[RFR] wml://lts/security/2023/dla-36{54,55}.wml

To: Debian-l10n French <debian-l10n-french@lists.debian.org>
Subject: [RFR] wml://lts/security/2023/dla-36{54,55}.wml
From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
Date: Sun, 19 Nov 2023 10:01:58 +0100
Message-id: <[🔎] 20231119100158.6df563bd@debian>

Bonjour,

voici la traduction de nouvelles pages de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.

-- 
Jean-Paul

#use wml::debian::translation-check translation="291f3ff330553cbc229695265c7c1c39bafa3797" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de dépassement de tampon a été découverte dans lwip, une
implémentation légère autonome de la suite de protocoles TCP/IPv4/IPv6. Elle
permettait à un attaquant d’accéder à des informations à l'aide de paquets
ICMPv6 contrefaits. Cette vulnérabilité a été assignée au
<a href="https://security-tracker.debian.org/tracker/CVE-2020-22283";>CVE-2020-22283</a>.</p>

<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 2.0.3-3+deb10u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets lwip.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de lwip,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/lwip";>\
https://security-tracker.debian.org/tracker/lwip</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3655.data"
# $Id: $

#use wml::debian::translation-check translation="625968d9bde742f2d7691d48b8c5eaa6dde5af63" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Bogue Debian : 1001062 1021659</p>

<p>Plusieurs vulnérabilités ont été découvertes dans freelrdp2, une
implémentation libre de RDP (Remote Desktop Protocol). Ces vulnérabilités
permettaient éventuellement de contourner l’authentification à cause d’erreurs
de configuration, des débordements de lecture de tampon, des vecteurs de déni de
service, des dépassements de tampon ou des accès de fichier en dehors du
répertoire partagé.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-41160";>CVE-2021-41160</a>

<p>Dans les versions affectées, un serveur malveillant pouvait déclencher une
écriture hors limites dans un client connecté. Des connexions utilisant GDI ou
SurfaceCommands pour envoyer des mises à jour graphiques pouvaient envoyer des
largeur/hauteur <q>0</q> ou des rectangles hors limites pour déclencher des
écritures hors limites. Avec une largeur ou hauteur <q>0</q> l’allocation de
mémoire était <q>0</q>, mais les vérifications manquantes de limites
permettaient d’écrire vers la région pointée (non allouée).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-24883";>CVE-2022-24883</a>

<p>Avant la version 2.7.0, l’authentification côté serveur par rapport un
fichier <q>SAM</q> pouvait être réussie pour des identifiants non valables si le
serveur avait configuré un chemin de <q>SAM</q> non valable. Les clients basés
sur FreeRDP n’étaient pas affectés. Les implémentations de serveur RDP utilisant
FreeRDP pour une authentification par rapport à un fichier <q>SAM</q> étaient
affectés. La version 2.7.0 contient un correctif pour ce problème. Comme
contournement, il faut utiliser une authentification personnalisée à l’aide de
<q>HashCallback</q> ou s’assurer que le chemin configuré de base de données
<q>SAM</q> est valable et que l’application abandonne les gestionnaires de
fichiers.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-39282";>CVE-2022-39282</a>

<p>Les clients basés sur FreeRDP sur les systèmes Unix utilisant le commutateur
de ligne de commande <q>/parallel</q> pouvaient lire des données non
initialisées et les envoyer au serveur auquel était connecté le client. Les
implémentations de serveur basées sur FreeRDP n’étaient pas affectées.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-39283";>CVE-2023-39283</a>

<p>Tous les clients basés sur FreeRDP lors de l’utilisation du commutateur de
ligne de commande <q>/video</q> pouvaient lire des données non initialisées, les
décoder comme audio/video et afficher le résultat. Les implémentations basées
sur FreeRDP n’étaient pas affectées.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-39316";>CVE-2022-39316</a>

<p>Dans les versions affectées, une lecture hors limites existait dans le
composant de décodeur ZGFX de FreeRDP. Un serveur malveillant pouvait amener
un client basé sur FreeRDP à lire des données hors limites et essayer de les
décoder, aboutissant vraisemblablement à un plantage.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-39318";>CVE-2022-39318</a>

<p>Dans les versions affectées de FreeRDP, des validations insuffisantes des
entrées existaient dans le canal <q>urbdrc</q>. Un serveur malveillant pouvait
amener un client basé sur FreeRDP à planter avec une division par zéro.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-39319";>CVE-2022-39319</a>

<p>Dans les versions affectées de FreeRDP, des validations manquantes de
longueur d’entrée existaient dans le canal <q>urbdrc</q>. Un serveur malveillant
pouvait amener un client basé sur FreeRDP à lire des données hors limites et les
renvoyer données au serveur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-39347";>CVE-2022-39347</a>

<p>Dans les versions affectées de FreeRDP, des vérifications manquantes de
chemin de base et de canonisations de chemin existaient pour le canal
<q>drive</q>. Un serveur malveillant pouvait amener un client basé sur FreeRDP
pour lire des fichiers en dehors du répertoire partagé.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-41877";>CVE-2022-41877</a>

<p>Dans les versions affectées de FreeRDP, des validations manquantes de
longueur d’entrée existaient dans le canal <q>drive</q>. Un serveur malveillant
pouvait amener un client basé sur FreeRDP à lire des données hors limites et les
renvoyer au serveur.</p>


<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 2.3.0+dfsg1-2+deb10u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets freerdp2.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de freerdp2,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/freerdp2";>\
https://security-tracker.debian.org/tracker/freerdp2</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li>

</ul>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3654.data"
# $Id: $

Reply to:

Follow-Ups:
- Re: [RFR] wml://lts/security/2023/dla-36{54,55}.wml
  - From: Lucien Gentis <lucien.gentis@waika9.com>

Prev by Date: Re: [RFR] po4a://manpages-fr/capabilities.7/po/fr.po f101 u80
Next by Date: Re: [RFR2] po4a://manpages-fr-dev/pthread_create.3/po/fr.po
Previous by thread: [LCFC] po4a://manpages-fr-dev/pthread_getattr_default_np.3/po/fr.po f 19 u8
Next by thread: Re: [RFR] wml://lts/security/2023/dla-36{54,55}.wml
Index(es):
- Date
- Thread