Bonjour, voici la traduction d’une nouvelle page de sécurité.
Merci d’avance pour vos relectures et commentaires. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="66c577e800db1a352e95c5d803b3626bcecc1a33" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité potentielle de contournement d’autorisation a été découverte dans Apache Zookeeper, un service de coordination haute performance pour les applications distribuées.</p> <p>Plus précisément, si l’authentification SASL Quorum Peer était activée à l’aide de <code>quorum.auth.enableSasl</code>, l’authentification était faite en vérifiant que la partie d’instance d’authentification d’ID SASL était listée dans la liste du serveur <code>zoo.cfg</code>. Cependant, cette valeur est facultative, et, si absente (telle que dans <code>e...@example.com</code>), la vérification d’authentification était omise. En conséquence, un terminal arbitraire pouvait rejoindre la grappe et commencer à propager des modifications contrefaites au leader, lui donnant essentiellement un accès en lecture et écriture complet à l’arbre des données.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-44981">CVE-2023-44981</a> <p>Contournement d’authentification à l’aide de la vulnérabilité de clé contrôlée par l’utilisateur dans Apache ZooKeeper. Si l’authentification SASL Quorum Peer était activée dans Zookeeper (quorum.auth.enableSasl=true), l’autorisation était faite en vérifiant que la partie d’instance d’authentification d’ID SASL était listée dans la liste du serveur zoo.cfg. Cependant, cette partie d’instance est facultative, et, si absente, tel que dans « e...@example.com », la vérification d’authentification était omise. En conséquence, un terminal arbitraire pouvait rejoindre la grappe et commencer à propager des modifications contrefaites au leader, lui donnant essentiellement un accès en lecture et écriture complet à l’arbre des données. L’authentification Quorum Peer n’est pas activée par défaut. Il est recommandé de mettre à niveau vers les versions 3.9.1, 3.8.3 et 3.7.2 qui corrigent ce problème. Sinon, vérifiez que la communication de l’ensemble élection/quorum soit protégée par un pare-feu car cela mitige le problème. Consultez la documentation pour plus de détails sur l’administration correcte d’une grappe.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans la version 3.4.13-2+deb10u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets zookeeper.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3624.data" # $Id: $