Bonjour, voici la traduction de nouvelles pages de sécurité.
Merci d’avance pour vos relectures et commentaires. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="3c6c36b12d8fce77e606578dfdf60ae7b711471a" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes ont été trouvés dans modsecurity-crs, un ensemble de règles génériques de détection d’attaque utilisé avec ModSecurity ou des pare-feux d’application web compatible. Cela permettait à des attaquants distants de contourner le pare-feu d’applications web.</p> <p>Lors de l’utilisation de modsecurity-crs avec apache2/libapache2-modsecurity, assurez-vous de revoir votre configuration de modsecurity, habituellement /etc/modsecurity/modsecurity.conf, en vous servant de la configuration recommendée mise à jour, disponible dans /etc/modsecurity/modsecurity.conf-recommended : certaines des modifications des règles recommandées sont requises pour éviter le contournement de pare-feu d’applications web dans certaines circonstances.</p> <p>Veuillez remarquer que <a href="https://security-tracker.debian.org/tracker/CVE-2022-39956">CVE-2022-39956</a> \ nécessite un paquet modsecurity-apache mis à jour, qui a été précédemment téléversé dans Buster-security, consultez l’annonce LTS DLA-3283-1 de Debian pour plus de détails.</p> <p>Si vous utilisez une autre solution en connexion avec modsecurity-ruleset, par exemple, une qui utilise libmodsecurity3, votre solution peut produire une erreur avec un message tel que <q>Error creating rule: Unknown variable: MULTIPART_PART_HEADERS</q>. Dans ce cas, vous pouvez désactiver la mitigation pour le <a href="https://security-tracker.debian.org/tracker/CVE-2022-29956">CVE-2022-29956</a> \ en supprimant le fichier REQUEST-922-MULTIPART-ATTACK.conf. Cependant, soyez conscients que cela désactivera la protection et pourrait permettre à des attaquants de contourner votre pare-feu d’application web.</p> <p>Il n’y a pas de paquet dans Debian qui dépend de libmodsecurity3, aussi si vous n’avez que des logiciels de Debian, vous n’êtes pas touché par cette limitation.</p> <p>Merci à @airween pour l’aide pendant la préparation de cette mise à jour.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-16384">CVE-2018-16384</a> <p>Un contournement d’injection SQL (c’est-à-dire, contournement PL1) existait dans l’ensemble de règles centrales de ModSecurity d’OWASP (owasp-modsecurity-crs) jusqu’à la version 3.1.0-rc3 à l’aide de {`a`b} où a est un nom spécial de fonction (tel que <q>if</q>) et b est une déclaration SQL à exécuter.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-22669">CVE-2020-22669</a> <p>Modsecurity owasp-modsecurity-crs 3.2.0 (niveau PL1 de paranoïa) avait une vulnérabilité de contournement d’injection SQL. Des attaquants pouvaient utiliser les caractères de commentaire et des affectations de variable dans la syntaxe SQL pour contourner la protection WAF de Modsecurity et mettre en œuvre une attaque par injection SQL dans des applications web.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-39955">CVE-2022-39955</a> <p>L’ensemble de règles centrales de ModSecurity d’OWASP (CRS) était sujet à un contournement partiel lors de la soumission d’un champ d’en-tête Content-Type HTTP contrefait pour l'occasion qui indiquait plusieurs schémas d’encodage de caractères. Un dorsal vulnérable pouvait potentiellement être exploité en déclarant plusieurs noms <q>charset</q> de Content-Type et par conséquent contourner la liste permise de <q>charset</q> configurable de l’en-tête Content-Type CRS. Une charge utile encodée pouvait contourner la détection CRS de cette façon et pouvait être alors décodée par le dorsal. Les anciennes versions 3.0.x et 3.1.x de CRS sont affectées, ainsi que les versions 3.2.1 et 3.3.2 actuellement gérées. Les intégrateurs et les utilisateurs seraient bien avisés de mettre à niveau vers les versions 3.2.2 et 3.3.3 respectivement.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-39956">CVE-2022-39956</a> <p>L’ensemble de règles centrales de ModSecurity d’OWASP (CRS) était sujet à un contournement partiel de requêtes multiparties HTTP en soumettant une charge utile qui utilise un schéma d’encodage de caractères à l’aide de Content-Type ou des champs obsolètes d’en-tête MIME multipartie Content-Transfer-Encoding, qui ne seront pas décodés et inspectés par le moteur de pare-feu de l’application web et l’ensemble de règles. La charge multipartie contournait alors la détection. Un dorsal vulnérable qui gérait ces schémas d’encodage pouvait être éventuellement exploité. Les anciennes versions 3.0.x et 3.1.x de CRS sont affectées, ainsi que les versions 3.2.1 et 3.3.2 actuellement gérées. Les intégrateurs et les utilisateurs seraient avisés de mettre à niveau vers les versions 3.2.2 et 3.3.3 respectivement. La mitigation pour ces vulnérabilités dépend de l’installation de la dernière version de ModSecurity (versions 2.9.6/3.0.8).