Re: [RFR] wml://security/2014/dla-6{5,6,7,8,9}.wml
Bonjour,
Le 24/07/2017 à 08:04, JP Guillonneau a écrit :
> Bonjour,
> Voici quelques traductions de dla.
> Merci d'avance pour vos relectures.
> Amicalement.
> --
> Jean-Paul
Suggestions, pinaillages et préférences personnelles...
Amicalement,
jipege
--- dla-65.wml 2017-07-24 10:33:58.537263646 +0200
+++ dla-65jpg.wml 2017-07-26 09:55:50.607878063 +0200
@@ -17,15 +17,15 @@
<p>Django est fourni avec une fonction dâ??assistance
django.core.urlresolvers.reverse, classiquement utilisée pour créer un URL Ã
partir dâ??une référence pour inspecter une fonction ou un nom de modèle dâ??URL.
-Cependant, lorsque une entrée est présentée avec deux barres obliques (//),
+Cependant, lorsqu'une entrée est présentée avec deux barres obliques (//),
reverse() pourrait créer un URL fonction du modèle à dâ??autres hôtes, permettant
à un attaquant conscient de lâ??usage non sûr de reverse(), (c'est-à -dire pour
-prendre un cas courant, dans une situation ou un utilisateur final peut
+prendre un cas courant, dans une situation où un utilisateur final peut
contrôler la cible dâ??une redirection), de créer des liens vers les sites de son
choix, dâ??activer lâ??hameçonnage ou dâ??autres attaques.</p>
-<p>Pour remédier à cela, la résolution inversée dâ??URL (URL reversing)
-dorénavant veille quâ??aucun URL ne commence avec deux barres obliques (//), en
+<p>Pour remédier à cela, la résolution inverse dâ??URL (URL reversing)
+veille dorénavant à ce quâ??aucun URL ne commence avec deux barres obliques (//), en
remplaçant la seconde barre oblique par sa contrepartie encodée dâ??URL (%2F).
Cette approche garantit que les sémantiques restent les mêmes, tout en rendant
les URL relatifs au domaine et non au modèle.</p></li>
@@ -41,7 +41,7 @@
fichier existant.</p>
<p>Un attaquant connaissant cela peut exploiter le comportement séquentiel de
-la création de nom de fichier, en téléversant de nombreuses petits fichiers qui
+la création de nom de fichier, en téléversant de nombreux petits fichiers qui
ont en commun un nom de fichier. Django, dans leur traitement, créera des
nombres continuellement croissant dâ??appels de os.stat() en essayant de créer un
nom de fichier unique. Par conséquent, même un nombre relativement petit de
@@ -49,7 +49,7 @@
performances.</p>
<p>Pour remédier à cela, le système de téléversement de fichier de Django
-nâ??utilisera plus les noms avec nombres séquentiels pour éviter des conflits de
+nâ??utilisera plus de noms avec nombres séquentiels pour éviter des conflits de
noms de fichier sur le disque. � la place, une chaîne alphanumérique courte et
aléatoire sera ajoutée, supprimant la possibilité de créer de manière fiable
plusieurs noms de fichier continuellement différents.</p></li>
@@ -61,12 +61,12 @@
utilisant lâ??en-tête REMOTE_USER en vue dâ??authentification.</p>
<p>Dans quelques circonstances, lâ??utilisation de ces intergiciel et dorsal
-pourrait conduire à ce quâ??un utilisateur reçoive une autre session
-dâ??utilisateur, si une modification de lâ??en-tête REMOTE_USER se produit sans
+pourrait conduire à ce quâ??un utilisateur reçoive la session d'un autre
+utilisateur, si une modification de lâ??en-tête REMOTE_USER se produit sans
action de connexion ou déconnexion.</p>
-<p>Pour remédier à cela, lâ??intergiciel dorénavant garantit quâ??un changement
-dans REMOTE_USER sans une déconnexion explicite forcera une connexion avant
+<p>Pour remédier à cela, lâ??intergiciel garantit dorénavant quâ??un changement
+dans REMOTE_USER, sans une déconnexion explicite, forcera une connexion avant
dâ??accepter un nouveau REMOTE_USER.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0483">CVE-2014-0483</a>
@@ -76,7 +76,7 @@
une fenêtre surgissante. Le mécanisme pour cela repose sur le placement de
valeurs dans lâ??URL et de chaînes de requête qui indiquent le modèle concerné
à afficher et le champ dans lequel le lien est implémenté. Ce mécanisme doit
-réaliser les vérifications de permission au niveau de la classe du modèle dans
+réaliser des vérifications de permission au niveau de la classe du modèle dans
son ensemble.</p>
<p>Ce mécanisme, cependant, ne vérifiait pas que le champ indiqué représentait
@@ -84,7 +84,7 @@
accès à lâ??interface dâ??administration et avec une connaissance suffisante de la
structure du modèle et des URL adéquats, pourrait construire des fenêtres
surgissantes qui pourraient afficher des valeurs de champs non liés, y compris des
-champs que le développeur de lâ??application nâ??a pas prévu dâ??exposer dâ??une telle
+champs que le développeur de lâ??application nâ??avait pas prévu dâ??exposer de cette
façon.</p>
