Bonjour,
voici la traduction de deux nouvelles pages de sécurité.
Merci d’avance pour vos relectures et commentaires.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="ab04604f76cc7cf6ffaab43f6f16fe61be790d5a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une exécution quadratique avec des PDF mal formés auxquels manquaient des
marqueurs xref a été corrigée dans PyPDF2, une pure bibliothèque PDF de Python.
</p>
<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 1.26.0-2+deb10u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets pypdf2.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de pypdf2,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/pypdf2";>\
https://security-tracker.debian.org/tracker/pypdf2</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3497.data"
# $Id: $
#use wml::debian::translation-check translation="303cad27bf7bb1034dd2bc14fa7437b1870848db" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Des problèmes ont été découverts dans Lemonldap::NG, un système
OpenID-Connect, CAS et SAML compatible Web-SSO, qui pouvaient conduire à une
usurpation d’identité d’utilisateurs avec une authentification à double facteur.</p>
<p>Une génération d’ID faible de session dans le gestionnaire AuthBasic et un
traitement d’échec incorrect lors une vérification de mot de passe permettaient
à des attaquants de contourner la vérification en deux étapes. Tout greffon
essayant de refuser la création de session après l’étape d’enregistrement ne
refusait pas une session AuthBasic.</p>
<p>L’utilisation du gestionnaire AuthBasic est désormais refusée pour les
utilisateurs avec double facteur. Les administrateurs qui sont <q>absolument
surs</q> que de tels comptes devraient pouvoir utiliser les gestionnaires
AuthBasic (qui sont seulement avec mot de passe) peuvent ajouter <code>and not
$ENV{AuthBasic}</code> à leurs règles d’activation à double facteur.</p>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 2.0.2+ds-7+deb10u9.</p>
<p>Nous vous recommandons de mettre à jour vos paquets lemonldap-ng.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de lemonldap-ng,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/lemonldap-ng";>\
https://security-tracker.debian.org/tracker/lemonldap-ng</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3496.data"
# $Id: $
