diff options
author | jptha-guest <guillonneau.jeanpaul@free.fr> | 2020-05-29 09:40:16 +0200 |
---|---|---|
committer | jptha-guest <guillonneau.jeanpaul@free.fr> | 2020-05-29 09:40:16 +0200 |
commit | 94713f987449e1531f8fc1e6f7e82ac3e343e3fb (patch) | |
tree | 006aca51755bff28bcb1bb39affde9a30ff595ce | |
parent | 8050737f07da6af42c9036267ccdc3bb80ad9d43 (diff) |
Initial translation
-rw-r--r-- | french/lts/security/2020/dla-2209.wml | 82 | ||||
-rw-r--r-- | french/lts/security/2020/dla-2222.wml | 49 |
2 files changed, 131 insertions, 0 deletions
diff --git a/french/lts/security/2020/dla-2209.wml b/french/lts/security/2020/dla-2209.wml new file mode 100644 index 00000000000..1f79f3c12ad --- /dev/null +++ b/french/lts/security/2020/dla-2209.wml @@ -0,0 +1,82 @@ +#use wml::debian::translation-check translation="1238e7c8f69216d88e87e47d2b7b24e01f4e5bc2" maintainer="Jean-Paul Guillonneau" +<define-tag description>Mise à jour de sécurité pour LTS</define-tag> +<define-tag moreinfo> + +<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans la servlet +Tomcat et le moteur JSP.</p> + +<p>ATTENTION : le correctif pour +<a href="https://security-tracker.debian.org/tracker/CVE-2020-1938">CVE-2020-1938</a> +peut perturber les services reposant sur une configuration AJP de travail. +L’option secretRequired par défaut est réglée à « true » désormais. Vous devez +définir un secret dans votre server.xml ou revenir en arrière en réglant +secretRequired à « false ».</p> + +<p></p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-17563">CVE-2019-17563</a> + +<p>Lors de l’utilisation de l’authentification FORM avec Tomcat, il existait une +fenêtre étroite pendant laquelle un attaquant pouvait réaliser une attaque de +fixation de session. La fenêtre était considérée comme trop étroite pour +la réalisation d’un exploit, mais selon le principe de précaution, ce problème +a été traité comme une vulnérabilité de sécurité.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1935">CVE-2020-1935</a> + +<p>Dans Apache Tomcat le code d’analyse d’en-tête HTTP utilisait une méthode +d’analyse de fin de ligne qui permettaient à quelques en-têtes HTTP non valables +d’être analysés comme valables. Cela conduisait à une possibilité de +dissimulation de requête HTTP si Tomcat résidait derrière un mandataire inverse +qui gérait incorrectement l’en-tête Transfer-Encoding non valable d’une certaine +manière. Un tel mandataire inverse est considéré comme peu probable.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1938">CVE-2020-1938</a> + +<p>Lors de l’utilisation du protocole JServ (AJP) d’Apache, une attention doit +être portée lors de l’acceptation de connexions entrantes vers Apache Tomcat. +Tomcat traite les connexions AJP comme plus fiables que, par exemple, une +connexion HTTP similaire. Si de telles connexions sont à la disposition d’un +attaquant, elles peuvent être exploitées de manière surprenante. Précédemment, +Tomcat fournissait un connecteur AJP activé par défaut qui écoutait sur toutes +les adresses IP configurées. Il était attendu (et recommandé dans le guide de +sécurité) que ce connecteur soit désactivé s’il n’était pas nécessaire. +. +Il est à remarquer que Debian désactivait déjà par défaut le connecteur AJP. +La mitigation est nécessaire seulement si le port AJP est rendu accessible à des +utilisateurs non authentifiés.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9484">CVE-2020-9484</a> + +<p>Lors de l’utilisation d’Apache Tomcat et a) un attaquant était capable de +contrôler le contenu et le nom d’un fichier sur le serveur, b) le serveur était +configuré pour utiliser PersistenceManager avec un FileStore, c) le +PersistenceManager était configuré avec sessionAttributeValueClassNameFilter="null" +(la valeur par défaut à moins qu’un SecurityManager soit utilisé ) ou qu’un +filtre assez faible permettait la désérialisation de l’objet fourni à +l’attaquant, d) l’attaquant connaissait le chemin relatif dans l'emplacement de +stockage utilisé par FileStore du fichier dont il avait le contrôle, alors, en +utilisant une requête spécialement contrefaite, l’attaquant était capable de +déclencher une exécution de code à distance par la désérialisation d’un fichier +sous son contrôle. Il est à remarquer que toutes les conditions (a à d) devaient +être satisfaites pour la réussite de l’attaque</p> + + +<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans +la version 8.0.14-1+deb8u17.</p> + +<p>Nous vous recommandons de mettre à jour vos paquets tomcat8.</p> + +<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment +appliquer ces mises à jour dans votre système et les questions fréquemment posées +peuvent être trouvées sur : <a rel="nofollow +"href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p></li> + +</ul> +</define-tag> + +# do not modify lea following line +#include "$(ENGLISHDIR)/lts/security/2020/dla-2209.data" +# $Id: $ diff --git a/french/lts/security/2020/dla-2222.wml b/french/lts/security/2020/dla-2222.wml new file mode 100644 index 00000000000..6d8cfe4fccc --- /dev/null +++ b/french/lts/security/2020/dla-2222.wml @@ -0,0 +1,49 @@ +#use wml::debian::translation-check translation="e517dc276064271b4d1c6fde4ec267d97722d81c" maintainer="Jean-Paul Guillonneau" +<define-tag description>Mise à jour de sécurité pour LTS</define-tag> +<define-tag moreinfo> + +<p>Diverses vulnérabilités mineures ont été corrigées dans libexif, une +bibliothèque pour analyser les fichiers de métadonnées EXIF.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20030">CVE-2018-20030</a> + +<p>Ce problème a déjà été corrigé par la DLA-2214-1. Cependant, l’amont a fourni +un correctif mis à jour, cela a été suivi.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13112">CVE-2020-13112</a> + +<p>Plusieurs lectures excessives de tampon dans le traitement de EXIF MakerNote +pouvaient conduire à une divulgation d'informations et des plantages. Ce problème +est différent du +<a href="https://security-tracker.debian.org/tracker/CVE-2020-0093">CVE-2020-0093</a>.</p></li> +déjà réglé. + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13113">CVE-2020-13113</a> + +<p>Une utilisation de mémoire non initialisée dans le traitement de EXIF Makernote +pouvait conduire à des plantages et des conditions d’utilisation de mémoire après +libération.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13114">CVE-2020-13114</a> + +<p>Une taille non limitée dans le traitement de données EXIF MakerNote de Canon +pouvait conduire à une utilisation de grandes durées de calcul pour le décodage +de données EXIF.</p></li> + +</ul> + +<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans +la version 0.6.21-2+deb8u3.</p> + +<p>Nous vous recommandons de mettre à jour vos paquets libexif.</p> + +<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment +appliquer ces mises à jour dans votre système et les questions fréquemment posées +peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> +</define-tag> + +# do not modify lea following line +#include "$(ENGLISHDIR)/lts/security/2020/dla-2222.data" +# $Id: $ |