles annonces de sécurité ont été publiées. Deux détails. Amicalement.
-- Jean-Paul
--- ./dsa-5382.wml.orig 2023-04-13 07:52:08.262215837 +0200 +++ ./dsa-5382.wml 2023-04-13 07:53:23.794746877 +0200 @@ -4,7 +4,7 @@ <p>Il a été signalé que cairosvg, un convertisseur SVG basé sur Cairo, peut envoyer des requêtes à des hôtes externes lors du traitement de fichiers SVG contrefaits pour l'occasion accompagné du chargement de ressources d'un -fichier externe. Un attaquant peut tirer avantage ce défaut pour réaliser +fichier externe. Un attaquant peut tirer avantage de ce défaut pour réaliser une contrefaçon de requête côté serveur ou un déni de service. La récupération de fichiers externes est désactivée par défaut avec cette mise à jour.</p>
--- ./dsa-5381.wml.orig 2023-04-13 07:49:43.357229141 +0200 +++ ./dsa-5381.wml 2023-04-13 07:51:45.226055988 +0200 @@ -27,7 +27,7 @@ <p>Lors de l'utilisation de RemoteIpFilter avec des requêtes reçues d'un mandataire inverse par HTTP qui incluent un en-tête X-Forwarded-Proto -défini à https, les cookies de session créés par Apache Tomcat n'incluaient" +défini à https, les cookies de session créés par Apache Tomcat n'incluaient pas l'attribut <q>secure</q>. Cela pouvait avoir pour conséquence la transmission par l'agent utilisateur d'un cookie de session sur un canal non sécurisé.</p></li>
