Re: [RFR] wml://lts/security/2020/dla-23{36-40}.wml

[daniel.malgorn@laposte.net]

On 24/08/2020 12:28, JP Guillonneau wrote:
> Bonjour,
> 
> Ces annonces de sécurité ont été publiées.
> Les fichiers sont aussi disponibles ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml
> 
> Merci d’avance pour vos relectures.
> 
> Amicalement.
> 
> --
> Jean-Paul
> 
Bonjour,

nuances sans gravité,

amicalement.

--- dla-2337A.wml	2020-08-24 17:49:58.573960942 +0400
+++ dla-2337.wml	2020-08-24 17:56:25.388486636 +0400
@@ -39,7 +39,7 @@
 si l’attaquant contrôle un paramètre d’URL, comme le montre le premier argument
 d’urllib.request.urlopen avec \r\n (particulièrement avec la chaîne de requête
 après un caractère ?) suivi par un en-tête HTTP ou une commande Redis. Cela est
-similaire au problème de requête de chaîne
+similaire au problème de requête de chaîne. 
 <a href="https://security-tracker.debian.org/tracker/CVE-2019-9740";>CVE-2019-9740</a>.
 </p></li>
 
@@ -56,11 +56,11 @@
 <a href="https://security-tracker.debian.org/tracker/CVE-2019-9636";>CVE-2019-9636</a>
 a été découverte qui permet encore à un attribut d’exploiter
 <a href="https://security-tracker.debian.org/tracker/CVE-2019-9636";>CVE-2019-9636</a>
-en exploitant les parties utilisateur et mot de passe d’une URL. Lorsqu’une
-application analyse une URL fournie par l’utilisateur pour stocker les cookies,
-les accréditations ou d’autres sortes d’information, il est possible pour un 
-attaquant de fournir des URL contrefaites pour l'occasion pour que l’application
-identifie des informations relatives à l’hôte (par exemple, cookies, données
+les parties utilisateur et mot de passe d’une URL. Lorsqu’une application analyse
+une URL fournie par l’utilisateur pour stocker les cookies,les accréditations ou 
+d’autres sortes d’informations, il est possible pour un attaquant de fournir des
+URL contrefaites pour l'occasion afin que l’application identifie des
+informations relatives à l’hôte (par exemple, cookies, données 
 d’authentification) et les envoie au mauvais hôte, contrairement à l’analyse
 correcte d’une URL. Cette attaque aboutit différemment selon l’application.</p></li>
 

--- dla-2338A.wml	2020-08-24 17:50:20.686054077 +0400
+++ dla-2338.wml	2020-08-24 17:57:18.287518582 +0400
@@ -2,8 +2,8 @@
 <define-tag description>Mise à jour de sécurité pour LTS</define-tag>
 <define-tag moreinfo>
 <p>Plusieurs fuites de mémoire ont été découvertes dans proftpd-dfsg, un démon
-FTP polyvalent d’hébergement virtuel, lorsque mod_facl ou mod_sftp sont utilisés, 
-qui pourraient conduire à un épuisement de mémoire et un déni de service.</p>
+FTP polyvalent d’hébergement virtuel, lorsque mod_facl ou mod_sftp sont utilisés. 
+Elles pourraient conduire à un épuisement de mémoire et un déni de service.</p>
 
 <p>La mise à jour rend les mises à niveau automatiques de proftpd-dfsg de
 Debian 8 vers Debian 9 de nouveau possibles.</p>

--- dla-2339A.wml	2020-08-24 17:50:37.550125107 +0400
+++ dla-2339.wml	2020-08-24 17:58:44.744293493 +0400
@@ -3,16 +3,16 @@
 <define-tag moreinfo>
 <p>Jason A. Donenfeld a découvert une injection de séquence d’échappement ANSI
 dans software-properties, un gestionnaire pour les sources des dépôts d’apt.
-Un attaquant pourrait manipuler l’écran de l’utilisateur pour inciter à installer un
-dépôt supplémentaire (PPA).</p>
+Un attaquant pourrait manipuler l’écran de l’utilisateur pour l'inciter à 
+installer un dépôt supplémentaire (PPA).</p>
 
 <p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
 la version 0.96.20.2-1+deb9u1.</p>
 
 <p>Nous vous recommandons de mettre à jour vos paquets software-properties.</p>
 
-<p>Pour disposer d'un état détaillé sur la sécurité de software-properties, veuillez
-consulter sa page de suivi de sécurité à l'adresse :
+<p>Pour disposer d'un état détaillé sur la sécurité de software-properties, 
+veuillez consulter sa page de suivi de sécurité à l'adresse :
 <a href="https://security-tracker.debian.org/tracker/software-properties";>https://security-tracker.debian.org/tracker/software-properties</a></p>
 
 <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment

--- dla-2340A.wml	2020-08-24 17:51:08.566255745 +0400
+++ dla-2340.wml	2020-08-24 18:00:28.040905175 +0400
@@ -13,7 +13,7 @@
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20346";>CVE-2018-20346</a>
 
-<p>Lorsque l’extension FTS3 est active, sqlite3 est confronté à un dépassement
+<p>Lorsque l’extension FTS3 est active, sqlite3 est confrontée à un dépassement
 d'entier (et le dépassement de tampon consécutif) pour les requêtes FTS3 qui
 surviennent après des modifications faites sur des <q>shadow tables</q>,
 permettant à des attaquants distants d’exécuter du code arbitraire en exploitant
@@ -21,7 +21,7 @@
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20506";>CVE-2018-20506</a>
 
-<p>Lorsque l’extension FTS3 est active, sqlite3 est confronté à un dépassement
+<p>Lorsque l’extension FTS3 est active, sqlite3 est confrontée à un dépassement
 d'entier (et le dépassement de tampon consécutif) pour les requêtes FTS3 dans
 une opération <q>merge</q> qui surviennent après des modifications faites sur
 des <q>shadow tables</q>, permettant à des attaquants distants d’exécuter du
@@ -30,7 +30,7 @@
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-5827";>CVE-2019-5827</a>
 
-<p>Un dépassement d'entier permettait à un attaquant distant d’éventuellement
+<p>Un dépassement d'entier permettrait à un attaquant distant d’éventuellement
 exploiter une corruption de tas à l'aide d'une page HTML contrefaite, et
 impactait principalement chromium.</p></li>