Re: [RFR2] wml://lts/security/2020/dla-22{82,83}.wml
Bonjour,
Le 23/07/2020 à 14:21, JP Guillonneau a écrit :
> Bonjour,
>
> le jeudi 23 juillet 9:34, Jean-Pierre Giraud a écrit :
>
>> Je fais suivre des remarques de Sébastien Leblanc envoyées sur le canal
>> IRC debian-l10n à propos de la dla-2283.
> dla-2282 plutôt.
>
>
>> "<sleblanc> Bonjour, j'ai vu passer dla-2283, à propos de Ruby et les
>> StrongParameter, j'aimerais suggérer une traduction différente.
>> Il semblerait que la ligne originale du CVE ait été maltraitée: le
>> rapport original indique clairement que la vulnérabilité permet à un
>> utilisateur de fournir des arguments supplémentaires, que le système
>> relaie aveuglément aux prochaines composantes, plutôt que de
>> silencieusement les rejeter.
>> source: https://hackerone.com/reports/292797. Je suggère donc le texte
>> suivant:
>> <p>Une vulnérabilité de désérialisation de données non approuvées
>> existait dans Rails qui pouvait permettre à un attaquant de fournir des
>> paramètres supplémentaires, qui auraient dû être rejetés par la
>> fonctionnalité « StrongParameter ». Ceci permet à un attaquant de
>> potentiellement fournir des paramètres supplémentaires à une
>> sous-application, à l'insu de l'application en contrôle.</p>"
> La correction serait à faire d’abord dans la version anglaise. La vérification
> de l’exactitude et de la précision technique des annonces n’est pas à faire par
> le traducteur (leur traduction est très chronophage).
> Remarque : la traduction proposée va peut-être à l’encontre de la brièveté des
> annonces de sécurité.
> D’autres avis ?
>
> Amicalement.
>
> --
> Jean-Paul
>
Pour les mêmes raison que Jean-Paul, j'opterai pour garder la version
courte.
Le terme de déconvertir ne me plaît guère, mais rétablir ou désérialiser
(que j'ai utilisé ailleurs pour unmarshall*) ne sont peut être pas assez
précis dans ce cas.
Amicalement,
jipege
Reply to: