From 94713f987449e1531f8fc1e6f7e82ac3e343e3fb Mon Sep 17 00:00:00 2001
From: jptha-guest <guillonneau.jeanpaul@free.fr>
Date: Fri, 29 May 2020 09:40:16 +0200
Subject: Initial translation

---
 french/lts/security/2020/dla-2209.wml | 82 +++++++++++++++++++++++++++++++++++
 french/lts/security/2020/dla-2222.wml | 49 +++++++++++++++++++++
 2 files changed, 131 insertions(+)
 create mode 100644 french/lts/security/2020/dla-2209.wml
 create mode 100644 french/lts/security/2020/dla-2222.wml
diff --git a/french/lts/security/2020/dla-2209.wml b/french/lts/security/2020/dla-2209.wml
new file mode 100644
index 00000000000..1f79f3c12ad
--- /dev/null
+++ b/french/lts/security/2020/dla-2209.wml
@@ -0,0 +1,82 @@
+#use wml::debian::translation-check translation="1238e7c8f69216d88e87e47d2b7b24e01f4e5bc2" maintainer="Jean-Paul Guillonneau"
+<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
+<define-tag moreinfo>
+
+<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans la servlet
+Tomcat et le moteur JSP.</p>
+
+<p>ATTENTION : le correctif pour
+<a href="https://security-tracker.debian.org/tracker/CVE-2020-1938">CVE-2020-1938</a>
+peut perturber les services reposant sur une configuration AJP de travail.
+L’option secretRequired par défaut est réglée à « true » désormais. Vous devez
+définir un secret dans votre server.xml ou revenir en arrière en réglant
+secretRequired à « false ».</p>
+
+<p></p>
+
+<ul>
+
+<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-17563">CVE-2019-17563</a>
+
+<p>Lors de l’utilisation de l’authentification FORM avec Tomcat, il existait une
+fenêtre étroite pendant laquelle un attaquant pouvait réaliser une attaque de
+fixation de session. La fenêtre était considérée comme trop étroite pour
+la réalisation d’un exploit, mais selon le principe de précaution, ce problème
+a été traité comme une vulnérabilité de sécurité.</p></li>
+
+<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1935">CVE-2020-1935</a>
+
+<p>Dans Apache Tomcat le code d’analyse d’en-tête HTTP utilisait une méthode
+d’analyse de fin de ligne qui permettaient à quelques en-têtes HTTP non valables
+d’être analysés comme valables. Cela conduisait à une possibilité de
+dissimulation de requête HTTP si Tomcat résidait derrière un mandataire inverse
+qui gérait incorrectement l’en-tête Transfer-Encoding non valable d’une certaine
+manière. Un tel mandataire inverse est considéré comme peu probable.</p></li>
+
+<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1938">CVE-2020-1938</a>
+
+<p>Lors de l’utilisation du protocole JServ (AJP) d’Apache, une attention doit
+être portée lors de l’acceptation de connexions entrantes vers Apache Tomcat.
+Tomcat traite les connexions AJP comme plus fiables que, par exemple, une
+connexion HTTP similaire. Si de telles connexions sont à la disposition d’un
+attaquant, elles peuvent être exploitées de manière surprenante. Précédemment,
+Tomcat fournissait un connecteur AJP activé par défaut qui écoutait sur toutes
+les adresses IP configurées. Il était attendu (et recommandé dans le guide de
+sécurité) que ce connecteur soit désactivé s’il n’était pas nécessaire.
+.
+Il est à remarquer que Debian désactivait déjà par défaut le connecteur AJP.
+La mitigation est nécessaire seulement si le port AJP est rendu accessible à des
+utilisateurs non authentifiés.</p></li>
+
+<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9484">CVE-2020-9484</a>
+
+<p>Lors de l’utilisation d’Apache Tomcat et a) un attaquant était capable de
+contrôler le contenu et le nom d’un fichier sur le serveur, b) le serveur était
+configuré pour utiliser PersistenceManager avec un FileStore, c) le
+PersistenceManager était configuré avec sessionAttributeValueClassNameFilter="null"
+(la valeur par défaut à moins qu’un SecurityManager soit utilisé ) ou qu’un
+filtre assez faible permettait la désérialisation de l’objet fourni à
+l’attaquant, d) l’attaquant connaissait le chemin relatif dans l'emplacement de
+stockage utilisé par FileStore du fichier dont il avait le contrôle, alors, en
+utilisant une requête spécialement contrefaite, l’attaquant était capable de
+déclencher une exécution de code à distance par la désérialisation d’un fichier
+sous son contrôle. Il est à remarquer que toutes les conditions (a à d) devaient
+être satisfaites pour la réussite de l’attaque</p>
+
+
+<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
+la version 8.0.14-1+deb8u17.</p>
+
+<p>Nous vous recommandons de mettre à jour vos paquets tomcat8.</p>
+
+<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
+appliquer ces mises à jour dans votre système et les questions fréquemment posées
+peuvent être trouvées sur : <a rel="nofollow
+"href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p></li>
+
+</ul>
+</define-tag>
+
+# do not modify lea following line
+#include "$(ENGLISHDIR)/lts/security/2020/dla-2209.data"
+# $Id: $
diff --git a/french/lts/security/2020/dla-2222.wml b/french/lts/security/2020/dla-2222.wml
new file mode 100644
index 00000000000..6d8cfe4fccc
--- /dev/null
+++ b/french/lts/security/2020/dla-2222.wml
@@ -0,0 +1,49 @@
+#use wml::debian::translation-check translation="e517dc276064271b4d1c6fde4ec267d97722d81c" maintainer="Jean-Paul Guillonneau"
+<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
+<define-tag moreinfo>
+
+<p>Diverses vulnérabilités mineures ont été corrigées dans libexif, une
+bibliothèque pour analyser les fichiers de métadonnées EXIF.</p>
+
+<ul>
+
+<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20030">CVE-2018-20030</a>
+
+<p>Ce problème a déjà été corrigé par la DLA-2214-1. Cependant, l’amont a fourni
+un correctif mis à jour, cela a été suivi.</p></li>
+
+<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13112">CVE-2020-13112</a>
+
+<p>Plusieurs lectures excessives de tampon dans le traitement de EXIF MakerNote
+pouvaient conduire à une divulgation d'informations et des plantages. Ce problème
+est différent du
+<a href="https://security-tracker.debian.org/tracker/CVE-2020-0093">CVE-2020-0093</a>.</p></li>
+déjà réglé.
+
+<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13113">CVE-2020-13113</a>
+
+<p>Une utilisation de mémoire non initialisée dans le traitement de EXIF Makernote
+pouvait conduire à des plantages et des conditions d’utilisation de mémoire après
+libération.</p></li>
+
+<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13114">CVE-2020-13114</a>
+
+<p>Une taille non limitée dans le traitement de données EXIF MakerNote de Canon
+pouvait conduire à une utilisation de grandes durées de calcul pour le décodage
+de données EXIF.</p></li>
+
+</ul>
+
+<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
+la version 0.6.21-2+deb8u3.</p>
+
+<p>Nous vous recommandons de mettre à jour vos paquets libexif.</p>
+
+<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
+appliquer ces mises à jour dans votre système et les questions fréquemment posées
+peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p>
+</define-tag>
+
+# do not modify lea following line
+#include "$(ENGLISHDIR)/lts/security/2020/dla-2222.data"
+# $Id: $
-- 
cgit v1.2.3

