• [RFR] wml://lts/security/2021/dsa-5024{4,5}.wml

    From Jean-Pierre Giraud@21:1/5 to All on Sun Dec 19 18:10:01 2021
    This is an OpenPGP/MIME signed message (RFC 4880 and 3156) --6bQu80BXNiWCPfUad6TzenC3j0mqbkrpR
    Content-Type: multipart/mixed;
    boundary="------------2904EA0090061DBD5B7599D2"
    Content-Language: fr

    This is a multi-part message in MIME format. --------------2904EA0090061DBD5B7599D2
    Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: quoted-printable

    Bonjour,
    deux nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures.
    Amicalement,
    jipege

    --------------2904EA0090061DBD5B7599D2
    Content-Type: text/vnd.wap.wml; charset=UTF-8;
    name="dsa-5025.wml"
    Content-Transfer-Encoding: quoted-printable
    Content-Disposition: attachment;
    filename="dsa-5025.wml"

    #use wml::debian::translation-check translation="727d095ea7eda689dbdc7d41857727036c3ff25b" maintainer="Jean-Pierre Giraud"
    <define-tag description>Mise à jour de sécurité</define-tag>
    <define-tag moreinfo>
    <p>Un défaut a été découvert dans tang, un serveur de liaisons cryptographiques basé sur le réseau, qui pourrait avoir pour conséquence la divulgation de clés privées.</p>

    <p>Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 8-3+deb11u1.</p>

    <p>Nous vous recommandons de mettre à jour vos paquets tang.</p>

    <p>Pour disposer d'un état détaillé sur la sécurité de tang, veuillez consulter sa page de suivi de sécurité à l'adresse :
    <a href="https://security-tracker.debian.org/tracker/tang">\ https://security-tracker.debian.org/tracker/tang</a>.</p>
    </define-tag>

    # do not modify the following line
    #include "$(ENGLISHDIR)/security/2021/dsa-5025.data"
    # $Id: $

    --------------2904EA0090061DBD5B7599D2
    Content-Type: text/vnd.wap.wml; charset=UTF-8;
    name="dsa-5024.wml"
    Content-Transfer-Encoding: quoted-printable
    Content-Disposition: attachment;
    filename="dsa-5024.wml"

    #use wml::debian::translation-check translation="940fc08f633277cc6ff94f3fee14caa4f9fbc736" maintainer=""
    <define-tag description>Mise à jour de sécurité</define-tag>
    <define-tag moreinfo>
    <p>Il a été découvert que Log4j2 d'Apache, une infrastructure de journalisation pour Java, ne protégeait pas contre une récursion non contrôlée à partir de recherches auto-référencées. Quand la configuration de la journalisation utilise un schéma de motif autre que celui par défaut avec une recherche de contexte (par exemple, $${ctx:loginId}), des
    attaquants ayant le contrôle sur des données d'entrée de carte de contextes de thread (MDC), peuvent contrefaire des données d'entrée qui contiennent
    une recherche récursive, aboutissant à un déni de service.</p>

    <p>Pour la distribution oldstable (Buster), ce problème a été corrigé dans la version 2.17.0-1~deb10u1.</p>

    <p>Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 2.17.0-1~deb11u1.</p>

    <p>Nous vous recommandons de mettre à jour vos paquets apache-log4j2.</p>

    <p>Pour disposer d'un état détaillé sur la sécurité de apache-log4j2, veuillez consulter sa page de suivi de sécurité à l'adresse :
    <a href="https://security-tracker.debian.org/tracker/apache-log4j2">\ https://security-tracker.debian.org/tracker/apache-log4j2</a>.</p> </define-tag>

    # do not modify the following line
    #include "$(ENGLISHDIR)/security/2021/dsa-5024.data"
    # $Id: $

    --------------2904EA0090061DBD5B7599D2--

    --6bQu80BXNiWCPfUad6TzenC3j0mqbkrpR--

    -----BEGIN PGP SIGNATURE-----

    wsF5BAABCAAjFiEEcH/R3vmpi4JWBoDfeBP2a44wMXIFAmG/Zn0FAwAAAAAACgkQeBP2a44wMXJr sg//emF705mkiTiVB/c5zATc4jul7WNF1fh2FO068WgU/KO0GsNROUChdLZKB5OogZ5UhI0hg/Xe SaIJinwOLExs5VZXHMKiiYsag6xrdIToJcio5YwneTR75D9jVeWfc8iH5TrA65AoOg7QD2Jrsjrl DYrwlayqypa6NZX7F7HUcpzUCHsx2wJW5dW1SDCjd4P8GaI15wJeQYdveRnfJ/OKFrC7JS0HmKKT qbS5Mmf2R4BONMULgobXbj4BQCerpaLKXNVt9exCoDh8Y13tATOJmVuiht81M/DTqlvP61bcLMMx cWEEwrY1N8gj1x5IXAbXDYDNMrEd7fWPAIRhapRn+uG90GsBvyRthoQfVZCugU5W2fXGWvedrdri lDF/BjsKNRK8nB0FR4g/XR4gMrO/Xfp9DEkkendX8J8fbwDNuwtJg2NrWofj4iomK8HxQ2ZJbHVP Pn8HHJy4zWYxZNcZdSdNZkUXS6PhXhADNbCq8vYBDznlZWYs3XnCNQRfESfAqvl1PmdnkCCBMelV dhdkdecWq6To2jb10d7PLdtmc9ocWo/OIO72qN1tBMOehiX/iYMuxU41KylbE/6Bgv47CUoyKjel 9yyvcZR/Zaydu5oofXdTU/mMuU/bUEdcj+hBo9/vji8ziNCt6iNlsE6l+0+rNMwDoHYZArQJDkYU eqA=
    =nSVd
    -----END PGP SIGNATURE-----

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Lucien Gentis@21:1/5 to All on Mon Dec 20 11:30:01 2021
    This is a multi-part message in MIME format.
    Bonjour,

    Une suggestion

    Le 19/12/2021 à 18:06, Jean-Pierre Giraud a écrit :
    Bonjour,
    deux nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures.
    Amicalement,
    jipege

    --- dsa-5024.wml.orig 2021-12-20 11:22:18.175666033 +0100
    +++ dsa-5024.wml 2021-12-20 11:22:43.359233977 +0100
    @@ -7,7 +7,7 @@
    de la journalisation utilise un schéma de motif autre que celui par défaut
    avec une recherche de contexte (par exemple, $${ctx:loginId}), des
    attaquants ayant le contrôle sur des données d'entrée de carte de contextes -de thread (MDC), peuvent contrefaire des données d'entrée qui contiennent +de thread (MDC) peuvent contrefaire des données d'entrée qui contiennent
    une recherche récursive, aboutissant à un déni de service.</p>

    <p>Pour la distribution oldstable (Buster), ce problème a été corrigé dans

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)