Bonjour, Le 20/12/2020 à 11:27, JP Guillonneau a écrit : > Bonjour, > > Ces annonces de sécurité ont été publiées. > Les fichiers sont aussi disponibles ici : > https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml > https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml > > Merci d’avance pour vos relectures. > > Amicalement. > Quelques suggestions et préférences personnelles pour cette dla particulièrement filandreuse ... Amicalement, jipege
--- /home/jpg1/webwml/french/lts/security/2020/dla-2500.wml 2020-12-20 17:50:07.169153813 +0100 +++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-2500_jpg.wml 2020-12-20 17:48:58.993932364 +0100 @@ -12,8 +12,8 @@ <p>Quand curl réalise un transfert passif par FTP, il essaie en premier la commande EPSV et, si elle n’est pas prise en charge, il se replie sur PASV. Le mode passif est ce que curl utilise par défaut. Une réponse de serveur pour -une commande PASV inclut l’adresse (IPv4) et le numéro de port pour le client -pour se reconnecter afin de réaliser le transfert réel des données. C’est la +une commande PASV inclut l’adresse (IPv4) et le numéro de port pour que le client +se reconnecte afin de réaliser le transfert réel des données. C’est la façon dont le protocole FTP est conçu. Un serveur malveillant peut utiliser la réponse PASV pour embringuer curl à se reconnecter à une certaine adresse et un certain port, et de cette façon pouvoir potentiellement extraire des informations @@ -23,11 +23,11 @@ <p>La partie adresse IP de la réponse est désormais ignorée par défaut, en réglant par défaut CURLOPT_FTP_SKIP_PASV_IP à 1L au lieu du réglage précédant 0L. -Cela conduit au plus petit effet faisant qu’une petite fraction des cas d’utilisation +Cela conduit à l'inconvénient mineur qu’une petite fraction des cas d’utilisation soient cassés quand le serveur a besoin réellement de se reconnecter à une -adresse IP différente que celle utilisée par le contrôle de connexion et que -ceux où CURLOPT_FTP_SKIP_PASV_IP peut être réglé à 0L. La même chose est -valable pour l’outil en ligne de commande qui peut nécessiter l’option +adresse IP différente de celle utilisée par le contrôle de connexion et que +celles où CURLOPT_FTP_SKIP_PASV_IP peut être réglé à 0L. La même chose est +valable pour l’outil en ligne de commande qui peut avoir besoin de l’option --no-ftp-skip-pasv-ip pour empêcher curl d’ignorer l’adresse dans la réponse du serveur.</p></li> @@ -41,16 +41,16 @@ d’ignorer ce fichier, la fonction interne dans libcurl s’appelle récursivement pour gérer la prochaine entrée de répertoire. S’il existe un nombre suffisant d’entrées de fichier et si le rappel renvoie <q>skip</q> un nombre de fois -suffisant, libcurl débordera de son espace de pile. Le montant exact dépend +suffisant, libcurl débordera de son espace de pile. Le nombre exact dépend des plateformes, des compilateurs et d’autres facteurs environnementaux. Le -contenu du répertoire distant n’est pas conservé dans la pile, aussi cela -semble difficile pour l’attaquant de contrôler exactement quelles données +contenu du répertoire distant n’est pas conservé dans la pile, aussi il +semble difficile pour l’attaquant de contrôler précisément quelles données écrasent la pile. Cependant, cela demeure un vecteur de déni de service, aussi un utilisateur malveillant qui contrôle le serveur sur lequel l’application utilisant libcurl sous ces prémisses peut provoquer un plantage.</p> -<p>La fonction interne est réécrite pour plutôt, et de manière plus appropriée, -utiliser une boucle ordinaire au lieu de l’approche récursive. De cette façon +<p>La fonction interne est réécrite pour utiliser plutôt, et de manière plus appropriée, +une boucle ordinaire au lieu de l’approche récursive. De cette façon l’utilisation de la pile reste la même quelque soit le nombre de fichiers sautés.</p></li> @@ -61,12 +61,12 @@ OCSP que le serveur renvoie comme part de l’initialisation de connexion TLS. Il interrompt alors la négociation TLS si quelque chose est faux dans la réponse. La même fonctionnalité peut être activée avec --cert-status en utilisant l’outil -curl. Comme part de la vérification de réponse OCSP, un client doit vérifier +curl. Dans le cadre de la vérification de réponse OCSP, un client doit vérifier que la réponse et effectivement pour le bon certificat. Cette étape n’était pas -réalisée par libcurl lorsque construite ou indiquée d’utiliser OpenSSL comme -dorsal TLS. Ce défaut pouvait permettre à un attaquant, qui pouvait peut être -avoir déjoué un serveur TLS, de fournir une réponse OCSP frauduleuse apparaissant -correcte, au lieu de celle réelle — comme si le certificat originel en fait avait +réalisée par libcurl lorsque construite ou instruite pour utiliser OpenSSL comme +dorsal TLS. Ce défaut pouvait permettre à un attaquant, qui pouvait peut-être +avoir commis une intrusion dans un serveur TLS, de fournir une réponse OCSP frauduleuse apparaissant +correcte, au lieu de la réponse réelle — comme si le certificat originel en fait avait été révoqué.</p> <p>La fonction de vérification de réponse OCSP vérifie désormais que
Attachment:
signature.asc
Description: OpenPGP digital signature