[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [RFR] wml://lts/security/2023/dla-36{01,{06,12}}.wml

Le 09/10/2023 à 15:38, JP Guillonneau a écrit :

Bonjour,

voici la traduction de nouvelles pages de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.


Bonjour,

Des détails et des suggestions
Pour la 3601, le contenu ne correspond pas à la version en ligne https://salsa.debian.org/webmaster-team/webwml/-/blob/master/english/lts/security/2023/dla-3601.wml 

Amicalement

Lucien

--- dla-3611.wml.orig	2023-10-09 16:19:46.843215296 +0200
+++ dla-3611.wml	2023-10-09 16:20:56.205917537 +0200
@@ -12,9 +12,9 @@
 <p>Thorsten Alteholz a découvert que le
 <a href="https://security-tracker.debian.org/tracker/CVE-2019-0053";>CVE-2019-0053</a>
 était intégré incorrectement dans inetutils 2:1.9.4-7+deb10u3. La vulnérabilité
-originelle subsistait : le client telnet d’ineutils ne validait pas suffisamment
+originelle subsistait : le client telnet d’inetutils ne validait pas suffisamment
 les variables d’environnement, ce qui pouvait conduire à des dépassements de
-tampon basé sur la pile (ce problème était limité à exploitation locale à partir
+tampon basé sur la pile (ce problème était limité à une exploitation locale à partir
 d’interpréteurs restreints).</p></li>
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-40303";>CVE-2023-40303</a>

--- dla-3610.wml.orig	2023-10-09 16:24:45.273624134 +0200
+++ dla-3610.wml	2023-10-09 16:26:43.179411558 +0200
@@ -28,14 +28,14 @@
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-26137";>CVE-2020-26137</a>
 
 <p>Il a été découvert qu’une injection CRLF était possible si l’attaquant
-contrôlait la méthode de requête HTTP, comme le montreait l’insertion de caractères
+contrôlait la méthode de requête HTTP, comme le montrait l’insertion de caractères
 de contrôle CR et LF dans le premier argument de <code>putrequest()</code>.
 Ce problème est similaire au <a de urllib href="https://security-tracker.debian.org/tracker/CVE-2020-26116";>CVE-2020-26116</a>.</p></li>
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-43804";>CVE-2023-43804</a>
 
 <p>Il a été découvert qu’un en-tête de requête <code>Cookie</code> n’est pas
-dépouillé lors de redirection multi-origine. Il était par conséquent possible
+dépouillé lors d'une redirection multi-origine. Il était par conséquent possible
 pour un utilisateur spécifiant un en-tête <code>Cookie</code> de faire fuiter
 sans s’en apercevoir des informations à l’aide de redirections HTTP vers une
 origine différente (à moins que l’utilisateur ne désactive explicitement les
@@ -44,7 +44,7 @@
 mais pour l’en-tête <code>Cookie</code> plutôt que <code>Authorization</code>.</p>
 
 <p>De plus, les en-têtes de requête <code>authorization</code> n’étaient pas
-supprimées lors de redirections intersites. Selon la
+supprimés lors de redirections intersites. Selon la
 <a href="https://datatracker.ietf.org/doc/html/rfc7230#section-3.2";>RFC7230 sec. 3.2</a>,
 les champs d’en-tête doivent être traités sans condition de casse.</p></li>
 

--- dla-3609.wml.orig	2023-10-09 16:27:51.578127529 +0200
+++ dla-3609.wml	2023-10-09 16:30:25.791231732 +0200
@@ -2,7 +2,7 @@
 <define-tag description>Mise à jour de sécurité pour LTS</define-tag>
 <define-tag moreinfo>
 <p>Le paquet prometheus-alertmanager, un composant de Prometheus, une
-application utilisé pour la supervision d’évènements et les alertes, était
+application utilisée pour la supervision d’évènements et les alertes, était
 vulnérable à une attaque XSS permanent.</p>
 
 <p>Alertmanager gère les alertes envoyées par les applications clientes telles

--- dla-3608.wml.orig	2023-10-09 16:34:16.520835486 +0200
+++ dla-3608.wml	2023-10-09 16:35:18.070716606 +0200
@@ -1,7 +1,7 @@
 #use wml::debian::translation-check translation="8afbe3a00a5793e3d8438b46c790fa3ca5eb8340" maintainer="Jean-Paul Guillonneau"
 <define-tag description>Mise à jour de sécurité pour LTS</define-tag>
 <define-tag moreinfo>
-<p>It a été découvert que la mise à jour de freerdp2 (voir la DLA-3606-1) créait
+<p>Il a été découvert que la mise à jour de freerdp2 (voir la DLA-3606-1) créait
 un bogue dans vinagre, qui casse les connexions RDP avec comme symptômes des
 écrans bloqués ou noirs.
 <p><b>Remarque</b> : sha256 est désormais utilisé au lieu de sha1 pour les

--- dla-3607.wml.orig	2023-10-09 16:36:08.404662710 +0200
+++ dla-3607.wml	2023-10-09 16:36:46.170592094 +0200
@@ -1,7 +1,7 @@
 #use wml::debian::translation-check translation="8afbe3a00a5793e3d8438b46c790fa3ca5eb8340" maintainer="Jean-Paul Guillonneau"
 <define-tag description>Mise à jour de sécurité pour LTS</define-tag>
 <define-tag moreinfo>
-<p>It a été découvert que la mise à jour de freerdp2 (voir la DLA-3606-1) créait
+<p>Il a été découvert que la mise à jour de freerdp2 (voir la DLA-3606-1) créait
 un bogue dans gnome-boxes, qui casse les connexions RDP avec comme symptômes des
 écrans bloqués ou noirs.
 <p><b>Remarque</b> : sha256 est désormais utilisé au lieu de sha1 pour les

--- dla-3606.wml.orig	2023-10-09 16:42:20.863656994 +0200
+++ dla-3606.wml	2023-10-09 16:59:02.611406514 +0200
@@ -76,14 +76,14 @@
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11040";>CVE-2020-11040</a>
 
-<p>Dans FreeRDP jusqu’à la version 2.0.0, une lecture hors limites de mémoire
+<p>Dans FreeRDP jusqu’à la version 2.0.0, une lecture hors limites de mémoire existait
 dans clear_decompress_subcode_rlex, visualisée sur l’écran comme couleur
 (correction faite dans la version 2.1.0).</p></li>
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11041";>CVE-2020-11041</a>
 
 <p>Dans FreeRDP jusqu’à la version 2.0.0, un indice extérieur au tableau
-contrôlé est utilisé non vérifié comme configuration pour le dorsal audio (alsa,
+contrôlé était utilisé non vérifié comme configuration pour le dorsal audio (alsa,
 oss, pulse, ...). Le résultat le plus probable était un plantage de l’instance du
 client suivi par un problème de son ou une déconnexion de session. Si un
 utilisateur ne pouvait pas mettre à niveau, un contournement était de désactiver
@@ -149,7 +149,7 @@
 <p>Dans FreeRDP après 1.1 et avant 2.0.0, une recherche hors limites dans le
 flux dans rdp_read_font_capability_set pouvait conduire à une lecture hors
 limites postérieure. En conséquence, un client manipulé ou un serveur pouvait
-forcer une déconnexion à cause de lecture de données non valables (correction
+forcer une déconnexion à cause d'une lecture de données non valables (correction
 faite dans la version 2.0.0).</p></li>
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11085";>CVE-2020-11085</a>
@@ -184,7 +184,7 @@
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11095";>CVE-2020-11095</a>
 
-<p>Dans FreeRDP avant la version 2.1.2, une lecture hors limites se produisait
+<p>Dans FreeRDP avant la version 2.1.2, une lecture hors limites se produisait,
 aboutissant à un accès d’emplacement de mémoire extérieur au tableau statique
 PRIMARY_DRAWING_ORDER_FIELD_BYTES (correction faite dans la version 2.1.2).</p></li>
 
@@ -197,7 +197,7 @@
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11097";>CVE-2020-11097</a>
 
-<p>Dans FreeRDP avant la version 2.1.2, une lecture hors limites se produisait
+<p>Dans FreeRDP avant la version 2.1.2, une lecture hors limites se produisait,
 aboutissant à un accèss d’emplacement de mémoire extérieur au tableau statique
 PRIMARY_DRAWING_ORDER_FIELD_BYTES (correction faite dans la version 2.1.2).</p></li>
 
@@ -225,11 +225,11 @@
 
 <p>Un problème a été découvert dans FreeRDP avant la version 2.1.1. Une
 vulnérabilité de lecture hors limites a été détectée dans security_fips_decrypt
-dans libfreerdp/core/security.c due à une valeur non initialisée..</p></li>
+dans libfreerdp/core/security.c due à une valeur non initialisée.</p></li>
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13398";>CVE-2020-13398</a>
 
-<p>Un problème a été découvert dans FreeRDP avantla version 2.1.1. Une
+<p>Un problème a été découvert dans FreeRDP avant la version 2.1.1. Une
 vulnérabilité d’écriture hors limites a été détectée dans crypto_rsa_common dans
 libfreerdp/crypto/crypto.c.</p></li>
 
@@ -301,11 +301,11 @@
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-39355";>CVE-2023-39355</a>
 
 <p>Des versions de FreeRDP de la branche 3.x avant la version beta3 étaient
-sujette a une utilisation de mémoire après libération lors du traitement de
+sujettes à une utilisation de mémoire après libération lors du traitement de
 paquets <q>RDPGFX_CMDID_RESETGRAPHICS</q>. Si <q>context->maxPlaneSize</q>
-était 0, <q>context->planesBuffer</q>était libéré. Cependant, sans mise à jour
-de <q>context->planesBuffer</q>, cela conduisait à un vecteur d’exploit
-d’utilisation de mémoire après libération. Dans la plupart des environnements
+était égal à 0, <q>context->planesBuffer</q> était libéré. Cependant, sans mise à jour
+de <q>context->planesBuffer</q>, cela conduisait à un vecteur d’exploitation
+d’utilisation de mémoire après libération. Dans la plupart des environnements,
 cela conduisait seulement à un plantage. Ce problème a été corrigé dans les
 versions 2.11.0 et 3.0.0-beta3. Une mise à niveau est conseillée. Il n’existe
 pas de contournement connu pour cette vulnérabilité.</p></li>
@@ -354,7 +354,7 @@
 
 <p>Des versions de FreeRDP étaient sujettes à une lecture hors limites dans la
 fonction <q>general_LumaToYUV444</q>. Cette lecture hors limites se produisait
-parce qu’un traitement le la variable <q>in</q> était réalisé sans vérifier la
+parce qu’un traitement de la variable <q>in</q> était réalisé sans vérifier la
 longueur suffisante des données. Une insuffisance pouvait provoquer des erreurs
 ou des plantages. Ce problème a été corrigé dans les
 versions 2.11.0 et 3.0.0-beta3. Une mise à niveau est conseillée. Il n’existe
Reply to: