[RFR] wml://lts/security/2023/dla-36{67,75,80,81,82,83}.wml
Bonjour,
voici la traduction de nouvelles pages de sécurité.
Merci d’avance pour vos relectures et commentaires.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="20301b7a079106f6b49fe77cfa8400b7664917ee" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Rene Rehme a découvert une vulnérabilité de script intersite (XSS) dans
Roundcube, une solution web de messagerie personnalisable et basée sur AJAX pour
les serveurs IMAP. Cela pouvait permettre à un attaquant distant de charger du
code JavaScript arbitraire à partir de prévisualisation/téléchargement de pièces
jointes à l’aide de valeurs <code>Content-Type</code>
ou <code>Content-Disposition</code> contrefaites.</p>
<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 1.3.17+dfsg.1-1~deb10u5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets roundcube.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de roundcube,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/roundcube";>\
https://security-tracker.debian.org/tracker/roundcube</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3683.data"
# $Id: $
#use wml::debian::translation-check translation="c6ee0814828dde16e82a9618e06266e833c804a8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Des problèmes ont été trouvés dans ncurses, une collection de bibliothèques
partagées pour la gestion de terminaux, qui pouvaient conduire à un déni de
service.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-39537";>CVE-2021-39537</a>
<p>Il a été découvert que l’utilitaire <code>tic(1)</code> était susceptible à
un dépassement de tas pour une entrée contrefaite à cause d’une vérification de
limites incorrectes.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-29491";>CVE-2023-29491</a>
<p>Jonathan Bar Or, Michael Pearse et Emanuele Cozzi ont découvert que ncurses
était utilisé par une application setuid. Un utilisateur local pouvait
déclencher une corruption de mémoire relevant de la sécurité à l’aide de données
mal formées dans un fichier de base de données terminfo trouvé dans
<code>$HOME/.terminfo</code> ou accédé à l’aide des variables d’environnement
<code>TERMINFO</code> ou <code>TERM</code>.</p>
<p>Dans mitiger ce problème, ncurses désormais restreint les programmes exécutés
avec des privilèges élevés (programmes setuid/setgid). Les programmes exécutés
par le superutilisateur peuvent toujours charger des entrées terminfo
personnelles.</p>
<p>Cette modification aligne le comportement de ncurses dans Buster-security
avec celui de la dernière publication intermédiaire de Debian Bullseye
(6.2+20201114-2+deb11u2).</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 6.1+20181013-2+deb10u5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ncurses.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de ncurses,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/ncurses";>\
https://security-tracker.debian.org/tracker/ncurses</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3682.data"
# $Id: $
#use wml::debian::translation-check translation="d572d047697f64b5cabcc306a62d234a7cba8124" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>zbar, un numériseur de code-barre et de code QR était vulnérable.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-40889";>CVE-2023-40889</a>
<p>Un dépassement de tampon de tas existait dans la fonction
qr_reader_match_centers. Des codes QR contrefaits pour l'occasion
pouvaient conduire à une divulgation d'informations ou à l’exécution de code
arbitraire. Pour utiliser cette vulnérabilité, un attaquant pouvait
numériquement saisir un code QR malveillant, ou le préparer pour être numérisé
physiquement par un numériseur vulnérable.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-40890";>CVE-2023-40890</a>
<p>Un dépassement de pile existait dans la fonction lookup_sequence. Des codes
QR contrefait pour l'occasion pouvaient conduire à une divulgation
d'informations ou à l’exécution de code arbitraire. Pour utiliser cette
vulnérabilité, un attaquant pouvait numériquement saisir un code QR malveillant,
ou le préparer pour être numérisé physiquement par un numériseur vulnérable.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 0.22-1+deb10u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets zbar.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de zbar,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/zbar";>\
https://security-tracker.debian.org/tracker/zbar</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3675.data"
