Re: [RFR] wml://lts/security/2023/dla-3{}.wml
Le 23/02/2023 à 10:07, JP Guillonneau a écrit :
Bonjour,
voici la traduction de nouvelles pages de sécurité.
Merci d’avance pour vos relectures et commentaires.
Amicalement.
Bonjour
Quelques détails
Amicalement
Lucien
--- dla-3336.wml.orig 2023-02-23 16:31:37.417719687 +0100
+++ dla-3336.wml 2023-02-23 16:40:39.362602494 +0100
@@ -2,7 +2,7 @@
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été trouvées dans node-types-url-parse, un
-module Node.js utilisé pour analyser les URL, qui pouvaient aboutir dans un
+module Node.js utilisé pour analyser les URL, qui pouvaient aboutir à un
contournement d’autorisation ou une redirection vers des sites non fiables.</p>
<ul>
@@ -10,13 +10,13 @@
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3664">CVE-2021-3664</a>
<p>url-parse gérait incorrectement certains usages de (contre)oblique tels
-que <code>https:\</code> et <code>https:/</code>, et interprète l’URI
+que <code>https:\</code> et <code>https:/</code>, et interprètait l’URI
comme un chemin relatif. Les navigateurs acceptent une seule contre-oblique
-après le protocole et la traite comme une oblique normale tandis que url-parse
+après le protocole et la traitent comme une oblique normale tandis que url-parse
considérait cela comme un chemin relatif. Selon l’utilisation de la bibliothèque
cela pouvait aboutir à un contournement de liste <q>autorisé/bloqué</q>, des
-attaques de contrefaçon de requête coté serveur (SSRF), des ouvertures de
-redirection et d’autres comportements non désirés.</p></li>
+attaques de contrefaçon de requête côté serveur (SSRF), des ouvertures de
+redirections et d’autres comportements non désirés.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-27515">CVE-2021-27515</a>
@@ -41,7 +41,7 @@
<p>Rohan Sharma a signalé que url-parse était incapable de trouver le nom d’hôte
correct quand aucun numéro de port n’était fourni dans l’URL, tel que dans
-<code>http://example.com:</code>. Cela pouvait aboutir alors dans une attaque
+<code>http://example.com:</code>. Cela pouvait aboutir alors à une attaque
SSRF, une ouverture de redirections ou n’importe quelle autre vulnérabilité qui
dépendait du champ <code>hostname</code> dans l’URL utilisé.</p></li>
--- dla-3334.wml.orig 2023-02-23 16:43:52.348333483 +0100
+++ dla-3334.wml 2023-02-23 16:44:27.927813063 +0100
@@ -3,7 +3,7 @@
<define-tag moreinfo>
<p>Un déni de service (plantage) à l'aide d'un message UDP contrefait
aboutissant à une assertion interne a été corrigé dans sofia-sip, une
-bibliothèque User-Agent SIP (Session protocole Initiation) .</p>
+bibliothèque User-Agent SIP (Session protocole Initiation).</p>
<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 1.12.11+20110422.1-2.1+deb10u3.</p>
Reply to: