Re: [RFR] wml://lts/security/2020/dla-221{6,7}.wml
Bonjour,
On 5/24/20 6:02 PM, JP Guillonneau wrote:
> Ces annonces de sécurité ont été publiées.
> Les fichiers sont aussi disponibles ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml
quelques suggestions et préférences personnelles.
Bien cordialement,
Grégoire
--- dla-2216.wml 2020-05-26 16:02:14.522308967 +0800
+++ gregoire.dla-2216.wml 2020-05-26 16:10:35.451667964 +0800
@@ -2,7 +2,7 @@
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
-<p>Il existait une vulnérabilité de possibilité de traversée de répertoires dans
+<p>Il existait une vulnérabilité de possible traversée de répertoires dans
l’<em>app</em> de Rack::Directory fournie avec Rack.</p>
<p>Si certains répertoires existent dans un répertoire géré par Rack::Directory,
--- dla-2217.wml 2020-05-26 16:02:10.642288769 +0800
+++ gregoire.dla-2217.wml 2020-05-26 16:15:18.674512140 +0800
@@ -18,10 +18,10 @@
sessionAttributeValueClassNameFilter="null" (la valeur par défaut à moins qu’un
SecurityManager soit utilisé ) ou qu’un filtre assez faible permettait la
désérialisation de l’objet fourni à l’attaquant, d) l’attaquant connaissait le
-chemin relatif du fichier d’un emplacement de stockage utilisé par FileStore
-pour le fichier dont l’attaquant avait le contrôle, alors, en utilisant une requête
+chemin relatif dans l'emplacement de stockage utilisé par FileStore
+du fichier dont il avait le contrôle, alors, en utilisant une requête
spécialement contrefaite, l’attaquant était capable de déclencher une exécution
-de code à distance à l’aide d’une désérialisation d’un fichier sous son contrôle.
+de code à distance par la désérialisation d’un fichier sous son contrôle.
Il est à remarquer que toutes les conditions (a à d) devaient être satisfaites
pour la réussite de l’attaque.</p></li>
Reply to: