[RFR2] wml://security/2014/dsa-3010.wml
Bonjour,
Le 23/08/2014 12:50, jean-pierre giraud a écrit :
> Bonjour,
>
> Le 23/08/2014 08:21, JP Guillonneau a écrit :
>> Bonjour,
>>
>> suggestion.
>>
>> Amicalement.
>>
> Comme vous avez pu le voir, j'ai butté sur la traduction de "scheme-relative URLs"
> En cherchant sur le web, j'ai trouvé notamment cette page :
> http://boiteaweb.fr/set_url_scheme-la-fonction-de-la-semaine-n11-7539.html
> mais ma connaissance de django proche de zéro (très proche...) ne m'a pas
> permis d'aller plus loin.
> « WordPress intègre donc une fonction nommée set_url_scheme() qui prends 2 paramètres : une URL et un scheme. Le but de cette fonction est de pouvoir modifier le scheme de l’URL passée en paramètre.
> Elle comprend aussi des schemes par défaut qui sont login_post, login, rpc, admin, et relative. »
> Tous vos avis sont bienvenus
Après avoir recherché à nouveau sur le net, je propose une nouvelle
traduction de scheme-relative URLs.
Merci d'avance pour vos relectures.
Amicalement
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Django, un environnement
de développement web de haut niveau en Python. Le projet « Common
Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0480";>CVE-2014-0480</a>
<p>Florian Apolloner a découvert que dans certaines situations, la recherche
inverse dâ??URL pourrait créer des URL relatives du plus haut niveau
(<q>scheme-relative</q>) qui pourrait rediriger un utilisateur de manière
inattendue vers un hôte différent, menant à des attaques d'hameçonnage.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0481";>CVE-2014-0481</a>
<p>David Wilson a signalé une vulnérabilité de déni de service d'envoi de
fichiers. Dans sa configuration par défaut, le traitement d'envoi de fichiers
de Django peut se dégrader en produisant un très grand nombre d'appels système
« os.stat() » lors de l'envoi d'un nom de fichier en double. Un attaquant
distant avec la capacité d'envoyer des fichiers peut altérer les performances
du traitement d'envoi, et éventuellement le rendre extrêmement lent.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0482";>CVE-2014-0482</a>
<p>David Greisen a découvert que dans certaines circonstances, l'utilisation
de l'intergiciel RemoteUserMiddleware et du moteur d'authentification
RemoteUserBackend pourrait faire qu'un utilisateur reçoive la session d'un
autre utilisateur, si une modification de l'en-tête REMOTE_USER se produit
sans les actions correspondantes de déconnexion et de reconnexion.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0483";>CVE-2014-0483</a>
<p>Collin Anderson a découvert qu'il est possible de révéler les données de
n'importe quel champ en modifiant les paramètres <q>popup</q> et
<q>to_field</q> de la chaîne de requête sur une page de formulaire de
modification d'administrateur. Un utilisateur avec l'accès à l'interface
d'administration, et avec une connaissance suffisante de la structure du
modèle et les URL appropriées, pourrait construire des vues additionnelles
(« popup ») qui pourraient afficher les valeurs de champs sans relation,
y compris des champs que le développeur de l'application n'avait pas
l'intention d'exposer de cette façon.</p></li>
</ul>
<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.5-1+deb7u8.</p>
<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.6.6-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3010.data"
# $Id: dsa-3010.wml,v 1.1 2014/08/22 22:49:06 jipege1-guest Exp $
Reply to: