• [RFR] wml://security/2021/dsa-5020.wml

    From Jean-Pierre Giraud@21:1/5 to All on Sun Dec 12 10:40:01 2021
    This is an OpenPGP/MIME signed message (RFC 4880 and 3156) --dOUXQ7o5gFnlqW7B7WWLZERM61WNs2Cso
    Content-Type: multipart/mixed;
    boundary="------------0036A76194B552583A2E559C"
    Content-Language: fr

    This is a multi-part message in MIME format. --------------0036A76194B552583A2E559C
    Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: quoted-printable

    Bonjour,
    Une nouvelle annonce de sécurité vient d'être publiée. En voici une traduction. Merci d'avance pour vos relectures.
    Amicalement,
    jipege

    --------------0036A76194B552583A2E559C
    Content-Type: text/vnd.wap.wml; charset=UTF-8;
    name="dsa-5020.wml"
    Content-Transfer-Encoding: quoted-printable
    Content-Disposition: attachment;
    filename="dsa-5020.wml"

    #use wml::debian::translation-check translation="9d48707cc1410dc9bc5673e6b67304a923f19557" maintainer="Jean-Pierre Giraud"
    <define-tag description>Mise à jour de sécurité</define-tag>
    <define-tag moreinfo>
    <p>Chen Zhaojun de l'équipe Alibaba Cloud Security a découvert une vulnérabilité de sécurité critique dans Log4j d'Apache, une infrastructure de
    journalisation répandue pour Java. La fonction JNDI utilisée dans la configuration, les messages de journal et les paramètres ne protégeait pas d'un LDAP et d'autres points de terminaison liés à JNDI contrôlés par un attaquant. Un attaquant qui peut contrôler les messages ou les paramètres
    de messages de journal peut exécuter du code arbitraire chargé à partir de serveurs LDAP quand la recherche/substitution de messages est active. Ce comportement a été désactivé par défaut à partir de la version  2.15.0.</p>

    <p>Cette mise à jour corrige également le
    <a href="https://security-tracker.debian.org/tracker/CVE-2020-9488">\ CVE-2020-9488</a> dans la distribution oldstable (Buster). Une validation incorrecte de certificat avec erreur d'hôte dans le flux (« appender ») SMTP de log4j d'Apache. Cela pourrait permettre l'interception d'une
    connexion SMTPS par une attaque de type homme du milieu qui pourrait
    aboutir à une divulgation de n'importe quel message de journal envoyé au moyen de cet « appender ».</p>

    <p>Pour la distribution oldstable (Buster), ce problème a été corrigé dans la version 2.15.0-1~deb10u1.</p>

    <p>Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 2.15.0-1~deb11u1.</p>

    <p>Nous vous recommandons de mettre à jour vos paquets apache-log4j2.</p>

    <p>Pour disposer d'un état détaillé sur la sécurité de apache-log4j2, veuillez consulter sa page de suivi de sécurité à l'adresse :
    <a href="https://security-tracker.debian.org/tracker/apache-log4j2">\ https://security-tracker.debian.org/tracker/apache-log4j2</a>.</p> </define-tag>

    # do not modify the following line
    #include "$(ENGLISHDIR)/security/2021/dsa-5020.data"
    # $Id: $

    --------------0036A76194B552583A2E559C--

    --dOUXQ7o5gFnlqW7B7WWLZERM61WNs2Cso--

    -----BEGIN PGP SIGNATURE-----

    wsF5BAABCAAjFiEEcH/R3vmpi4JWBoDfeBP2a44wMXIFAmG1wcIFAwAAAAAACgkQeBP2a44wMXJK Cg/9EXpbvG/apCS1A+h2Up92NQhmfwDEi2PIXI3YzAhm9ft0fbS6qRfmI4kNbbQR198idalCA4UU 7auuaH8+1nk8DH7WKkAH2Vue3X+yskvrUfjdtr5eVjum7NAvN5yj0IWj2711Q/tuvoUF8MsiGJJl qANJTmH+3Q5nEZtx/bFGQrlz/CHwpj5AFd7n8J5uKThURUGu0yaV2PBG3vPlzh5kyk5njFG4E1M6 Mhkmu9+Lly08YpFMtI3PXSS2jfxwx0ZWQCQCdeiEQfENDJWf0X9h/sDOJE9eaKcNu1EAAgTa7pnL I0C6L8A+J33Z6Za2xwgMBiISp4y8zINIv7fAgY5suv8mNjs94edHSfP2O37GU6yPt37AvnUEYyJG VUn2UkUnw3ZLt0xYKPsq7h6WVIIkguF90CADUix0vKaCinBJ6VTdV22mTfvXpqVtg9Nf4muJYw5a i+f/db4lg8Cw05npoXukgB29+wXjEO2QvLJu12cF9hhEDRbCsxgtHt8IDPSVxcGMDg/vnzcVxQTA Xw5gkvLD/7ov21vc4J6P5/ODx/WzE4eIhvN1maPVrzhylXdqV/JgbS4kfG9Q+i/B2pA9IWQLaCtT N7istfF5iy/rpwtztTepfZxy2vG8qH0rUfURCS4c4EYlF15Npy6j6tIgCFAsGpMYuQQvmqnoy11u BHg=
    =41ir
    -----END PGP SIGNATURE-----

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From bubu@21:1/5 to All on Sun Dec 12 10:50:02 2021
    This is a multi-part message in MIME format.
    Bonjour,

    suggestions,

    amicalement,

    bubu

    Le 12/12/2021 à 10:32, Jean-Pierre Giraud a écrit :
    Bonjour,
    Une nouvelle annonce de sécurité vient d'être publiée. En voici une traduction. Merci d'avance pour vos relectures.
    Amicalement,
    jipege

    --- dsa-5020.wml 2021-12-12 10:43:17.236852915 +0100
    +++ dsa-5020.relu.wml 2021-12-12 10:45:58.071298459 +0100
    @@ -4,10 +4,10 @@
    <p>Chen Zhaojun de l'équipe Alibaba Cloud Security a découvert une
    vulnérabilité de sécurité critique dans Log4j d'Apache, une infrastructure de
    journalisation répandue pour Java. La fonction JNDI utilisée dans la -configuration, les messages de journal et les paramètres ne protégeait pas +configuration, les messages de journal et les paramètres ne protégeaient pas
    d'un LDAP et d'autres points de terminaison liés à JNDI contrôlés par un
    attaquant. Un attaquant qui peut contrôler les messages ou les paramètres -de messages de journal peut exécuter du code arbitraire chargé à partir de +de messages de journal, peut exécuter du code arbitraire chargé à partir de
    serveurs LDAP quand la recherche/substitution de messages est active. Ce
    comportement a été désactivé par défaut à partir de la version  2.15.0.</p>

    --- SoupGate-Win32 v1.05