<p>Pour remédier à cela, lâ??interface administrative, en plus de ses
--- dla-66.wml 2017-07-24 10:33:58.557264078 +0200
+++ dla-66jpg.wml 2017-07-26 09:37:29.979233696 +0200
@@ -7,7 +7,8 @@
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0231">CVE-2014-0231</a>Â :
<p>Empêchement dâ??un déni de service dans mod_cgid.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0226">CVE-2014-0226</a>Â :
-<p>Empêchement dâ??un déni de service à lâ??aide de race dans mod_status.</p></li>
+<p>Empêchement dâ??un déni de service à lâ??aide d'une situation de compétition
+dans mod_status.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0118">CVE-2014-0118</a>Â :
<p>Correction de consommation de ressources à lâ??aide de la décompression du
corps de mod_deflate.</p></li>
--- dla-67.wml 2017-07-24 10:33:58.569264337 +0200
+++ dla-67jpg.wml 2017-07-26 09:33:23.688819311 +0200
@@ -8,7 +8,7 @@
<p>Le correctif original pour <a href="https://security-tracker.debian.org/tracker/CVE-2013-7345">CVE-2013-7345</a>
ne corrige pas suffisamment le problème. Un attaquant distant pourrait encore
-causer un déni de service (consommation de CPU) à l'aide d'un fichier dâ??entrée
+provoquer un déni de service (consommation de CPU) à l'aide d'un fichier dâ??entrée
contrefait pour l'occasion, déclenchant un retour arrière durant le traitement
dâ??une règle dâ??expression rationnelle dâ??awk.</p></li>
@@ -22,13 +22,13 @@
<p>Le correctif original pour <a href="https://security-tracker.debian.org/tracker/CVE-2014-4049">CVE-2014-4049</a>
ne corrige pas suffisamment le problème. Un serveur malveillant ou un attaquant
-« homme du milieu » pourrait causer un déni de service (plantage) ou
+de type « homme du milieu » pourrait provoquer un déni de service (plantage) ou
éventuellement exécuter du code arbitraire à l'aide d'un enregistrement
-contrefait DNS TXT.</p></li>
+DNS TXT contrefait.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4670">CVE-2014-4670</a>
-<p>PHP gère incorrectement certains itérateurs SPL. Un attaquant local pourrait
+<p>PHP gère incorrectement certains itérateurs de SPL. Un attaquant local pourrait
utiliser ce défaut pour provoquer un plantage de PHP, conduisant à un déni
de service.</p></li>
--- dla-68.wml 2017-07-24 10:33:58.581264596 +0200
+++ dla-68jpg.wml 2017-07-26 09:27:25.494895186 +0200
@@ -6,22 +6,22 @@
<p>Lors de lâ??insertion de caractères de nouvelle lignes encodés dans une
requête vers rup, des en-têtes HTTP supplémentaires peuvent être injectés dans
- la réponse, ainsi que du nouveau code HTML au sommet du site web.</p></li>
+ la réponse, ainsi que du nouveau code HTML en haut du site web.</p></li>
<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3876">CVE-2014-3876</a>]
<p>Le paramètre akey est réfléchi non filtré comme composant de la page HTML.
Quelques caractères sont interdits dans le paramètre GET à cause du filtrage
de lâ??URL, mais cela peut être contourné en utilisant le paramètre POST.
- Néanmoins, ce défaut est exploitable à lâ??aide du paramètre GET seul, avec
- quelque interaction de lâ??utilisateur.</p></li>
+ Néanmoins, ce défaut est exploitable à lâ??aide du paramètre GET seul, sous
+ réserve d'interaction avec l'utilisateur.</p></li>
<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3877">CVE-2014-3877</a>]
<p>Le paramètre addto est seulement réfléchi légèrement filtré vers
lâ??utilisateur comme composant de la page HTML. Quelques caractères sont
interdits dans le paramètre GET à cause du filtrage de lâ??URL, mais cela peut
être contourné en utilisant le paramètre POST. Néanmoins, ce défaut est
- exploitable à lâ??aide du paramètre GET seul, avec quelque interaction de
- lâ??utilisateur.</p></li>
+ exploitable à lâ??aide du paramètre GET seul, sous réserve d'interaction
+ avec lâ??utilisateur.</p></li>
</ul>
<p>Pour Debian 6 Squeeze, ce problème a été corrigé dans la
--- dla-69.wml 2017-07-24 10:33:58.589264769 +0200
+++ dla-69jpg.wml 2017-07-26 09:19:02.666750956 +0200
@@ -2,7 +2,7 @@
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Stefano Zacchiroli a découvert que certains fichiers dâ??entrée JavaScript
-font que ctags entre dans une boucle infinie jusquâ??au remplissage de lâ??espace
+font entrer ctags dans une boucle infinie jusquâ??à ce qu'il déborde de lâ??espace
disque. Cette mise à jour corrige l'analyseur JavaScript.</p>
<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans
Reply to:
- Prev by Date:
[RFR] wml://security/2014/dla-4{5,6,7,8,9}.wml
- Next by Date:
[RFR2] wml://security/2014/dla-6{5,6,7,8,9}.wml
- Previous by thread:
[RFR] wml://security/2014/dla-6{5,6,7,8,9}.wml
- Next by thread:
[RFR2] wml://security/2014/dla-6{5,6,7,8,9}.wml
- Index(es):