Re: [RFR] wml://lts/security/2021/dla-25{68,69,70}.wml
On 20/02/2021 10:11, JP Guillonneau wrote:
> Bonjour,
>
> Ces annonces de sécurité ont été publiées.
> Les fichiers sont aussi disponibles ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml
>
> Merci d’avance pour vos relectures.
>
> Amicalement.
>
> --
> Jean-Paul
>
Bonjour,
amicales remarques.
--- dla-2568AA.wml 2021-02-20 10:55:15.123280216 +0400
+++ dla-2568.wml 2021-02-20 11:05:03.841480076 +0400
@@ -14,7 +14,7 @@
configuration utilisant les réglages par défaut de BIND, le code de chemin
vulnérable n’est pas exposé, mais le serveur peut être rendu vulnérable en
réglant explicitement des valeurs autorisées pour les options de configuration
-de tkey-gssapi-keytab ou tkey-gssapi-credentialconfiguration. Quoique que la
+de tkey-gssapi-keytab ou tkey-gssapi-credentialconfiguration. Quoique la
configuration par défaut ne soit pas vulnérable, GSS-TSIG est couramment
utilisé dans les réseaux où BIND est intégré avec Samba, ainsi que dans les
environnements de serveurs mixtes qui combinent des serveurs BIND avec des
--- dla-2569AA.wml 2021-02-20 10:55:31.146896662 +0400
+++ dla-2569.wml 2021-02-20 11:08:35.290601261 +0400
@@ -17,9 +17,9 @@
de la version 3.7.0 et avant la version 3.7.10, de la version 3.8.0 et avant la
version 3.8.8, de la version 3.9.0 et avant la version 3.9.2 étaient vulnérables
à un empoisonnement de cache web à l’aide de urllib.parse.parse_qsl et
-urllib.parse.parse_qs en utilisant une dissimulation de paramètre appelé de
+urllib.parse.parse_qs en utilisant une dissimulation du paramètre appelé de
vecteur. Quand l’attaquant peut séparer les paramètres de requête en utilisant
-un deux-points (;), il peut provoquer une différence dans l’interprétation de
+un deux-points (:), il peut provoquer une différence dans l’interprétation de
la requête entre le mandataire (avec la configuration par défaut) et le serveur.
Cela peut conduire à des requêtes malveillantes mis en cache comme sûres, car le
mandataire ne voit habituellement pas le deux-points comme un séparateur, et
Reply to: