1. Forum
  2. Usenet
  3. LINUX.DEBIAN.L10N.FRENCH

  • [RFR] wml://lts/security/2021/dla-2780.wml

    From JP Guillonneau@21:1/5 to All on Thu Oct 14 10:40:01 2021
    Bonjour,

    Ces annonces de sécurité ont été publiées.
    Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
    https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml

    Merci d’avance pour vos relectures.

    Amicalement.

    --
    Jean-Paul

    #use wml::debian::translation-check translation="999c71c6d7ff246653a7f1ce91ea018e1943e80f" maintainer="Jean-Paul Guillonneau"
    <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo>
    <p>Plusieurs vulnérabilités ont été découvertes dans ruby2.3, un interpréteur
    de script du langage Ruby orienté objet.</p>



    <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-31799">CVE-2021-31799</a>

    <p>Dans RDoc 3.11 jusqu’à la version 6.x avant la version 6.3.1, comme fourni
    avec Ruby jusqu’à la version 2.3.3, il est possible d’exécuter du code arbitraire à l’aide de « | » et de balises dans un nom de fichier.</p></li>

    <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-31810">CVE-2021-31810</a>

    <p>Un problème a été découvert dans Ruby jusqu’à la version 2.3.3. Un serveur
    FTP malveillant peut utiliser la réponse PASV pour amener Net::FTP à se reconnecter à une adresse IP et un port donnés. Cela potentiellement conduit curl à extraire des informations sur des services qui sont privées et non sujettes à divulgation (par exemple, un attaquant peut réaliser un balayage de
    ports et des extractions de bannière de service).</p></li>

    <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-32066">CVE-2021-32066</a>

    <p>Un problème a été découvert dans Ruby jusqu’à la version 2.3.3. Net::IMAP
    ne lève pas d’exception quand StartTLS échoue lors d’une réponse inconnue.
    Cela pourrait permettre à des attaquants de type « homme du milieu » de contourner les protections TLS en exploitant une position du réseau entre le client et le registre pour bloquer la commande StartTLS, c’est-à-dire une « StartTLS stripping attack ».</p></li>

    </ul>

    <p>Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans
    la version 2.3.3-1+deb9u10.</p>

    <p>Nous vous recommandons de mettre à jour vos paquets ruby2.3.</p>

    <p>Pour disposer d'un état détaillé sur la sécurité de ruby2.3,
    veuillez consulter sa page de suivi de sécurité à l'adresse :
    <a href="https://security-tracker.debian.org/tracker/ruby2.3">\ https://security-tracker.debian.org/tracker/ruby2.3</a>.</p>

    <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
    appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur :
    <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag>

    # do not modify the following line
    #include "$(ENGLISHDIR)/lts/security/2021/dla-2780.data"
    # $Id: $

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Lucien Gentis@21:1/5 to All on Thu Oct 14 13:10:01 2021
    This is a multi-part message in MIME format.
    Bonjour,

    Un autre détail

    Le 14/10/2021 à 12:26, Grégoire Scano a écrit :
    Bonjour,

    On 10/14/21 4:35 PM, JP Guillonneau wrote:
    Ces annonces de sécurité ont été publiées.
    Les fichiers sont aussi disponibles ici :
    https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
    https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml
    un détail.

    Bien cordialement,
    Grégoire

    --- dla-2780.wml.orig 2021-10-14 12:57:44.549743617 +0200
    +++ dla-2780.wml 2021-10-14 13:00:25.871729289 +0200
    @@ -24,7 +24,7 @@
    <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-32066">CVE-2021-32066</a>

    <p>Un problème a été découvert dans Ruby jusqu’à la version 2.3.3. Net::IMAP
    -ne lève pas d’exception quand StartTLS échoue lors d’une réponse inconnue.
    +ne déclenche pas d’exception quand StartTLS échoue lors d’une réponse inconnue.
    Cela pourrait permettre à des attaquants de type « homme du milieu » de
    contourner les protections TLS en exploitant une position du réseau entre le
    client et le registre pour bloquer la commande StartTLS, c’est-à-dire une

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?UTF-8?Q?Gr=c3=a9goire_Scano?=@21:1/5 to JP Guillonneau on Thu Oct 14 12:40:01 2021
    This is a multi-part message in MIME format.
    Bonjour,

    On 10/14/21 4:35 PM, JP Guillonneau wrote:
    Ces annonces de sécurité ont été publiées.
    Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
    https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml

    un détail.

    Bien cordialement,
    Grégoire

    --- dla-2780.wml 2021-10-14 18:22:50.027787173 +0800
    +++ gscano.dla-2780.wml 2021-10-14 18:24:55.681126390 +0800
    @@ -16,7 +16,7 @@

    <p>Un problème a été découvert dans Ruby jusqu’à la version 2.3.3. Un serveur
    FTP malveillant peut utiliser la réponse PASV pour amener Net::FTP à se -reconnecter à une adresse IP et un port donnés. Cela potentiellement conduit +reconnecter à une adresse IP et un port donnés. Potentiellement, cela conduit
    curl à extraire des informations sur des services qui sont privées et non
    sujettes à divulgation (par exemple, un attaquant peut réaliser un balayage de
    ports et des extractions de bannière de service).</p></li>

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)