• [RFR] wml://lts/security/2021/dla-27{68,73,74,75,76,77}.wml

    From JP Guillonneau@21:1/5 to All on Sun Oct 3 08:40:01 2021
    Bonjour,

    Ces annonces de sécurité ont été publiées.
    Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
    https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml

    Merci d’avance pour vos relectures.

    Amicalement.

    --
    Jean-Paul

    #use wml::debian::translation-check translation="2facbcb0a2f73e903149c5b201138dc4fa00576b" maintainer="Jean-Paul Guillonneau"
    <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo>

    <p>Un problème a été découvert dans openssl1.0, une bibliothèque SSL (Secure
    Sockets Layer). Ce problème est relatif à des dépassements de tampon lors de lectures pendant le traitement de chaînes ASN.1.</p>


    <p>Pour Debian 9 « Stretch », ce problème a été corrigé dans
    la version 1.0.2u-1~deb9u6.</p>

    <p>Nous vous recommandons de mettre à jour vos paquets openssl1.0.</p>

    <p>Pour disposer d'un état détaillé sur la sécurité de openssl1.0, veuillez consulter sa page de suivi de sécurité à l'adresse :
    <a href="https://security-tracker.debian.org/tracker/openssl1.0">\ https://security-tracker.debian.org/tracker/openssl1.0</a>.</p>

    <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
    appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur :
    <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag>

    # do not modify the following line
    #include "$(ENGLISHDIR)/lts/security/2021/dla-2774.data"
    # $Id: $

    #use wml::debian::translation-check translation="5b1386f6fa8f762fa0618aaf308b9811ae60de93" maintainer="Jean-Paul Guillonneau"
    <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo>

    <p>Deux problèmes ont été découverts dans curl, un outil en ligne de commande
    et une bibliothèque coté client d’utilisation facile, pour transférer des données avec une syntaxe d’URL.</p>



    <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-22946">CVE-2021-22946</a>

    <p>Des réponses contrefaites du serveur pourraient obliger des clients à ne pas utiliser TLS sur des connexions quoique TLS est requis et attendu.</p></li>

    <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-22947">CVE-2021-22947</a>

    <p>Lors de l’utilisation de STARTTLS pour initialiser une connexion TLS,
    le serveur pourrait envoyer plusieurs réponses avant la mise à niveau de TLS de façon que le client les gère comme fiables. Cela pourrait être utilisé par
    un attaquant homme du milieu pour injecter des données de réponse contrefaites.</p>


    <p>Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans
    la version 7.52.1-5+deb9u16.</p>

    <p>Nous vous recommandons de mettre à jour vos paquets curl.</p>

    <p>Pour disposer d'un état détaillé sur la sécurité de curl,
    veuillez consulter sa page de suivi de sécurité à l'adresse :
    <a href="https://security-tracker.debian.org/tracker/curl">\ https://security-tracker.debian.org/tracker/curl</a>.</p>

    <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
    appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur :
    <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p></li>

    </ul>
    </define-tag>

    # do not modify the following line
    #include "$(ENGLISHDIR)/lts/security/2021/dla-2773.data"
    # $Id: $

    #use wml::debian::translation-check translation="a8750169a18aa9e9b4ef99592969611190f0e458" maintainer="Jean-Paul Guillonneau"
    <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo>
    <p>Deux problèmes de sécurité ont été trouvés dans TIFF, un format largement
    utilisé pour enregistrer des données d’image.</p>



    <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-19131">CVE-2020-19131</a>

    <p>Un dépassement de tampon dans LibTiff permet à des attaquants de provoquer un déni de service à l’aide de la fonction <q>invertImage()</q> dans le composant <q>tiffcrop</q>.</p></li>

    <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-19144">CVE-2020-19144</a>

    <p>Un dépassement de tampon dans LibTiff permet à des attaquants de provoquer un déni de service à l’aide de la fonction <q>_TIFFmemcpy</q> dans le composant <q>tif_unix.c</q>.</p></li>

    </ul>

    <p>Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans
    la version 4.0.8-2+deb9u7.</p>

