Bonjour, Dixit JP Guillonneau, le 08/08/2019 : >Ces annonces de sécurité ont été publiées. Corrections pour l'une d'elle, et proposition pour reformuler le dernier paragraphe (d'après ce que je comprends de l'original). Baptiste
--- 000001d0.dla-1872.wml 2019-08-09 14:13:36.548846133 +0200 +++ ./000001d0.dla-1872-bj.wml 2019-08-09 14:21:04.240084950 +0200 @@ -11,9 +11,9 @@ <p>Prévention dâ??un déni de service possible dans django.utils.text.Truncator.</p> -<p>Si les méthodes django.utils.text.Truncator's chars() et words() étaient -passées dans lâ??argument html=True, elles étaient extrêmement lentes à évaluer -certain entrées à cause dâ??une vulnérabilité de déni de service par expression +<p>Si lâ??argument html=True était passé aux méthodes chars() et words() +de django.utils.text.Truncator, elles étaient extrêmement lentes à évaluer +certaines entrées à cause dâ??une vulnérabilité de déni de service par expression rationnelle. Les méthodes chars() et words() sont utilisées pour mettre en Å?uvre les filtres de modèles truncatechars_html et truncatewords_html et étaient par conséquent vulnérables.</p> @@ -26,15 +26,15 @@ <p>Prévention dâ??un déni de service possible dans strip_tags().</p> -<p>Ã? cause du comportement de HTMLParserL sous-jacent, +<p>Ã? cause du comportement de HTMLParser sous-jacent, django.utils.html.strip_tags() serait extrêmement lent à évaluer certaines entrées contenant de larges séquences dâ??entités incomplètes HTML imbriquées. La méthode strip_tags() est utilisée pour mettre en Å?uvre les filtres de modèle « striptags » et était par conséquent aussi vulnérable.</p> -<p>strip_tags() désormais évite des appels récursifs à HTMLParser quand -lâ??avancement de suppression de balises, sauf forcement les entités HTML -incomplètes, cesse dâ??être fait.</p> +<p>Désormais strip_tags() évite les appels récursifs à HTMLParser lors de +lâ??avancement de la suppression de balises, mais le traitement des entités HTML +incomplètes cesse dâ??être fait.</p> <p>Il faut se rappeler que absolument AUCUNE garantie nâ??est fournie pour que le résultat de strip_tags() soit sûr du point de vue HTML. Aussi, ne JAMAIS marquer
Attachment:
pgp2a6uTMBucN.pgp
Description: Signature digitale OpenPGP