Bonjour, Le 30/05/2020 à 09:06, JP Guillonneau a écrit > Autre chance de commentaire. > > Amicalement. > > -- > Jean-Paul
suggestions, amicalement, bubu
--- dla-2209.wml 2020-05-30 11:07:40.223294885 +0200 +++ dla-2209.relu.wml 2020-05-30 11:11:43.906363960 +0200 @@ -26,7 +26,7 @@ <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1935">CVE-2020-1935</a> <p>Dans Apache Tomcat le code d’analyse d’en-tête HTTP utilisait une méthode -d’analyse de fin de ligne qui permettaient à quelques en-têtes HTTP non valables +d’analyse de fin de ligne qui permettait à quelques en-têtes HTTP non valables d’être analysés comme valables. Cela conduisait à une possibilité de dissimulation de requête HTTP si Tomcat résidait derrière un mandataire inverse qui gérait incorrectement l’en-tête Transfer-Encoding non valable d’une certaine @@ -49,7 +49,7 @@ <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9484">CVE-2020-9484</a> -<p>Lors de l’utilisation d’Apache Tomcat et a) un attaquant était capable de +<p>Lors de l’utilisation d’Apache Tomcat et que : a) un attaquant était capable de contrôler le contenu et le nom d’un fichier sur le serveur, b) le serveur était configuré pour utiliser PersistenceManager avec un FileStore, c) le PersistenceManager était configuré avec sessionAttributeValueClassNameFilter="null"