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-39957">CVE-2022-39957</a> <p>L’ensemble de règles centrales de ModSecurity d’OWASP (CRS) était sujet à un contournement de corps de réponse. Un client pouvait émettre un champ d’en-tête Accept HTTP contenant un paramètre facultatif <q>charset</q> afin de recevoir la réponse dans une forme encodée. Selon le <q>charset</q>, cette réponse pouvait ne pas être décodée par le pare-feu de l’application web. Une ressource restreinte, dont l’accès serait ordinairement détecté, pouvait par conséquent contourner la détection. Les anciennes versions 3.0.x et 3.1.x de CRS sont affectées, ainsi que les versions 3.2.1 et 3.3.2 actuellement gérées. Les intégrateurs et les utilisateurs seraient avisés de mettre à niveau vers les versions 3.2.2 et 3.3.3 respectivement.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-39958">CVE-2022-39958</a> <p>L’ensemble de règles centrales de ModSecurity d’OWASP (CRS) était sujet à un contournement de corps de réponse pour exfiltrer séquentiellement de petites et indétectables sections de données en soumettant de manière répétitive un champ d’en-tête Range HTTP avec un petit intervalle d’octets. Une ressource restreinte, dont l’accès serait ordinairement détecté, pourrait être exfiltrée du dorsal, bien que protégée par le pare-feu de l’application web qui utilise CRS. De courtes sous-sections de ressource restreinte pouvaient contourner les techniques de correspondance de modèles et permettre un accès non détecté. Les anciennes versions 3.0.x et 3.1.x de CRS sont affectées, ainsi que les versions 3.2.1 et 3.3.2 actuellement gérées. Les intégrateurs et les utilisateurs seraient avisés de mettre à niveau vers les versions 3.2.2 et 3.3.3 respectivement et de configurer le niveau paranoïa de CRS à 3 ou au-dessus.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans la version 3.2.3-0+deb10u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets modsecurity-crs.</p> <p>Pour disposer d'un état détaillé sur la sécurité de modsecurity-crs, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/modsecurity-crs">\ https://security-tracker.debian.org/tracker/modsecurity-crs</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3293.data" # $Id: $
#use wml::debian::translation-check translation="ae8be054da264fc499381ae635ac8ee2d4edaf00" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités ont été trouvées dans lemonldap-ng, un système OpenID-Connect, CAS et SAML, compatible Web-SSO, qui pouvaient aboutir à une divulgation d'informations ou une usurpation d’identité.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-16093">CVE-2020-16093</a> <p>Maxime Besson a découvert que LemonLDAP::NG avant la version 2.0.9 ne vérifiait pas la validité du certificat X.509 par défaut lors de la connexion à des dorsaux LDAP distants, parce que la configuration par défaut du module Net::LDAPS pour Perl était utilisée.</p> <p>Cette mise à jour change le comportement par défaut pour requérir une validation X.509 par rapport à l’ensemble <code>/etc/ssl/certs/ca-certificates.crt</code> de la distribution. Le comportement antérieur peut être rétabli en exécutant <code>/usr/share/lemonldap-ng/bin/lemonldap-ng-cli set ldapVerify none</code>.</p> <p>Si un dorsal de session est défini à Apache::Session::LDAP ou Apache::Session::Browseable::LDAP, alors la correction entière implique la mise à niveau du module Apache::Session correspondant (libapache-session-ldap-perl respectivement libapache-session-browseable-perl) à la version 0.4-1+deb10u1 (ou ⩾ 0.5) respectivement à la version 1.3.0-1+deb10u1 (ou ⩾ 1.3.8). Consultez les annonces relatives <a href="dla-3284">DLA-3284-1</a> et <a href="dla-3285">DLA-3285-1</a> pour plus de détails.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-37186">CVE-2022-37186</a> <p>Mickael Bride a découvert que, sous certaines conditions, la session demeurait valable sur les gestionnaires après avoir été détruite sur le portail.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans la version 2.0.2+ds-7+deb10u8.</p> <p>Nous vous recommandons de mettre à jour vos paquets lemonldap-ng.</p> <p>Pour disposer d'un état détaillé sur la sécurité de lemonldap-ng, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/lemonldap-ng">\ https://security-tracker.debian.org/tracker/lemonldap-ng</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3287.data" # $Id: $