    <p>Nous vous recommandons de mettre à jour vos paquets tiff.</p>

    <p>Pour disposer d'un état détaillé sur la sécurité de tiff,
    veuillez consulter sa page de suivi de sécurité à l'adresse :
    <a href="https://security-tracker.debian.org/tracker/tiff">\ https://security-tracker.debian.org/tracker/tiff</a>.</p>

    <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
    appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur :
    <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag>

    # do not modify the following line
    #include "$(ENGLISHDIR)/lts/security/2021/dla-2777.data"
    # $Id: $

    #use wml::debian::translation-check translation="9fa238e1e692e0e02c33ff312ffa3fcf144996f9" maintainer="Jean-Paul Guillonneau"
    <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo>
    <p>Plusieurs vulnérabilités ont été découvertes dans le serveur HTTP Apache.
    Un attaquant pourrait envoyer des requêtes à l’aide d’un mandataire à un serveur arbitraire, corrompre la mémoire dans quelques configurations impliquant des modules tiers et causer un plantage du serveur.</p>



    <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-34798">CVE-2021-34798</a>

    <p>Des requêtes mal formées pourraient faire que le serveur déréférence un pointeur NULL.</p></li>

    <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-39275">CVE-2021-39275</a>

    <p>ap_escape_quotes() peut écrire au-delà la fin d’un tampon lorsqu’une entrée malveillante est fournie. Aucun des modules inclus peut passer des données non fiables, mais des modules tiers ou externes le peuvent.</p></li>

    <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-40438">CVE-2021-40438</a>

    <p>Une requête contrefaite de chemin d’URI peut faire que mod_proxy retransmette la requête à un serveur d’origine choisi par l’utilisateur distant.</p></li>

    </ul>

    <p>Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans
    la version 2.4.25-3+deb9u11.</p>

    <p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>

    <p>Pour disposer d'un état détaillé sur la sécurité de apache2,
    veuillez consulter sa page de suivi de sécurité à l'adresse :
    <a href="https://security-tracker.debian.org/tracker/apache2">\ https://security-tracker.debian.org/tracker/apache2</a>.</p>

    <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
    appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur :
    <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag>

    # do not modify the following line
    #include "$(ENGLISHDIR)/lts/security/2021/dla-2776.data"
    # $Id: $

    #use wml::debian::translation-check translation="b33595fee8b981ba3dac37fc4bd8a273030977dc" maintainer="Jean-Paul Guillonneau"
    <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo>
    <p>Un problème de sécurité a été découvert dans plib.</p>

    <p>Une vulnérabilité de dépassement d’entier pourrait aboutir à une exécution
    de code arbitraire. La vulnérabilité réside dans la fonction ssgLoadTGA() dans
    le fichier src/ssg/ssgLoadTGA.cxx.</p>

    <p>Pour Debian 9 « Stretch », ce problème a été corrigé dans
    la version 1.8.5-7+deb9u1.</p>

    <p>Nous vous recommandons de mettre à jour vos paquets plib.</p>

    <p>Pour disposer d'un état détaillé sur la sécurité de plib,
    veuillez consulter sa page de suivi de sécurité à l'adresse :
    <a href="https://security-tracker.debian.org/tracker/plib">\ https://security-tracker.debian.org/tracker/plib</a>.</p>

    <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
    appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur :
    <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag>

    # do not modify the following line
    #include "$(ENGLISHDIR)/lts/security/2021/dla-2775.data"
    # $Id: $

    #use wml::debian::translation-check translation="b3dfbb5c8043412186f2e3f8450553d6845d8de4" maintainer="Jean-Paul Guillonneau"
    <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo>
    <p>Il a été découvert que le module mandataire uwsgi pour Apache2 (mod_proxy_uwsgi) peut lire au-delà la mémoire allouée lors du traitement d’une requête avec un chemin d’URI soigneusement contrefait. Un attaquant peut provoquer un plantage (déni de service).</p>

    <p>Pour Debian 9 « Stretch », ce problème a été corrigé dans
    la version 2.0.14+20161117-3+deb9u4.</p>

    <p>Nous vous recommandons de mettre à jour vos paquets uwsgi.</p>

    <p>Pour disposer d'un état détaillé sur la sécurité de uwsgi,
    veuillez consulter sa page de suivi de sécurité à l'adresse :
    <a href="https://security-tracker.debian.org/tracker/uwsgi">\ https://security-tracker.debian.org/tracker/uwsgi</a>.</p>

    <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
    appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur :
    <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag>

    # do not modify the following line
    #include "$(ENGLISHDIR)/lts/security/2021/dla-2768.data"
    # $Id: $

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Lucien Gentis@21:1/5 to All on Sun Oct 3 14:20:02 2021
    This is a multi-part message in MIME format.
    Bonjour,

    Coquilles et suggestions

    Lucien

    Le 03/10/2021 à 08:39, JP Guillonneau a écrit :
    Bonjour,

    Ces annonces de sécurité ont été publiées.
    Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
    https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml

    Merci d’avance pour vos relectures.

    Amicalement.

    --
    Jean-Paul

    --- dla-2773.wml.orig 2021-10-03 14:03:21.920157170 +0200
    +++ dla-2773.wml 2021-10-03 14:08:06.128701021 +0200
    @@ -3,7 +3,7 @@
    <define-tag moreinfo>

    <p>Deux problèmes ont été découverts dans curl, un outil en ligne de commande
    -et une bibliothèque coté client d’utilisation facile, pour transférer des +et une bibliothèque côté client d’utilisation facile, pour transférer des
    données avec une syntaxe d’URL.</p>


    @@ -11,7 +11,7 @@
    <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-22946">CVE-2021-22946</a>

    <p>Des réponses contrefaites du serveur pourraient obliger des clients à ne -pas utiliser TLS sur des connexions quoique TLS est requis et attendu.</p></li>
    +pas utiliser TLS sur des connexions bien que TLS soit requis et attendu.</p></li>

    <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-22947">CVE-2021-22947</a>


    --- dla-2776.wml.orig 2021-10-03 14:11:10.977906513 +0200
    +++ dla-2776.wml 2021-10-03 14:12:24.265008932 +020
  • From JP Guillonneau@21:1/5 to All on Tue Oct 5 08:50:01 2021
    Bonjour,

    le dimanche 03 octobre 14:16, Lucien Gentis a écrit :

    Coquilles et suggestions

    Merci Lucien, corrigées et intégrées.

    Autre appel à commentaire.


    Amicalement.

    --
    Jean-Paul

    #use wml::debian::translation-check translation="9fa238e1e692e0e02c33ff312ffa3fcf144996f9" maintainer="Jean-Paul Guillonneau"
    <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo>
    <p>Plusieurs vulnérabilités ont été découvertes dans le serveur HTTP Apache.
    Un attaquant pourrait envoyer des requêtes à l’aide d’un mandataire à un serveur arbitraire, corrompre la mémoire dans quelques configurations impliquant des modules tiers et causer un plantage du serveur.</p>



    <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-34798">CVE-2021-34798</a>

    <p>Des requêtes mal formées pourraient faire que le serveur déréférence un pointeur NULL.</p></li>

    <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-39275">CVE-2021-39275</a>

    <p>ap_escape_quotes() peut écrire au-delà de la fin d’un tampon lorsqu’une
    entrée malveillante est fournie. Aucun des modules inclus ne peut passer de données non fiables, mais des modules tiers ou externes le peuvent.</p></li>

    <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-40438">CVE-2021-40438</a>

    <p>Une requête contrefaite de chemin d’URI peut faire que mod_proxy retransmette la requête à un serveur d’origine choisi par l’utilisateur distant.</p></li>

    </ul>

    <p>Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans
    la version 2.4.25-3+deb9u11.</p>

    <p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>

    <p>Pour disposer d'un état détaillé sur la sécurité de apache2,
    veuillez consulter sa page de suivi de sécurité à l'adresse :
    <a href="https://security-tracker.debian.org/tracker/apache2">\ https://security-tracker.debian.org/tracker/apache2</a>.</p>

    <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
    appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur :
    <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag>

