Re: [RFR] wml://lts/security/2019/dla-188{0,1,2}.wml

2019-08-13 Par sujet Grégoire Scano 
Bonjour,

On 8/13/19 9:48 PM, JP Guillonneau wrote:
> Ces annonces de sécurité ont été publiées.
> Les fichiers sont aussi disponibles ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-.wml
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-.wml

rien à signaler.

Bien cordialement,
Grégoire

Re: [RFR] wml://intro/cn.wml

2019-08-13 Par sujet Grégoire Scano 
Bonjour,

On 8/13/19 7:14 PM, JP Guillonneau wrote:
> cette page vient d’être modifiée.
> 
> Voici une proposition de traduction.
> Le fichier en anglais est téléchargeable ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/intro/cn.wml
> Le fichier en français est téléchargeable ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/intro/cn.wml

juste un détail.

Bien cordialement,
Grégoire
--- fr_cn.wml.diff  2019-08-14 10:05:26.796660395 +0800
+++ gregoire.fr_cn.wml.diff 2019-08-14 10:04:47.660358572 +0800
@@ -61,7 +61,7 @@
 +votre navigateur, appareil ou environnement informatique, alors vous pouvez
 +contourner les préférences de votre navigateur en utilisant les boutons de
 +langue ci-dessous. Cela définira une seule langue préférée parmi les langues
-+que votre navigateur indique comme vos préférences.
++que votre navigateur indique comme étant vos préférées.
 +
 +
 +

Re: [RFR] wml://security/2019/dsa-449{5,6}.wml

2019-08-13 Par sujet Grégoire Scano 
Bonjour,

On 8/13/19 6:25 PM, Jean-Pierre Giraud wrote:
> deux nouvelles annonces de sécurité viennent d'être publiées.

quelques suggestions après relecture complète.

Bien cordialement,
Grégoire
--- dsa-4495.wml2019-08-14 10:01:25.282795915 +0800
+++ gregoire.dsa-4495.wml   2019-08-14 09:59:52.662079418 +0800
@@ -28,7 +28,7 @@
 
 https://security-tracker.debian.org/tracker/CVE-2019-1999;>CVE-2019-1999
 
-Une situation de compétition a été découverte dans pilote de création de
+Une situation de compétition a été découverte dans un pilote de création de
 lien d'Android qui pourrait conduire à une utilisation de mémoire après
 libération. Si ce pilote est chargé, un utilisateur local pourrait être
 capable d'utiliser cela pour un déni de service (corruption de mémoire) ou
@@ -59,8 +59,8 @@
 utilisation de mémoire après libération dans le noyau, ou au partage
 involontaire de mémoire entre des processus de l'utilisateur. Un
 utilisateur local pourrait utiliser cela pour une élévation des privilèges.
-Les machine utilisant l'unité de gestion de mémoire de base ou un noyau
-personnalisé avec une taille de page de 4 ko ne sont pas affectés.
+Les machines utilisant l'unité de gestion de mémoire de base ou un noyau
+personnalisé avec une taille de page de 4 ko ne sont pas affectées.
 
 https://security-tracker.debian.org/tracker/CVE-2019-12984;>CVE-2019-12984
 
@@ -80,9 +80,9 @@
 https://security-tracker.debian.org/tracker/CVE-2019-13631;>CVE-2019-13631
 
 Le pilote gtco pour les tablettes graphiques USB pourrait provoquer un
-débordement de tampon de pile avec des données de constante lors de
+débordement de tampon de pile avec des données constantes lors de
 l'analyse du descripteur du périphérique. Un utilisateur physiquement
-présent avec un  périphérique USB spécialement construit pourrait utiliser
+présent avec un périphérique USB spécialement construit pourrait utiliser
 cela pour provoquer un déni de service (bogue ou oops), ou éventuellement
 pour une élévation des privilèges.