#use wml::debian::translation-check translation="cb488de11d927d25ddf68f457a3c55a12a2f38be" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert que node-object-path, un module de Node.js pour accéder aux propriétés enfouies d’objet en utilisant des chemins séparés par des points, était vulnérable à une pollution de prototype.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3805">CVE-2021-3805</a> <p>Vulnérabilité de pollution de prototype dans les fonctions <code>del()</code>, <code>empty()</code>, <code>push()</code> et <code>insert()</code> lors de l’utilisation du mode <q>inherited props</q> (par exemple, quand une nouvelle instance <code>object-path</code> est créée avec l’option <code>includeInheritedProps</code> réglée à <code>true</code> ou lors de l’utilisation de l’instance par défaut <code>withInheritedProps</code>).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-23434">CVE-2021-23434</a> <p>Une vulnérabilité de confusion de type pouvait conduire à un contournement du correctif <a href="https://security-tracker.debian.org/tracker/CVE-2020-15256">CVE-2020-15256</a> \ quand les composants path utilisés dans le paramètre path sont des tableaux, car l’opérateur <code>===</code> renvoie toujours <code>false</code> quand le type d’opérandes est différent.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans la version 0.11.4-2+deb10u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets node-object-path.</p> <p>Pour disposer d'un état détaillé sur la sécurité de node-object-path, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/node-object-path">\ https://security-tracker.debian.org/tracker/node-object-path</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3291.data" # $Id: $
#use wml::debian::translation-check translation="94346e1c15d3e143ce47873de29cd62b534ed91a" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités ont été trouvées dans dojo, une boîte à outils modulaire en JavaScript, qui pouvaient aboutir à une divulgation d'informations.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-4051">CVE-2020-4051</a> <p>Le greffon LinkDialog de Dijit Editor de dojo, versions 1.14.0 à 1.14.7i est vulnérable à une attaque par script intersite (XSS).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-23450">CVE-2021-23450</a> <p>Vulnérabilité de pollution de prototype à l’aide de la fonction <code>setObject()</code>.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans la version 1.14.2+dfsg1-1+deb10u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets dojo.</p> <p>Pour disposer d'un état détaillé sur la sécurité de dojo, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/dojo">\ https://security-tracker.debian.org/tracker/dojo</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3289.data" # $Id: $
#use wml::debian::translation-check translation="8f6c46e38f1ed69bd126f4c9905edf56fd346871" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Dans Apache::Session::Browseable avant la version 1.3.6,la validité du certificat X.509 n’est pas vérifiée par défaut lors de la connexion à des dorsaux LDAP distants, parce que la configuration par défaut du module Net::LDAPS pour Perl était utilisée.</p> <p>Cette mise à jour change le comportement par défaut pour requérir une validation X.509 par rapport à l’ensemble <code>/etc/ssl/certs/ca-certificates.crt</code>. Le comportement antérieur peut être rétabli en exécutant <code>ldapVerify => "none"</code> lors de l’initialisation de l’objet Apache::Session::Browseable::LDAP. <p><b>Remarque</b> : cette mise à jour est un prérequis pour le correctif de LemonLDAP::NG <a href="https://security-tracker.debian.org/tracker/CVE-2020-16093">CVE-2020-16093</a> quand son dorsal de session est réglé à Apache::Session::Browseable::LDAP.</p> <p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans la version 1.3.0-1+deb10u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libapache-session-browseable-perl.</p> <p>Pour disposer d'un état détaillé sur la sécurité de libapache-session-browseable-perl, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/libapache-session-browseable-perl">\ https://security-tracker.debian.org/tracker/libapache-session-browseable-perl</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3285.data" # $Id: $
#use wml::debian::translation-check translation="a4525c596e0bd2e4b56d5e12a9e6094e0f806a80" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Dans Apache::Session::LDAP avant la version 0.5, la validité du certificat X.509 n’est pas vérifiée par défaut lors de la connexion à des dorsaux LDAP distants, parce que la configuration par défaut du module Net::LDAPS pour Perl était utilisée.</p> <p>Cette mise à jour change le comportement par défaut pour requérir une validation X.509 par rapport à l’ensemble <code>/etc/ssl/certs/ca-certificates.crt</code>. Le comportement antérieur peut être rétabli en exécutant <code>ldapVerify => "none"</code> lors de l’initialisation de l’objet Apache::Session::LDAP. <p><b>Remarque</b> : cette mise à jour est un prérequis pour le correctif de LemonLDAP::NG <a href="https://security-tracker.debian.org/tracker/CVE-2020-16093">CVE-2020-16093</a> quand son dorsal de session est réglé à Apache::Session::LDAP.</p> <p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans la version 0.4-1+deb10u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libapache-session-ldap-perl.</p> <p>Pour disposer d'un état détaillé sur la sécurité de libapache-session-ldap-perl, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/libapache-session-ldap-perl">\ https://security-tracker.debian.org/tracker/libapache-session-ldap-perl</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3284.data" # $Id: $