[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [RFR] wml://security/2014/dla-6{5,6,7,8,9}.wml

Bonjour,
Le 24/07/2017 à 08:04, JP Guillonneau a écrit :
> Bonjour,
> Voici quelques traductions de dla.
> Merci d'avance pour vos relectures.
> Amicalement.
> --
> Jean-Paul
Suggestions, pinaillages et préférences personnelles...
Amicalement,
jipege


--- dla-65.wml	2017-07-24 10:33:58.537263646 +0200
+++ dla-65jpg.wml	2017-07-26 09:55:50.607878063 +0200
@@ -17,15 +17,15 @@
 <p>Django est fourni avec une fonction dâ??assistance
 django.core.urlresolvers.reverse, classiquement utilisée pour créer un URL à
 partir dâ??une référence pour inspecter une fonction ou un nom de modèle dâ??URL.
-Cependant, lorsque une entrée est présentée avec deux barres obliques (//),
+Cependant, lorsqu'une entrée est présentée avec deux barres obliques (//),
 reverse() pourrait créer un URL fonction du modèle à dâ??autres hôtes, permettant
 à un attaquant conscient de lâ??usage non sûr de reverse(), (c'est-à-dire pour
-prendre un cas courant, dans une situation ou un utilisateur final peut
+prendre un cas courant, dans une situation où un utilisateur final peut
 contrôler la cible dâ??une redirection), de créer des liens vers les sites de son
 choix, dâ??activer lâ??hameçonnage ou dâ??autres attaques.</p>
 
-<p>Pour remédier à cela, la résolution inversée dâ??URL (URL reversing)
-dorénavant veille quâ??aucun URL ne commence avec deux barres obliques (//), en
+<p>Pour remédier à cela, la résolution inverse dâ??URL (URL reversing)
+veille dorénavant à ce quâ??aucun URL ne commence avec deux barres obliques (//), en
 remplaçant la seconde barre oblique par sa contrepartie encodée dâ??URL (%2F).
 Cette approche garantit que les sémantiques restent les mêmes, tout en rendant
 les URL relatifs au domaine et non au modèle.</p></li>
@@ -41,7 +41,7 @@
 fichier existant.</p>
 
 <p>Un attaquant connaissant cela peut exploiter le comportement séquentiel de
-la création de nom de fichier, en téléversant de nombreuses petits fichiers qui
+la création de nom de fichier, en téléversant de nombreux petits fichiers qui
 ont en commun un nom de fichier. Django, dans leur traitement, créera des
 nombres continuellement croissant dâ??appels de os.stat() en essayant de créer un
 nom de fichier unique. Par conséquent, même un nombre relativement petit de
@@ -49,7 +49,7 @@
 performances.</p>
 
 <p>Pour remédier à cela, le système de téléversement de fichier de Django
-nâ??utilisera plus les noms avec nombres séquentiels pour éviter des conflits de
+nâ??utilisera plus de noms avec nombres séquentiels pour éviter des conflits de
 noms de fichier sur le disque. � la place, une chaîne alphanumérique courte et
 aléatoire sera ajoutée, supprimant la possibilité de créer de manière fiable
 plusieurs noms de fichier continuellement différents.</p></li>
@@ -61,12 +61,12 @@
 utilisant lâ??en-tête REMOTE_USER en vue dâ??authentification.</p>
 
 <p>Dans quelques circonstances, lâ??utilisation de ces intergiciel et dorsal
-pourrait conduire à ce quâ??un utilisateur reçoive une autre session
-dâ??utilisateur, si une modification de lâ??en-tête REMOTE_USER se produit sans
+pourrait conduire à ce quâ??un utilisateur reçoive la session d'un autre
+utilisateur, si une modification de lâ??en-tête REMOTE_USER se produit sans
 action de connexion ou déconnexion.</p>
 
-<p>Pour remédier à cela, lâ??intergiciel dorénavant garantit quâ??un changement
-dans REMOTE_USER sans une déconnexion explicite forcera une connexion avant
+<p>Pour remédier à cela, lâ??intergiciel garantit dorénavant quâ??un changement
+dans REMOTE_USER, sans une déconnexion explicite, forcera une connexion avant
 dâ??accepter un nouveau REMOTE_USER.</p></li>
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0483";>CVE-2014-0483</a>
@@ -76,7 +76,7 @@
 une fenêtre surgissante. Le mécanisme pour cela repose sur le placement de
 valeurs dans lâ??URL et de chaînes de requête qui indiquent le modèle concerné
 à afficher et le champ dans lequel le lien est implémenté. Ce mécanisme doit
-réaliser les vérifications de permission au niveau de la classe du modèle dans
+réaliser des vérifications de permission au niveau de la classe du modèle dans
 son ensemble.</p>
 
 <p>Ce mécanisme, cependant, ne vérifiait pas que le champ indiqué représentait
@@ -84,7 +84,7 @@
 accès à lâ??interface dâ??administration et avec une connaissance suffisante de la
 structure du modèle et des URL adéquats, pourrait construire des fenêtres
 surgissantes qui pourraient afficher des valeurs de champs non liés, y compris des
-champs que le développeur de lâ??application nâ??a pas prévu dâ??exposer dâ??une telle
+champs que le développeur de lâ??application nâ??avait pas prévu dâ??exposer de cette
 façon.</p>
 