[DONE] wml://security/2019/dsa-4489.wml

2019-08-13 Par sujet Jean-Pierre Giraud 
Bonjour,
Le 06/08/2019 à 22:57, Jean-Pierre Giraud a écrit :
> Bonjour,
> Le 31/07/2019 à 23:36, Jean-Pierre Giraud a écrit :
>> Bonjour,
>> Une nouvelle annonce de sécurité vient d'être publiée. En voici une
> Passage en LCFC. Texte inchangé depuis le RFR. Merci d'avance pour vos
> ultimes relectures.
Terminé. Merci à Grégoire pour sa relecture.
Amicalement,
jipege

[DONE] wml://News/2019/20190727.wml

2019-08-13 Par sujet Jean-Pierre Giraud 
Bonjour,
Le 06/08/2019 à 22:31, Jean-Pierre Giraud a écrit 
> Le 01/08/2019 à 00:55, Jean-Pierre Giraud a écrit :
>> Bonjour,
>> L'annonce annonçant la clôture de DebConf 19 est parue en voici une
>> proposition de traduction. C'est un texte identique à celui pour Bits from 
>> Debian mais au format wml. Merci d'avance pour vos relectures.
> Passage en LCFC. Je renvoie le texte avec la correction suggérée par
> Grégoire.
> Merci d'avance pour vos ultimes relectures.
Terminé. Merci à Grégoire pour sa relecture.
Amicalement,
jipege

[DONE] md://publicity/bits/2019/debconf19-closes.md

2019-08-13 Par sujet Jean-Pierre Giraud 
Bonjour,
Le 06/08/2019 à 22:29, Jean-Pierre Giraud a écrit 
> Le 01/08/2019 à 02:53, Grégoire Scano a écrit :
>> Bonjour,
>>
>> On 8/1/19 1:25 AM, Jean-Pierre Giraud wrote:
>>> Le message annonçant la clôture de DebConf 19 est paru en voici une
>>> proposition de traduction. Merci d'avance pour vos relectures.
>> juste une suggestion.
>>
>> Bien cordialement,
>> Grégoire
> Passage en LCFC. J'envoie le fichier avec la correction suggérée par
> Grégoire. Merci pour vos ultimes relectures.
Terminé. Merci à Grégoire pour sa relecture.
Amicalement,
jipege

[LCFC] wml://security/2019/dsa-449{0,1}.wml

2019-08-13 Par sujet Jean-Pierre Giraud 
Bonjour,
Le 05/08/2019 à 23:35, Jean-Pierre Giraud a écrit :
> Bonjour,
> Le 05/08/2019 à 23:29, Jean-Pierre Giraud a écrit :
>> Bonjour,
>> deux nouvelles annonces de sécurité viennent d'être publiées.
>> Merci d'avance pour vos relectures.
>> Amicalement,
>> jipege
> Pour le DSA 4491, ne tenez pas compte du fichier précédemment envoyé.
> Amicalement,
Passage en LCFC. Textes inchangés depuis le RFR2. Merci d'avance pour
vos ultimes relectures.
Amicalement,
jipege

[RFR] wml://lts/security/2019/dla-188{0,1,2}.wml

2019-08-13 Par sujet JP Guillonneau 
Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul
#use wml::debian::translation-check translation="fcad8557c5a7cb7aa7155eaae71ee225a0a2cfe2" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Quelques problèmes ont été trouvés dans Atril, le visualisateur de document
de MATE.



https://security-tracker.debian.org/tracker/CVE-2017-1000159;>CVE-2017-1000159

Lors de l’impression de DVI vers PDF, l’outil dvipdfm était appelé sans
correctement vérifier le nom de fichier. Cela pourrait conduire à une attaque
par injection de commande à l’aide du nom de fichier.

https://security-tracker.debian.org/tracker/CVE-2019-11459;>CVE-2019-11459

Tiff_document_render() et tiff_document_get_thumbnail() ne vérifiaient pas
l’état de TIFFReadRGBAImageOriented(), conduisant à un accès mémoire non
initialisé si la fonction échoue.

https://security-tracker.debian.org/tracker/CVE-2019-1010006;>CVE-2019-1010006

Quelques vérifications de dépassement de tampon n’étaient pas correctement
réalisées, conduisant à un plantage d'application ou éventuellement l’exécution
de code arbitraire lors de l’ouverture de fichiers contrefaits de manière
malveillante.



