Re: [RFR] wml://security/2013/dsa-274{0,1}.wml
Bonjour,
Le 25/08/2013 23:41, Thomas Vincent a écrit :
Deux nouvelles annonces de sécurité ont été publiées, merci d'avance
pour vos relectures.
Propositions sur une.
Baptiste
--- dsa-2740.wml 2013-08-26 08:19:21.867492700 +0200
+++ ./dsa-2740-bj.wml 2013-08-26 08:19:22.008115900 +0200
@@ -6,13 +6,13 @@
Python.</p>
<p>La fonction utilitaire is_safe_url utilisée pour valider qu'une URL utilisée
-se trouve sur l'hôte courant pour éviter d'éventuelles redirections dangereuses
+se trouve sur l'hôte courant, et ainsi éviter d'éventuelles redirections dangereuses
à partir de requêtes contrefaites, fonctionnait comme prévu pour les URL HTTP
et HTTPS, mais permettait les redirections d'autres schémas, comme
javascript:.</p>
<p>La fonction is_safe_url a été modifiée pour reconnaître correctement et
-rejeter les URLs indiquant un autre schémas que HTTP ou HTTPS, pour prévenir
+rejeter les URLs indiquant un autre schémas que HTTP ou HTTPS, et donc prévenir
les attaques par script intersite par la redirection d'autres schémas.</p>
<p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.2.3-3+squeeze6.</p>
Reply to: