Bonjour, voici la traduction de nouvelles pages de sécurité.
Merci d’avance pour vos relectures et commentaires. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="a6ffbb62ebc46d5fcde7dcb1ed9ad7366fb499ae" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Batik est une boîte à outils pour des applications ou appliquettes voulant utiliser des images au format SVG (Scalable Vector Graphics) pour divers utilisations telles que l’affichage, la création ou la manipulation.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11987";>CVE-2020-11987</a> <p>Une contrefaçon de requête côté serveur (SSRF) a été découverte, provoquée par une validation impropre d’entrée par NodePickerPanel. En utilisant un argument contrefait pour l'occasion, un attaquant pouvait exploiter cette vulnérabilité pour que le serveur sous-jacent fasse des requêtes GET arbitraires.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-38398";>CVE-2022-38398</a> <p>Une vulnérabilité de contrefaçon de requête côté serveur (SSRF) a été découverte qui permettait à un attaquant de charger un URL à l’aide du protocole jar.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-38648";>CVE-2022-38648</a> <p>Une vulnérabilité de contrefaçon de requête côté serveur (SSRF) a été découverte qui permettait à un attaquant de récupérer des ressources externes.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-40146";>CVE-2022-40146</a> <p>Une vulnérabilité de contrefaçon de requête côté serveur (SSRF) a été découverte qui permettait à un attaquant d’accéder à des fichiers à l’aide d’un URL Jar.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-44729";>CVE-2022-44729</a> <p>Une vulnérabilité de contrefaçon de requête côté serveur (SSRF) a été découverte. Un fichier SVG malveillant pouvait déclencher un chargement de ressources externes par défaut, provoquant une utilisation de ressources et dans certains cas une divulgation d'informations.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-44730";>CVE-2022-44730</a> <p>Une vulnérabilité de contrefaçon de requête côté serveur (SSRF) a été découverte. Un fichier SVG malveillant pouvait examiner le profil ou les données d’un utilisateur et les envoyer directement comme paramètre à un URL.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans la version 1.10-2+deb10u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets batik.</p> <p>Pour disposer d'un état détaillé sur la sécurité de batik, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/batik";>\ https://security-tracker.debian.org/tracker/batik</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3619.data" # $Id: $
#use wml::debian::translation-check translation="f5ba2570d9872a3847251af950e0dc549aa011bb" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans le moteur de servlets et JSP Tomcat.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-24998";>CVE-2023-24998</a> <p>Déni de service. Tomcat utilise une copie empaquetée renommée d’Apache Commons FileUpload pour fournir la fonctionnalité de téléversement de fichier définie dans la spécification de servlets Jakarta. Apache Tomcat était par conséquent aussi sensible à la vulnérabilité Commons FileUpload <a href="https://security-tracker.debian.org/tracker/CVE-2023-24998";>CVE-2023-24998</a> car il n’existait pas de limite au nombre de parties de requête traitées. Cela rendait possible à un attaquant le déclenchement d’un déni de service à l’aide d’un téléversement malveillant ou d’une série de téléversements.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-41080";>CVE-2023-41080</a> <p>Redirection ouverte. Si l’application web ROOT (par défaut) était configurée pour utiliser l’authentification FORM, alors il était possible qu’un URL contrefait pour l'occasion soit utilisé pour déclencher une redirection vers un URL choisi par l’attaquant.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-42795";>CVE-2023-42795</a> <p>Divulgation d'informations. Lors du recyclage de divers objets internes, incluant la requête et la réponse, avant une réutilisation par les prochaines requête/réponse, une erreur pouvait faire que Tomcat omette certaines parties du processus de recyclage, conduisant à une fuite d'informations de la requête/réponse en cours vers la prochaine.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-44487";>CVE-2023-44487</a> <p>Déni de service provoqué par une surcharge de trame HTTP/2 (Rapid Reset Attack)</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-45648";>CVE-2023-45648</a> <p>Trafic de requête. Tomcat n’analysait pas correctement les en-têtes <q>trailer</q> HTTP. Un <q>trailer</q> contrefait pour l'occasion et non valable pouvait faire que Tomcat traite une seule requête comme plusieurs requêtes, conduisant à une possibilité de trafic de requête derrière un mandataire inverse.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans la version 9.0.31-1~deb10u9.</p> <p>Nous vous recommandons de mettre à jour vos paquets tomcat9.</p> <p>Pour disposer d'un état détaillé sur la sécurité de tomcat9, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/tomcat9";>\ https://security-tracker.debian.org/tracker/tomcat9</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow "href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3617.data" # $Id: $
#use wml::debian::translation-check translation="75867dc15d137d7c31059fc6e4de8d5e17106647" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Python 3.7.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-48560";>CVE-2022-48560</a> <p>Un problème d’utilisation de mémoire après libération a été découvert dans la fonction heappushpop dans le module heapq.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-48564";>CVE-2022-48564</a> <p>Une vulnérabilité potentielle de déni de service a été découverte dans la fonction read_ints utilisée lors du traitement de certains fichiers mal formés de listes de propriétés d’Apple au format binaire.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-48565";>CVE-2022-48565</a> <p>Un problème d’entités externes XML (XXE) a été découvert. Dans le but d’éviter des vulnérabilités possibles, le module plistlib n’accepte plus les déclarations d’entités dans des fichiers plist XML.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-48566";>CVE-2022-48566</a> <p>Des optimisations possibles d’annulation de temps constant (constant-time-defeating) ont été découvertes dans la variable d’accumulateur dans hmac.compare_digest.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-40217";>CVE-2023-40217</a> <p>Il a été découvert qu’il était possible de contourner certaines des protections mises en œuvre par l’initialisation de connexion TLS dans la classe ssl.SSLSocket. Par exemple, des données non authentifiées pouvaient être lues par un programme attendant des données authentifiées par un certificat de client.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans la version 3.7.3-2+deb10u6.</p> <p>Nous vous recommandons de mettre à jour vos paquets python3.7.</p> <p>Pour disposer d'un état détaillé sur la sécurité de python3.7, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/python3.7";>\ https://security-tracker.debian.org/tracker/python3.7</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3614.data" # $Id: $