Pour Debian 8 Jessie, ces problèmes ont été corrigés dans
la version 1.8.1+dfsg1-4+deb8u2.
Nous vous recommandons de mettre à jour vos paquets atril.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1882.data"
# $Id: $
#use wml::debian::translation-check translation="8ddf84d76b2bb29ef6f83f55b0406a1399f8039e" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Quelques problèmes ont été trouvés dans le visualisateur de document Evince.



https://security-tracker.debian.org/tracker/CVE-2017-1000159;>CVE-2017-1000159

Lors de l’impression de DVI vers PDF, l’outil dvipdfm était appelé sans
correctement vérifier le nom de fichier. Cela pourrait conduire à une attaque
par injection de commande à l’aide du nom de fichier.

https://security-tracker.debian.org/tracker/CVE-2019-11459;>CVE-2019-11459

Tiff_document_render() et tiff_document_get_thumbnail() ne vérifiaient pas
l’état de TIFFReadRGBAImageOriented(), conduisant à un accès mémoire non
initialisé si la fonction échoue.

https://security-tracker.debian.org/tracker/CVE-2019-1010006;>CVE-2019-1010006

Quelques vérifications de dépassement de tampon n’étaient pas correctement
réalisées, conduisant à un plantage d'application ou éventuellement l’exécution
de code arbitraire lors de l’ouverture de fichiers contrefaits de manière
malveillante.



Pour Debian 8 Jessie, ces problèmes ont été corrigés dans
la version 3.14.1-2+deb8u3.
Nous vous recommandons de mettre à jour vos paquets evince.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1881.data"
# $Id: $
#use wml::debian::translation-check translation="2e9bf0cbb145efee59ba2a14cec9d2e5f8a54e4c" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Netanel a signalé que la procédure .buildfont1 de Ghostscript, l’interpréteur
GPL de PostScript/PDF, ne restreint pas correctement les appels avec privilèges.
Cela pourrait aboutir au contournement des restrictions du système de fichiers
pour le bac à sable dSAFER.

Pour Debian 8 Jessie, ce problème a été corrigé dans
la version 9.26a~dfsg-0+deb8u4.
Nous vous recommandons de mettre à jour vos paquets ghostscript.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1880.data"
# $Id: $

[RFR] wml://intro/cn.wml

2019-08-13 Par sujet JP Guillonneau 
Bonjour,

cette page vient d’être modifiée.

Voici une proposition de traduction.
Le fichier en anglais est téléchargeable ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/intro/cn.wml
Le fichier en français est téléchargeable ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/intro/cn.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul
commit c646e774c01abc2ee3d32c65d6920ea4f03159dc
Author: Paul Wise 
Date:   Sun Aug 11 15:20:43 2019 +0800

Add support for the new content negotiation override cookie

Document that the cookie exists on the content negotiation page.

diff --git a/english/intro/cn.wml b/english/intro/cn.wml
index 1e1e3f953ff..3e0f306fe76 100644
--- a/english/intro/cn.wml
+++ b/english/intro/cn.wml
@@ -29,13 +29,16 @@ listed at the bottom of a page) will only show the current page in that
 language. It does not change the default language. If you click a
 link to a different page, it will be shown in the original language again.
 To change your default language, you need to change your language
-preferences in the configuration of your browser, as explained below.
+preferences in the configuration of your browser.
+If that isn't possible you can override your browser language preferences.
+These options are explained below.
 
 You can also find additional information about selecting language preferences on this
 http://www.w3.org/International/questions/qa-lang-priorities;>W3C page.
 
 
 What to do if a Debian web page is in the wrong language
+How to override the language settings
 How to set up the language settings
 Where to change the settings for the following browsers:
   
@@ -69,6 +72,11 @@ cache (both disk and memory) in your browser before trying to view pages again.
 We also suggest you use https://packages.debian.org/stable/web/lynx;>lynx when testing. It is the only browser we have
 found to comply 100% with the HTTP specifications for content negotiation.
 
+
+It is better to set your language preferences in your browser settings but
+as a last resort you can override the preferred language.
+
+
 Potential problems with proxy servers
 
 Proxy servers are essentially web servers that have no content of their
@@ -93,6 +101,30 @@ for them to upgrade or replace their software.
 