# $Id: $
#use wml::debian::translation-check translation="e7ff0121870d5dbbfe1b4d52f6d649718780e6e1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La version de Python de python-requestbuilder n’était pas conforme à PEP440
et pouvait casser des logiciels non relatifs tels que pip, un gestionnaire de
paquets de Python, utilisé pour le développement local de paquets de Python.</p>
<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 0.5.2-2+deb10u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python-requestbuilder.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de python-requestbuilder,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/python-requestbuilder";>\
https://security-tracker.debian.org/tracker/python-requestbuilder</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3667.data"
# $Id: $
#use wml::debian::translation-check translation="03b9b891db1aea7fb6af84ca6caa5f7c4c6715f1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Amanda, un système de
sauvegarde conçu pour des archives de plusieurs ordinateurs sur un réseau dans
un seul périphérique à bande magnétique de grande capacité. Ces vulnérabilités
permettaient éventuellement une élévation locale des privilèges de l’utilisateur
de sauvegarde à ceux du superutilisateur ou de divulguer si un répertoire
existait dans le système de fichiers.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-37703";>CVE-2022-37703</a>
<p>Dans Amanda 3.5.1, une vulnérabilité de fuite d'informations a été découverte
dans le binaire calcsize SUID. Un attaquant pouvait profiter de cette
vulnérabilité pour savoir si un répertoire existait ou pas dans le système de
fichiers. Le binaire utiliserait <q>opendir()</q> comme superutilisateur sans
vérifier le chemin, permettant à l’attaquant de fournir un chemin arbitraire.</p>
<p></p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-37705";>CVE-2022-37705</a>
<p>Un défaut d’élévation des privilèges a été découvert dans Amanda 3.5.1 avec
lequel l’utilisateur de sauvegarde pouvait acquérir les droits du
superutilisateur. Le composant vulnérable était le programme runtar SUID, qui
est une enveloppe pour exécuter /usr/bin/tar avec des arguments spécifiques
contrôlables par l’attaquant. Ce programme gèrait incorrectement les arguments
passés au binaire tar.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-30577";>CVE-2023-30577</a>
<p>Le binaire SUID <q>runtar</q> pouvait accepter des options de GNU tar
possiblement malveillantes si lui était fourni des options non argument débutant
avec <q>--exclude</q> (par exemple, --exclude-vcs). L’option qui suivait était
acceptée comme <q>valable</q> et cela pouvait être une option passant un
script/binaire qui était exécuté avec les permissions du superutilisateur.</p></li>
</ul>
<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 1:3.5.1-2+deb10u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets amanda.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de amanda,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/amanda";>\
https://security-tracker.debian.org/tracker/amanda</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3681.data"
# $Id: $
#use wml::debian::translation-check translation="4ad0cda6b8c4fa3098dccf1c3f9ee88154134b6e" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un problème (<a href="https://security-tracker.debian.org/tracker/CVE-2022-48521";>CVE-2022-48521</a>)
a été découvert dans OpenDKIM jusqu’à la version 2.10.3, et les versions 2.11.x
jusqu’à 2.11.0-Beta2. Il échouait à garder trace des nombres ordinaux lors de la
suppression les champs factices d’en-têtes Authentification-Results. Cela
permettait à un attaquant distant de contrefaire un message de courriel avec une
adresse d’expéditeur factice de telle façon que des programmes reposant sur
Authentification-Results de OpenDKIM traitaient le message comme ayant une
signature DKIM valable alors qu’en fait il n’en existait pas.</p>
<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 2.11.0~alpha-12+deb10u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets opendkim.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de opendkim,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/opendkim";>\
https://security-tracker.debian.org/tracker/opendkim</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3680.data"
# $Id: $
Reply to:
- Follow-Ups:
- Re: [RFR] wml://lts/security/2023/dla-36{67,75,80,81,82,83}.wml
- Re: [RFR] wml://lts/security/2023/dla-36{67,75,80,81,82,83}.wml
- Re: [RFR] wml://lts/security/2023/dla-36{67,75,80,81,82,83}.wml
- From: Lucien Gentis <lucien.gentis@waika9.com>