Bonjour, Le samedi 14 octobre 2023 à 16:48 +0200, Lucien Gentis a écrit : > Le 13/10/2023 à 18:18, Jean-Pierre Giraud a écrit : > > Bonjour, > > Cinq nouvelles annonces de sécurité ont été publiées. En voici une > Bonjour, > Détails > Amicalement > Lucien Passage en LCFC. Je renvoie les fichiers avec les corrections suggérées par Lucien. Merci d'avance pour vos ultimes relectures. amicalement, jipege
#use wml::debian::translation-check translation="81cdc9b7b397cb2660ed5ad85719bd31e3ddf364" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans mosquitto, un courtier de messages compatible avec MQTT, qui pouvaient être exploitées pour une attaque par déni de service.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-34434">CVE-2021-34434</a> <p>Dans Eclipse Mosquitto lors de l'utilisation du greffon de sécurité dynamique, si la capacité d'un client à réaliser des souscriptions à un sujet était révoquée pendant qu'un client persistant était hors ligne, alors les souscriptions existantes de ce client n'étaient pas révoquées.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-0809">CVE-2023-0809</a> <p>Correction d'une allocation excessive de mémoire basée sur des paquets initiaux malveillants qui n'étaient pas des paquets CONNECT.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-3592">CVE-2023-3592</a> <p>Correction d'une fuite de mémoire quand des clients envoyaient des paquets CONNECT v5 avec un message <q>will</q> qui contenait des types de propriété non valables.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-28366">CVE-2023-28366</a> <p>Le courtier dans Eclipse Mosquitto avait une fuite de mémoire qui pouvait être exploitée à distance quand un client envoyait beaucoup de message QoS 2 avec des identifiants de message dupliqués et échouait à répondre à des commandes PUBREC. Cela se produisait à cause du traitement incorrect de l'erreur EAGAIN provenant de la fonction <q>send</q> de libc.</p></li> <p>En complément, le <a href="https://security-tracker.debian.org/tracker/CVE-2021-41039">\ CVE-2021-41039</a> a été corrigé pour Debian 11 <q>Bullseye</q>.</p> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-41039">CVE-2021-41039</a> <p>Un client MQTT v5 se connectant avec un grand nombre de propriétés user-property pouvait provoquer une utilisation excessive du processeur, menant à une perte de performance et à un possible déni de service.</p></li> </ul> <p>Pour la distribution oldstable (Bullseye), ces problèmes ont été corrigés dans la version 2.0.11-1+deb11u1.</p> <p>Pour la distribution stable (Bookworm), ces problèmes ont été corrigés dans la version 2.0.11-1.2+deb12u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets mosquitto.</p> <p>Pour disposer d'un état détaillé sur la sécurité de mosquitto, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/mosquitto">\ https://security-tracker.debian.org/tracker/mosquitto</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2023/dsa-5511.data" # $Id: $
#use wml::debian::translation-check translation="fcacdca5f171cfc369f1eab4c0997997e53ca841" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été trouvées dans Jetty, un serveur web basé sur Java et un moteur de servlets.</p> <p>La classe org.eclipse.jetty.servlets.CGI est devenue obsolète. Son utilisation n’est plus sûre. Les développeurs amont de Jetty recommandent d’utiliser Fast CGI à la place. Voir aussi <a href="https://security-tracker.debian.org/tracker/CVE-2023-36479">CVE-2023-36479</a>.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-26048">CVE-2023-26048</a> <p>Dans les versions affectées, les servlets avec prise en charge multipart (par exemple, annotés <q>@MultipartConfig</q>) qui appelaient <q>HttpServletRequest.getParameter()</q> ou <q>HttpServletRequest.getParts()</q> pouvaient provoquer un <q>OutOfMemoryError</q> quand le client envoyait une requête multipart avec une partie ayant un nom, mais pas de nom de fichier et un contenu très important. Cela arrivait même avec le réglage par défaut de <q>fileSizeThreshold=0</q> qui diffusait le contenu entier de la partie sur le disque.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-26049">CVE-2023-26049</a> <p>Une analyse non standard de cookie dans Jetty pouvait permettre à un attaquant d’introduire clandestinement des cookies dans d’autres cookies, ou de provoquer un comportement inattendu en altérant le mécanisme d’analyse de cookie.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-40167">CVE-2023-40167</a> <p>Avant cette version, Jetty acceptait le caractère <q>+</q> en traitant la valeur content-length dans le champ d’en-tête HTTP/1. Cela était plus permissif que ce qui était autorisé par la RFC et les autres serveurs rejetaient systématiquement de telles requêtes avec des réponses 400. Aucun scénario d’exploitation de cela n’est connu, mais il est concevable que ce trafic de requête pouvait aboutir si jetty était utilisé en combinaison avec un serveur qui ne fermait pas la connexion après l'envoi d’une telle réponse 400.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-36479">CVE-2023-36479</a> <p>Les utilisateurs de CgiServlet avec une structure particulière de commande pouvaient avoir une mauvaise commande exécutée. Si un utilisateur envoyait une requête à un servlet org.eclipse.jetty.servlets.CGI pour un binaire avec une espace dans son nom, le servlet protégeait la commande en l'enveloppant dans des guillemets. Cette commande enveloppée, plus un préfixe de commande facultatif, était alors exécutée à travers un appel à Runtime.exec. Si le nom originel du binaire fourni par l'utilisateur contenait un guillemet suivi par une espace, la ligne de commande résultante contenait plusieurs caractères génériques au lieu d’un seul.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-41900">CVE-2023-41900</a> <p>Jetty était vulnérable à une authentification faible. Si un <q>OpenIdAuthenticator</q> de Jetty utilisait le <q>LoginService</q> imbriqué optionnel, et si le <q>LoginService</q> décidait de révoquer un utilisateur déjà authentifié, la requête en cours continuait à traiter l'utilisateur comme authentifié. L'authentification était ensuite enlevée de la session et les requêtes suivantes n'étaient pas traitées comme authentifiées. Ainsi une requête sur une session précédemment authentifiée pouvait être autorisée à contourner l'authentification après avoir été rejetée par le <q>LoginService</q>. Cela impactait les utilisations de jetty-openid qui avaient configuré un <q>LoginService</q> imbriqué et où ce <q>LoginService</q> avait la capacité de rejeter des utilisateurs précédemment authentifiés.</p></li> </ul> <p>Pour la distribution oldstable (Bullseye), ces problèmes ont été corrigés dans la version 9.4.39-3+deb11u2.</p> <p>Pour la distribution stable (Bookworm), ces problèmes ont été corrigés dans la version 9.4.50-4+deb12u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets jetty9.</p> <p>Pour disposer d'un état détaillé sur la sécurité de jetty9, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/jetty9">\ https://security-tracker.debian.org/tracker/jetty9</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2023/dsa-5507.data" # $Id: $
Attachment:
signature.asc
Description: This is a digitally signed message part