 
 
+How to override the language settings
+
+
+If you are not able to set the preferred languages
+in your browser, device or computing environment,
+then you can override your browser preferences
+using the language buttons below.
+This will set a single language as
+preferred over the languages
+that your browser reports as your preferences.
+
+
+
+Please note that this will set a
+https://en.wikipedia.org/wiki/HTTP_cookie;>cookie
+that contains your language selection.
+Your browser will delete the cookie if you do not visit this website for a month.
+You can delete the cookie now by choosing the "Browser default" option.
+
+
+
+<: print language_selector_buttons(); :>
+
+
 How to set up the language settings
 
 You should set the preferred language to all the languages you speak,


--- orig_cn.wml	2019-08-13 12:17:06.088801755 +0200
+++ cn.wml	2019-08-13 13:07:14.066748520 +0200
@@ -1,6 +1,6 @@
 #use wml::debian::template title="Site web Debian dans différentes langues" BARETITLE=true
 #use wml::debian::toc
-#use wml::debian::translation-check translation="c25132d79dab5dda5298236044fc2bd05968ef47" maintainer="Jean-Paul Guillonneau"
+#use wml::debian::translation-check translation="c646e774c01abc2ee3d32c65d6920ea4f03159dc" maintainer="Jean-Paul Guillonneau"
 
 # Translators:
 # Christian Couder, 1999-2006.
@@ -8,7 +8,7 @@
 # Symmon Paillard, 2008.
 # Guillaume Delacour, 2009, 2010.
 # David Prévot, 2010-2012, 2014.
-# Jean-Paul Guillonneau, 2016.
+# Jean-Paul Guillonneau, 2016-2019.
 
 
 <:
@@ -41,9 +41,9 @@
 page actuelle. Cela ne modifie pas la langue par défaut. Si
 vous cliquez sur un lien vers une autre page, elle sera à nouveau affichée dans
 la langue initiale. Pour modifier votre langue par défaut, vous devez
-modifier vos préférences de langue dans la configuration de votre navigateur,
-comme cela est expliqué plus bas.
-
+modifier vos préférences de langue dans la configuration de votre navigateur.
+Si cela n’est pas possible, vous pouvez contourner les préférences de votre
+navigateur. Ces options sont expliquées ci-dessous.
 
 Des informations complémentaires sur la sélection de la langue préférée sont
 disponibles sur la
@@ -53,6 +53,7 @@
 
   Que faire si une page web Debian n'est pas dans la bonne
 langue
+  Comment contourner les réglages de langue
   Configurer le choix de langue
   Où changer les paramètres pour les navigateurs suivants:
   
@@ -97,6 +98,11 @@
 c'est le seul navigateur que nous ayons trouvé qui satisfasse à 100% les
 spécifications HTTP de la négociation de contenu.
 
+
+Il est préférable de définir les préférences de langue dans les réglages du
+navigateur

[RFR] wml://security/2019/dsa-449{5,6}.wml

2019-08-13 Par sujet Jean-Pierre Giraud 
Bonjour,
deux nouvelles annonces de sécurité viennent d'être publiées.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="3edf351d0a6cb56a3b6226b235880a5a5340ee13" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Benno Fuenfstueck a découvert que Pango, une bibliothèque pour la mise en
 page et le rendu de texte mettant l'accent sur l'internationalisation, est
prédisposé à un défaut de dépassement de tas dans la fonction
pango_log2vis_get_embedding_levels. Un attaquant peut tirer avantage de ce
défaut pour un déni de service ou éventuellement l'exécution de code
arbitraire.

Pour la distribution stable (Buster), ce problème a été corrigé dans la
version 1.42.4-7~deb10u1.

Nous vous recommandons de mettre à jour vos paquets pango1.0.

Pour disposer d'un état détaillé sur la sécurité de pango1.0, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/pango1.0;>\
https://security-tracker.debian.org/tracker/pango1.0.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4496.data"
# $Id: $
#use wml::debian::translation-check translation="2b74abc752f8e4232fe85da5b7c01782113a2f4d" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une élévation des privilèges, un déni de service ou
des fuites d'informations.



https://security-tracker.debian.org/tracker/CVE-2018-20836;>CVE-2018-20836

chenxiang a signalé une situation de compétition dans libsas, le
sous-système du noyau prenant en charge les périphériques SAS (Serial
Attached SCSI), qui pourrait conduire à une utilisation de mémoire après
libération. La manière dont cela pourrait être exploité n'est pas évidente.

https://security-tracker.debian.org/tracker/CVE-2019-1125;>CVE-2019-1125

La plupart des processeurs x86 pourraient de façon spéculative ignorer
une instruction SWAPGS conditionnelle utilisée lorsqu'elle est entrée dans
le noyau à partir de l'espace utilisateur, et/ou pourraient l'exécuter de
façon spéculative alors qu'elle devrait être ignorée. Il s'agit d'un
sous-type de Spectre variante 1 qui pourrait permettre à des utilisateurs
locaux d'obtenir des informations sensibles du noyau ou d'autres processus.
Le problème a été pallié en utilisant des barrières de mémoire pour limiter
l'exécution spéculative. Les systèmes utilisant un noyau i386 ne sont pas
affectés dans le mesure où le noyau n'utilise pas d'instruction SWAPGS.

https://security-tracker.debian.org/tracker/CVE-2019-1999;>CVE-2019-1999

Une situation de compétition a été découverte dans pilote de création de
lien d'Android qui pourrait conduire à une utilisation de mémoire après
libération. Si ce pilote est chargé, un utilisateur local pourrait être
capable d'utiliser cela pour un déni de service (corruption de mémoire) ou
pour une élévation des privilèges.

https://security-tracker.debian.org/tracker/CVE-2019-10207;>CVE-2019-10207

L'outil syzkaller a découvert un éventuel déréférencement de pointeur
NULL dans divers pilotes pour des adaptateurs Bluetooth avec une connexion
UART. Un utilisateur local doté d'un accès à un périphérique de
pseudo-terminal ou un autre périphérique tty adapté pourrait utiliser cela
pour un déni de service (bogue ou oops).

https://security-tracker.debian.org/tracker/CVE-2019-10638;>CVE-2019-10638

Amit Klein et Benny Pinkas ont découvert que la génération
d'identifiants de paquet d'IP utilisait une fonction de hachage faible,
jhash. Cela pourrait permettre de pister des ordinateurs
particuliers alors qu'ils communiquent avec divers serveurs distants et
à partir de réseaux différents. La fonction siphash est maintenant
utilisée à la place.

https://security-tracker.debian.org/tracker/CVE-2019-12817;>CVE-2019-12817

Sur l'architecture PowerPC (ppc64el), le code de table de hachage des
pages (HPT) ne gérait pas correctement hfork() dans un processus mappé en
mémoire à des adresses supérieures à 512 To. Cela pourrait conduire à une
utilisation de mémoire après libération dans le noyau, ou au partage
involontaire de mémoire entre des processus de l'utilisateur. Un
utilisateur local pourrait utiliser cela pour une élévation des privilèges.
Les machine utilisant l'unité de gestion de mémoire de base ou un noyau
personnalisé avec une taille de page de 4 ko ne sont pas affectés.

https://security-tracker.debian.org/tracker/CVE-2019-12984;>CVE-2019-12984

L'implémentation du protocole NFC ne validait pas correctement un
message de contrôle de netlink, menant éventuellement à un déréférencement
de pointeur NULL. Un utilisateur local sur une machine avec une interface
NFC pourrait utiliser cela pour un déni de service (bogue ou oops).

[RFR2] po-debconf://mdadm/fr.po 2u

2019-08-13 Par sujet Grégoire Scano 
Bonjour,

On 8/13/19 3:27 PM, JP Guillonneau wrote:
> le mardi 13 août 10:17, Grégoire Scano a écrit :
>> en voici une première version.
> détail.

merci Jean-Paul, c'est corrigé.

Grégoire
--- mdadm_4.1-3.pot 2019-08-13 09:30:46.915317985 +0800
+++ mdadm_4.1-3.fr.po   2019-08-13 16:52:05.222846837 +0800
@@ -61,6 +62,7 @@
 #: ../mdadm.templates:3001
 msgid "Should mdadm check once a day for degraded arrays?"
 msgstr ""
+"Faut-il rechercher l'existence d'ensembles RAID dégradés tous les jours ?"
 
 #. Type: boolean
 #. Description
@@ -69,6 +71,9 @@
 "mdadm can check once a day for degraded arrays and missing spares to ensure "
 "that such events don't go unnoticed."
 msgstr ""
+"mdadm peut rechercher des ensembles RAID dégradés et des disques de secours "
+"manquants une fois par jour pour s'assurer que de tels évènements ne passent "
+"pas inaperçus."
 
 #. Type: boolean
 #. Description

Re: [RFR] po-debconf://mdadm/fr.po 2u

2019-08-13 Par sujet JP Guillonneau 
Bonjour,

le mardi 13 août 10:17, Grégoire Scano a écrit :

>en voici une première version.

détail.


Amicalement.

--
Jean-Paul
--- mdadm_4.1-3_fr.po	2019-08-13 08:31:14.816952689 +0200
+++ -	2019-08-13 08:41:00.073561055 +0200
@@ -70,7 +70,7 @@
 "mdadm can check once a day for degraded arrays and missing spares to ensure "
 "that such events don't go unnoticed."
 msgstr ""
-"mdadm peut rechercher des ensembles RAID dégradés et des disques de secour "
+"mdadm peut rechercher des ensembles RAID dégradés et des disques de secours "
 "manquants une fois par jour pour s'assurer que de tels évènements ne passent "
 "pas inaperçus."

[RFR3] wml://lts/security/2019/dla-18{66-2,72,73}.wml

2019-08-13 Par sujet JP Guillonneau 
Bonjour,

le samedi 10 août 14:42, Jean-Pierre Giraud a écrit :
>Relecture du 1872. RAS pour les deux autres
Merci Jean-Pierre, propositions en partie intégrées.
Nouvelle proposition de traduction, notamment pour la phrase posant problème.
Merci d’avance pour vos nouvelles relectures.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="2e335f78374522778a0894b37e67b50229791f3c" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS


Deux vulnérabilités ont été découvertes dans le cadriciel de développement
web Django.



https://security-tracker.debian.org/tracker/CVE-2019-14232;>CVE-2019-14232

Prévention d’un déni de service possible dans django.utils.text.Truncator.

Si l’argument html=True était passé aux méthodes chars() et words()
de django.utils.text.Truncator, elles étaient extrêmement lentes à évaluer
certaines entrées à cause d’une vulnérabilité de déni de service par expression
rationnelle. Les méthodes chars() et words() sont utilisées pour mettre en œuvre
les filtres de modèles truncatechars_html et truncatewords_html et étaient par
conséquent vulnérables.

Les expressions rationnelles utilisées par Truncator ont été simplifiées pour
éviter des problèmes de retour sur trace. Par conséquent, la ponctuation
terminale peut être parfois incluse dans la sortie tronquée.

https://security-tracker.debian.org/tracker/CVE-2019-14233;>CVE-2019-14233

Prévention d’un déni de service possible dans strip_tags().

À cause du comportement de HTMLParser sous-jacent,
django.utils.html.strip_tags() serait extrêmement lent à évaluer certaines
entrées contenant de longues séquences d’entités incomplètes HTML imbriquées. La
méthode strip_tags() est utilisée pour mettre en œuvre les filtres de modèle
« striptags » correspondants et était par conséquent aussi vulnérable.

Désormais strip_tags() évite les appels récursifs à HTMLParser lors de
l’avancement de la suppression de balises, sauf forcement les entités HTML
incomplètes, des arrêts étant faits.

Il faut se rappeler qu’absolument AUCUNE garantie n’est fournie pour que le
résultat de strip_tags() soit sûr du point de vue HTML. Aussi, ne JAMAIS marquer
comme sûr le résultat d’appel strip_tags() sans d’abord les protéger, par
exemple avec django.utils.html.escape().


Pour Debian 8 Jessie, ces problèmes ont été corrigés dans
la version 1.7.11-1+deb8u7.
Nous vous recommandons de mettre à jour vos paquets python-django.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1872.data"
# $Id: $

[DONE] wml://lts/security/2019/dla-18{68,69,70}.wml

2019-08-13 Par sujet JP Guillonneau 
Bonjour,

merci à Baptiste et Jean-Pierre.

Amicalement.

--
Jean-Paul

[RFR2] wml://lts/security/2019/dla-187{5,6,8}.wml

2019-08-13 Par sujet JP Guillonneau 
Bonjour,

le mardi 13 août  9:25, Grégoire Scano a écrit :
>le début de 75 et 76 diffère légèrement, puis une broutille.

Merci Grégoire, corrigé.
Autre chance de commentaire.

Amicalement.

--
Jean-Paul