    # do not modify the following line
    #include "$(ENGLISHDIR)/lts/security/2021/dla-2776.data"
    # $Id: $

    #use wml::debian::translation-check translation="5b1386f6fa8f762fa0618aaf308b9811ae60de93" maintainer="Jean-Paul Guillonneau"
    <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo>

    <p>Deux problèmes ont été découverts dans curl, un outil en ligne de commande
    et une bibliothèque côté client d’utilisation facile, pour transférer des données avec une syntaxe d’URL.</p>



    <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-22946">CVE-2021-22946</a>

    <p>Des réponses contrefaites du serveur pourraient obliger des clients à ne pas utiliser TLS sur des connexions bien que TLS soit requis et attendu.</p></li>

    <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-22947">CVE-2021-22947</a>

    <p>Lors de l’utilisation de STARTTLS pour initialiser une connexion TLS,
    le serveur pourrait envoyer plusieurs réponses avant la mise à niveau de TLS de façon que le client les gère comme fiables. Cela pourrait être utilisé par
    un attaquant homme du milieu pour injecter des données de réponse contrefaites.</p>


    <p>Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans
    la version 7.52.1-5+deb9u16.</p>

    <p>Nous vous recommandons de mettre à jour vos paquets curl.</p>

    <p>Pour disposer d'un état détaillé sur la sécurité de curl,
    veuillez consulter sa page de suivi de sécurité à l'adresse :
    <a href="https://security-tracker.debian.org/tracker/curl">\ https://security-tracker.debian.org/tracker/curl</a>.</p>

    <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
    appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur :
    <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p></li>

    </ul>
    </define-tag>

    # do not modify the following line
    #include "$(ENGLISHDIR)/lts/security/2021/dla-2773.data"
    # $Id: $

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Jean-Pierre Giraud@21:1/5 to All on Mon Oct 11 00:20:02 2021
    This is an OpenPGP/MIME signed message (RFC 4880 and 3156) --7AGfXuNCcboaB4sp5AW6aEJAIrEZLn8i1
    Content-Type: multipart/mixed;
    boundary="------------BAC9C4B011BB75235C4C158D"
    Content-Language: fr

    This is a multi-part message in MIME format. --------------BAC9C4B011BB75235C4C158D
    Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: quoted-printable

    Bonjour,

    Le 05/10/2021 à 08:45, JP Guillonneau a écrit :
    Bonjour,

    le dimanche 03 octobre 14:16, Lucien Gentis a écrit :

    Coquilles et suggestions

    Merci Lucien, corrigées et intégrées.

    Autre appel à commentaire.


    Amicalement.

    --
    Jean-Paul
    Suggestions (préférences personnelles).
    amicalement,
    jipege

    --------------BAC9C4B011BB75235C4C158D
    Content-Type: text/x-patch; charset=UTF-8;
    name="dla-2773_jpg.diff"
    Content-Transfer-Encoding: quoted-printable
    Content-Disposition: attachment;
    filename="dla-2773_jpg.diff"

    --- /home/jpg1/webwml/french/lts/security/2021/dla-2773.wml 2021-10-05 09:52:24.763011966 +0200
    +++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-2773_jpg.wml 2021-10-11 00:08:36.189394366 +0200
    @@ -17,8 +17,8 @@

    <p>Lors de l’utilisation de STARTTLS pour initialiser une connexion TLS,
    le serveur pourrait envoyer plusieurs réponses avant la mise à niveau de TLS -de façon que le client les gère comme fiables. Cela pourrait être utilisé par
    -un attaquant homme du milieu pour injecter des données de réponse contrefaites.</p>
    +de façon que le client les gère comme des réponses fiables. Cela pourrait être utilisé par
    +un attaquant de type homme du milieu pour injecter des données de réponse contrefaites.</p>


    <p>Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans

    --------------BAC9C4B011BB75235C4C158D--

    --7AGfXuNCcboaB4sp5AW6aEJAIrEZLn8i1--

    -----BEGIN PGP SIGNATURE-----

    wsF5BAABCAAjFiEEcH/R3vmpi4JWBoDfeBP2a44wMXIFAmFjZQ4FAwAAAAAACgkQe