 <p>Pour remédier à cela, lâ??interface administrative, en plus de ses

--- dla-66.wml	2017-07-24 10:33:58.557264078 +0200
+++ dla-66jpg.wml	2017-07-26 09:37:29.979233696 +0200
@@ -7,7 +7,8 @@
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0231";>CVE-2014-0231</a> :
 <p>Empêchement dâ??un déni de service dans mod_cgid.</p></li>
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0226";>CVE-2014-0226</a> :
-<p>Empêchement dâ??un déni de service à lâ??aide de race dans mod_status.</p></li>
+<p>Empêchement dâ??un déni de service à lâ??aide d'une situation de compétition
+dans mod_status.</p></li>
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0118";>CVE-2014-0118</a> :
 <p>Correction de consommation de ressources à lâ??aide de la décompression du
 corps de mod_deflate.</p></li>

--- dla-67.wml	2017-07-24 10:33:58.569264337 +0200
+++ dla-67jpg.wml	2017-07-26 09:33:23.688819311 +0200
@@ -8,7 +8,7 @@
 
 <p>Le correctif original pour <a href="https://security-tracker.debian.org/tracker/CVE-2013-7345";>CVE-2013-7345</a>
 ne corrige pas suffisamment le problème. Un attaquant distant pourrait encore
-causer un déni de service (consommation de CPU) à l'aide d'un fichier dâ??entrée
+provoquer un déni de service (consommation de CPU) à l'aide d'un fichier dâ??entrée
 contrefait pour l'occasion, déclenchant un retour arrière durant le traitement
 dâ??une règle dâ??expression rationnelle dâ??awk.</p></li>
 
@@ -22,13 +22,13 @@
 
 <p>Le correctif original pour <a href="https://security-tracker.debian.org/tracker/CVE-2014-4049";>CVE-2014-4049</a>
 ne corrige pas suffisamment le problème. Un serveur malveillant ou un attaquant
-« homme du milieu » pourrait causer un déni de service (plantage) ou
+de type « homme du milieu » pourrait provoquer un déni de service (plantage) ou
 éventuellement exécuter du code arbitraire à l'aide d'un enregistrement
-contrefait DNS TXT.</p></li>
+DNS TXT contrefait.</p></li>
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4670";>CVE-2014-4670</a>
 
-<p>PHP gère incorrectement certains itérateurs SPL. Un attaquant local pourrait
+<p>PHP gère incorrectement certains itérateurs de SPL. Un attaquant local pourrait
 utiliser ce défaut pour provoquer un plantage de PHP, conduisant à un déni
 de service.</p></li>
 

--- dla-68.wml	2017-07-24 10:33:58.581264596 +0200
+++ dla-68jpg.wml	2017-07-26 09:27:25.494895186 +0200
@@ -6,22 +6,22 @@
 
  <p>Lors de lâ??insertion de caractères de nouvelle lignes encodés dans une
  requête vers rup, des en-têtes HTTP supplémentaires peuvent être injectés dans
- la réponse, ainsi que du nouveau code HTML au sommet du site web.</p></li>
+ la réponse, ainsi que du nouveau code HTML en haut du site web.</p></li>
 
 <li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3876";>CVE-2014-3876</a>]
  <p>Le paramètre akey est réfléchi non filtré comme composant de la page HTML.
  Quelques caractères sont interdits dans le paramètre GET à cause du filtrage
  de lâ??URL, mais cela peut être contourné en utilisant le paramètre POST.
- Néanmoins, ce défaut est exploitable à lâ??aide du paramètre GET seul, avec
- quelque interaction de lâ??utilisateur.</p></li>
+ Néanmoins, ce défaut est exploitable à lâ??aide du paramètre GET seul, sous
+ réserve d'interaction avec l'utilisateur.</p></li>
 
 <li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3877";>CVE-2014-3877</a>]
  <p>Le paramètre addto est seulement réfléchi légèrement filtré vers
  lâ??utilisateur comme composant de la page HTML. Quelques caractères sont
  interdits dans le paramètre GET à cause du filtrage de lâ??URL, mais cela peut
  être contourné en utilisant le paramètre POST. Néanmoins, ce défaut est
- exploitable à lâ??aide du paramètre GET seul, avec quelque interaction de
- lâ??utilisateur.</p></li>
+ exploitable à lâ??aide du paramètre GET seul, sous réserve d'interaction
+ avec lâ??utilisateur.</p></li>
 
 </ul>
 <p>Pour Debian 6 Squeeze, ce problème a été corrigé dans la

--- dla-69.wml	2017-07-24 10:33:58.589264769 +0200
+++ dla-69jpg.wml	2017-07-26 09:19:02.666750956 +0200
@@ -2,7 +2,7 @@
 <define-tag description>Mise à jour de sécurité pour LTS</define-tag>
 <define-tag moreinfo>
 <p>Stefano Zacchiroli a découvert que certains fichiers dâ??entrée JavaScript
-font que ctags entre dans une boucle infinie jusquâ??au remplissage de lâ??espace
+font entrer ctags dans une boucle infinie jusquâ??à ce qu'il déborde de lâ??espace
 disque. Cette mise à jour corrige l'analyseur JavaScript.</p>
 
 <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans
Reply to: