[RFR2] wml://lts/security/2023/dla-36{01,{06,12}}.wml
Bonjour, Le 09/10/23 17:04 Lucien a écrit : >Des détails et des suggestions ⇒ patch >Pour la 3601, le contenu ne correspond pas à la version en ligne >https://salsa.debian.org/webmaster-team/webwml/-/blob/master/english/lts/security/2023/dla-3601.wml Modification survenue entre temps : https://salsa.debian.org/webmaster-team/webwml/-/commit/0e74eb0215b9cac4bda9ffcee51a59fda1abb74e Les fichiers sont aussi ici : https://salsa.debian.org/webmaster-team/webwml/-/raw/master/french/lts/security/2023/dla-3xxx.wml D’autres commentaires ? Amicalement -- Jean-Paul #use wml::debian::translation-check translation="0e74eb0215b9cac4bda9ffcee51a59fda1abb74e" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Plusieurs problèmes de sécurité ont été découverts dans Thunderbird, qui pouvaient avoir pour conséquences un déni de service ou l'exécution de code arbitraire. Debian suit les versions amont de Thunderbird. Le suivi des séries 102.x est terminé, aussi à partir de cette mise à jour, Debian suit les versions 115.x. Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 1:115.3.1-1~deb10u1. Nous vous recommandons de mettre à jour vos paquets thunderbird. Pour disposer d'un état détaillé sur la sécurité de thunderbird, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/thunderbird";>\ https://security-tracker.debian.org/tracker/thunderbird. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3601.data" # $Id: $ #use wml::debian::translation-check translation="8afbe3a00a5793e3d8438b46c790fa3ca5eb8340" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Plusieurs vulnérabilités ont été découvertes dans freelrdp2, une implémentation libre de RDP (Remote Desktop Protocol). Ces vulnérabilités pouvaient permettre des lectures hors limites de tampon, des dépassements de tampons ou d’entiers, une utilisation de mémoire après libération ou des vecteurs de déni de service. https://security-tracker.debian.org/tracker/CVE-2020-4030";>CVE-2020-4030 Dans FreeRDP avant la version 2.1.2, une lecture hors limites existait dans TrioParse. La connexion pouvait contourner les vérifications de longueur à cause d’un dépassement d'entier (correction faite dans la version 2.1.2). https://security-tracker.debian.org/tracker/CVE-2020-4031";>CVE-2020-4031 Dans FreeRDP avant la version 2.1.2, une utilisation de mémoire après libération existait dans gdi_SelectObject. Tous les clients FreeRDP utilisant le mode compatible avec /relax-order-checks étaient touchés (correction faite dans la version 2.1.2). https://security-tracker.debian.org/tracker/CVE-2020-4032";>CVE-2020-4032 Dans FreeRDP avant la version 2.1.2, une vulnérabilité de conversion d’entier existait dans update_recv_secondary_order. Tous les clients avec +glyph-cache/relax-order-checks étaient touchés (correction faite dans la version 2.1.2). https://security-tracker.debian.org/tracker/CVE-2020-4033";>CVE-2020-4033 Dans FreeRDP avant la version 2.1.2, une lecture hors limites existait dans RLEDECOMPRESS. Tous les clients basés sur FreeRDP avec des sessions avec une profondeur de couleur < 32 étaient touchés (correction faite dans la version 2.1.2). https://security-tracker.debian.org/tracker/CVE-2020-11017";>CVE-2020-11017 Dans FreeRDP jusqu’à la version 2.0.0, en fournissant une entrée trafiquée un client malveillant pouvait créer une double libération de zone de mémoire et planter le serveur (correction faite dans la version 2.1.0). https://security-tracker.debian.org/tracker/CVE-2020-11018";>CVE-2020-11018 Dans FreeRDP jusqu’à la version 2.0.0, un épuisement de ressource était possible. Un client malveillant pouvait déclencher une lecture hors limites, causant une allocation de mémoire de taille aléatoire (correction faite dans la version 2.1.0). https://security-tracker.debian.org/tracker/CVE-2020-11019";>CVE-2020-11019 Dans FreeRDP jusqu’à la version 2.0.0, lors d’une exécution avec le logger défini à WLOG_TRACE, un plantage d’application pouvait se produire dû à une lecture d’indice non valable de tableau. Des données pouvaient être affichées sous forme de chaine dans un terminal local (correction faite dans la version 2.1.0). https://security-tracker.debian.org/tracker/CVE-2020-11038";>CVE-2020-11038 Dans FreeRDP jusqu’à la version 2.0.0, un dépassement d'entier pour un dépassement de tampon existait. Lors de l’utilisation de redirection de /video, un serveur manipulé pouvait demander au client d’allouer un tampon de taille plus petite que demandée à cause d’un dépassement d'entier dans le calcul de la taille. Dans des messages ultérieurs, le serveur pouvait manipuler le client
[LCFC4] po4a://manpages-fr/getprotoent_r/po/fr.po 11f 3u
Merci, j'ai fait la modif. Je suis plus séduit par cette trad que celle d'origine en effet. Amicalement, Jean-Philippe MENGUAL Debian Developer non uploading Community team member Accessibility team member debian-l10n-french team member President of Debian France non-profit organization Le 09/10/2023 à 12:58, Lucien Gentis a écrit : Le 08/10/2023 à 07:43, Jean-Philippe MENGUAL a écrit : Merci beaucoup, nouvelle version jointe. Amicalement, Jean-Philippe MENGUAL Debian Developer non uploading Community team member Accessibility team member debian-l10n-french team member President of Debian France non-profit organization Le 07/10/2023 à 16:23, bu...@no-log.org a écrit : Bonjour, des suggestions Amicalement, bubu Bonjour, Je crois que "Accéder aux protocoles d'entrée" est incorrect. "get protocol entry" = "lire une entrée de protocole" (dans la base de données des protocoles), c'est à dire lire les informations correspondant à un protocole donné, et non pas "accéder aux protocoles d'entrée". Amicalement Lucien getprotoent_r.3.tar.gz Description: application/gzip
[LCFC2] po4a://manpages-fr/getpwnam/po/fr.po 15f 8u
ok merci, en changeant le nom c'est mieux. Je fais toujours très attention en modifiant les diff car je sais pas trop comment patch fait son compte mais ca peut être fragile. Quoiqu'il en soit voici la version corrigée. Amicalement, Jean-Philippe MENGUAL Debian Developer non uploading Community team member Accessibility team member debian-l10n-french team member President of Debian France non-profit organization Le 09/10/2023 à 13:13, Lucien Gentis a écrit : Le 08/10/2023 à 20:06, Jean-Philippe MENGUAL a écrit : Le 08/10/2023 à 15:03, Lucien Gentis a écrit : Le 07/10/2023 à 06:32, Jean-Philippe MENGUAL a écrit : Bonjour, Curieusement je n'arrive pas à appliquer ce patch. Il me dit qu'il ne trouve aps le fichier. Une idée? Amicalement, Peut-être ça : https://unix.stackexchange.com/questions/204059/can-t-find-file-to-patch-at-input-line-3 Il faudrait connaître ta ligne de commande patch et où sont tes fichiers par à ton répertoire courant Oui je suis dans le dossier courant, le patch et le fichier .po aussi. Je tape patch -N -i le_diff Ca marche pour tous les fichiers, sauf celui-là, curieusement Amicalement, Il faut peut-être corriger le nom du fichier original dans les premières lignes du diff (ou préciser le nom du fichier original dans la ligne de commande). Comme j'avais déjà une version du fichier dans mon répertoire de travail, je l'ai enregistré sous "getpwnam.3.po.mengual" getpwnam.3.tar.gz Description: application/gzip
[LCFC] wml://security/2023/dsa-55{06,08,09,10,12,13,14}.wml
Bonjour, Le jeudi 05 octobre 2023 à 00:37 +0200, Jean-Pierre Giraud a écrit : > Bonjour, > Le mercredi 04 octobre 2023 à 07:57 +0200, JP Guillonneau a écrit : > > Bonjour, > > Le 04/10/23 01:41 Jean-Pierre a écrit : > > > Sept nouvelles annonces de sécurité ont été publiées > > Deux détails. > > Amicalement Passage en LCFC. Textes inchangés depuis le RFR2. Merci d'avance pour vos ultimes relectures. Amicalement, jipege signature.asc Description: This is a digitally signed message part
[DONE] wml://security/2023/dsa-549{7-2,8}.wml
Bonjour, Le mardi 26 septembre 2023 à 09:16 +0200, Jean-Pierre Giraud a écrit : > Le lundi 18 septembre 2023 à 17:02 +0200, Lucien Gentis a écrit : > > Le 18/09/2023 à 16:32, Jean-Pierre Giraud a écrit : > > RAS > > Lucien Terminé. Merci à Lucien pour ses relectures. Amicalement, jipege signature.asc Description: This is a digitally signed message part
[DONE] wml://security/2023/dsa-54{99,00,01,02}.wml
Bonjour, Le mardi 26 septembre 2023 à 09:30 +0200, Jean-Pierre Giraud a écrit : > Le mercredi 20 septembre 2023 à 13:29 +0200, Lucien Gentis a écrit : > > Le 20/09/2023 à 12:37, Jean-Pierre Giraud a écrit : > > > > Détails > > Amicalement > > Lucien Terminé. Merci à Lucien pour ses relectures. Amicalement, jipege signature.asc Description: This is a digitally signed message part
[LCFC] wml://security/2023/dsa-5332.wml
Bonjour, Le mardi 26 septembre 2023 à 13:12 +0200, Lucien Gentis a écrit : > Le 26/09/2023 à 09:24, Jean-Pierre Giraud a écrit : > > Le mardi 26 septembre 2023 à 09:22 +0200, Jean-Pierre Giraud a : > > > Bonjour, > > > Voici la traduction d'une annonce de sécurité parue en début > > > d'année > > Avec la bonne pièce jointe, c'est mieux... > RAS > Lucien Passage en LCFC. Texte inchangé depuis le RFR. Merci d'avance pour vos ultimes relectures. Amicalement, jipege signature.asc Description: This is a digitally signed message part
[LCFC] wml://security/2023/dsa-5503.wml
Bonjour, Le jeudi 21 septembre 2023 à 13:51 +0200, Lucien Gentis a écrit : > Le 21/09/2023 à 07:46, Jean-Pierre Giraud a écrit : > > RAS > Lucien Passage en LCFC. Texte inchangé depuis le RFR. Merci d'avance pour vos ultimes relectures. Amicalement, jipege signature.asc Description: This is a digitally signed message part
[DONE] wml://security/2023/dsa-549{2,3,4,5}.wml
Bonjour, Le jeudi 21 septembre 2023 à 07:34 +0200, Jean-Pierre Giraud a écrit : > Le dimanche 17 septembre 2023 à 18:05 +0200, Lucien Gentis a écrit : > > Le 12/09/2023 à 16:12, Jean-Pierre Giraud a écrit : Terminé. Merci à Daniel, Jean-Paul et Lucien pour leurs relectures. Amicalement, jipege
[LCFC] wml://News/2023/20230918.wml
Bonjour, Le jeudi 21 septembre 2023 à 17:36 +0200, Jean-Pierre Giraud a écrit : > Le mardi 19 septembre 2023 à 14:36 +0200, JP Guillonneau a écrit > > Le 19/09/23 08:01 Jean-Pierre a écrit : > > > > Voici une version du fichiers tenant compte des suggestions de Jean- > Paul. Merci d'avance pour vos nouvelles relectures. Passage en LCFC. Texte inchangé. Merci d'avance pour vos ultimes relectures. Amicalement, jipege signature.asc Description: This is a digitally signed message part
[DONE] wml://News/2023/20230914.wml
Bonjour, Le vendredi 22 septembre 2023 à 00:03 +0200, Jean-Pierre Giraud a > Le jeudi 14 septembre 2023 à 22:20 +0200, Jean-Pierre Giraud a écrit : > > Le jeudi 14 septembre 2023 à 17:23 +0200, Jean-Pierre Giraud a > > > l'annonce de la disparition d'Abraham Raji un développeur Debian > > > participant à la Debconf. Voici la traduction de l'annonce Terminé. Merci à Jean-Philippe, David Prévot, Nicolas Dandrimont et Stéphane Blondon pour leurs relectures. Amicalement, jipege signature.asc Description: This is a digitally signed message part
[RFR2] wml://News/2023/20231007.wml
Le dimanche 08 octobre 2023 à 15:19 +0400, Md a écrit :
> Le samedi 07 octobre 2023 à 11:28 +0200, Jean-Pierre Giraud a écrit
> > Le vendredi 06 octobre 2023 à 10:41 +0200, Jean-Pierre Giraud a
> Bonjour JP,
> 2 détails.
> Amicalement.
C'est corrigé. De nouvelles relectures ?
L'original est à cet emplacement :
https://salsa.debian.org/webmaster-team/webwml/-/blob/master/french/News/2023/20231007.wml?ref_type=heads
Amicalement,
jipege
#use wml::debian::translation-check translation="b827d01d6caf2b68e865bd2c4ff78fab56ab8eb4" maintainer="Jean-Pierre Giraud"
Publication de la mise à jour de Debian 12.2
2023-10-07
#use wml::debian::news
# $Id:
12
Bookworm
12.2
DSA-%1
<:
my @p = ();
for my $p (split (/,\s*/, "%2")) {
push (@p, sprintf ('https://packages.debian.org/src:%s";>%s', $p, $p));
}
print join (", ", @p);
:>
https://packages.debian.org/src:%0";>%0 %1
https://packages.debian.org/src:%0";>%0
Le projet Debian a l'honneur d'annoncer la deuxième mise à jour de sa
distribution stable Debian (nom de code ).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans ce
document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de
Debian mais seulement une mise à jour de certains des paquets qu'elle
contient. Il n'est pas nécessaire de jeter les anciens médias de la
version . Après installation, les paquets peuvent être mis à niveau
vers les versions actuelles en utilisant un miroir Debian à jour.
Les personnes qui installent fréquemment les mises à jour à partir de
security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la
plupart des mises à jour de security.debian.org sont comprises dans cette mise
à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs
emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant
pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de
Debian. Une liste complète des miroirs est disponible à l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
Cette mise à jour de la version stable apporte quelques corrections importantes
aux paquets suivants :
Paquet Raison
AMD Inception pour les processeurs AMD Zen4 [CVE-2023-20569]">
Compact (à la place de Small) qui inclut des touches spéciales telles que le umlaut allemand ; correction de l'affichage des messages d'échec d'authentification ; utilisation du thème Active à la place d'Emerald">
Imprimante réseau ; correction de la génération de DNS cible pour divers types de systèmes ; correction du rendu des icônes dans le servlet DHCP ; nom d'hôte non qualifié appliqué pour les stations de travail">
inspector ; avertissements silencieux de GFileInfo lors d'une utilisation d'une version de Glibc rétroportée ; utilisation d'une couleur claire pour le curseur pour les thèmes sombres, améliorant beaucoup sa visibilité dans certaines applications et en particulier Evince">
worker et/ou bypass des contraintes de sécurité [CVE-2023-41081]">
valeur incorrecte utilisée durant la compilation de WASM [CVE-2023-4046], problème potentiel d'utilisation de mémoire après libération [CVE-2023-37202], problème de sécurité mémoire [CVE-2023-37211 CVE-2023-34416]">
Ring view invalidé plus souvent quand c'est nécessaire, correction de divers échecs d'assertion durant la gestion d'événements">
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version
stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces
mises à jour :
Identifiant Paquet
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de
notre contrôle :
Paquet Raison
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans
cette version de stable.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
https://deb.debian.org/debian/dists/>/ChangeLog">
Adresse de l'actuelle distribution stable :
https://deb.debian.org/debian/dists/stable/";>
Mises à jour proposées à la distribution stable :
https://deb.debian.org/debian/dists/proposed-updates";>
Informations sur la distribution stable (notes de publication, errata, etc.) :
https://www.debian.org/releases/stable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui
offrent volontairement leur temps et leurs efforts pour produire le système
d'exp
[RFR2] wml://News/2023/2023100702.wml
Bonjour,
Le dimanche 08 octobre 2023 à 15:45 +0400, Md a écrit :
> Le samedi 07 octobre 2023 à 11:29 +0200, Jean-Pierre Giraud a écrit :
> > Le vendredi 06 octobre 2023 à 10:41 +0200, Jean-Pierre Giraud a
> > écrit :
> >
> Bonjour JP,
> amicales suggestions.
C'est corrigé. De nouvelles relectures ?
L'original est à cet emplacement :
https://salsa.debian.org/webmaster-team/webwml/-/blob/master/french/News/2023/2023100702.wml?ref_type=heads
Amicalement,
jipege
#use wml::debian::translation-check translation="7e9ce6b3f7065fbbce6287410a40acb00b516392" maintainer="Jean-Pierre Giraud"
Publication de la mise à jour de Debian 11.08
2023-10-07
#use wml::debian::news
# $Id:
11
Bullseye
11.8
DSA-%1
<:
my @p = ();
for my $p (split (/,\s*/, "%2")) {
push (@p, sprintf ('https://packages.debian.org/src:%s";>%s', $p, $p));
}
print join (", ", @p);
:>
https://packages.debian.org/src:%0";>%0 %1
https://packages.debian.org/src:%0";>%0
Le projet Debian a l'honneur d'annoncer la huitième mise à jour de sa
distribution oldstable Debian (nom de code ).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version oldstable. Les annonces
de sécurité ont déjà été publiées séparément et sont simplement référencées
dans ce document.
Veuillez noter que cette mise à jour ne constitue pas une nouvelle version de
Debian mais seulement une mise à jour de certains des paquets qu'elle
contient. Il n'est pas nécessaire de jeter les anciens médias de la
version . Après installation, les paquets peuvent être mis à niveau
vers les versions courantes en utilisant un miroir Debian à jour.
Ceux qui installent fréquemment les mises à jour à partir de security.debian.org
n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour
de security.debian.org sont comprises dans cette mise à jour.
De nouvelles images d'installation seront prochainement disponibles à leurs
emplacements habituels.
Mettre à jour une installation vers cette révision peut se faire en faisant
pointer le système de gestion de paquets sur l'un des nombreux miroirs HTTP de
Debian. Une liste complète des miroirs est disponible à l'adresse :
https://www.debian.org/mirror/list
Corrections de bogues divers
Cette mise à jour de la version oldstable apporte quelques corrections importantes
aux paquets suivants :
Paquet Raison
AMD Inception pour les processeurs AMD Zen4 [CVE-2023-20569]">
amont, pour prendre en charge la construction des versions récentes de firefox-esr">
Forky ; correction de la date de publication d'Ubuntu 23.04 ; ajout d'Ubuntu 23.10 Mantic Minotaur ; ajout de la date de publication de Debian Bookworm">
ready, processing et valid">
worker et/ou bypass des contraintes de sécurité [CVE-2023-41081]">
mv d'un lien symbolique d'init afin de contourner un problème d'overlayfs">
masquage de paramètre [CVE-2021-23336], d'un problème d'injection d'URL [CVE-2022-0391], d'un problème d'utilisation de mémoire après libération [CVE-2022-48560], d'un problème d'entité externe XML [CVE-2022-48565] ; amélioration des comparaisons de temps constant dans compare_digest() [CVE-2022-48566] ; amélioration de l'analyse d'URL [CVE-2023-24329] ; lecture interdite de données non authentifiées sur un SSLSocket [CVE-2023-40217]">
amont pour prendre en charge la construction des versions récentes de firefox-esr">
amont pour prendre en charge la construction des versions récentes de firefox-esr">
Mises à jour de sécurité
Cette révision ajoute les mises à jour de sécurité suivantes à la version
oldstable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces
mises à jour :
Identifiant Paquet
Paquets supprimés
Les paquets suivants ont été supprimés à cause de circonstances hors de
notre contrôle :
Paquet Raison
Installateur Debian
L'installateur a été mis à jour pour inclure les correctifs incorporés dans
cette version de oldstable.
URL
Liste complète des paquets qui ont été modifiés dans cette version :
https://deb.debian.org/debian/dists/>/ChangeLog">
Adresse de l'actuelle distribution oldstable :
https://deb.debian.org/debian/dists/oldstable/";>
Mises à jour proposées à la distribution oldstable :
https://deb.debian.org/debian/dists/oldstable-proposed-updates";>
Informations sur la distribution oldstable (notes de publication, errata, etc.) :
https://www.debian.org/releases/oldstable/
Annonces et informations de sécurité :
https://www.debian.org/security/
À propos de Debian
Le projet Debian est une association de développeurs de logiciels libres qui
offrent volontairement leur temps et leurs efforts pour produire l
Re: [RFR] wml://lts/security/2023/dla-36{01,{06,12}}.wml
Le 09/10/2023 à 15:38, JP Guillonneau a écrit : Bonjour, voici la traduction de nouvelles pages de sécurité. Merci d’avance pour vos relectures et commentaires. Amicalement. Bonjour, Des détails et des suggestions Pour la 3601, le contenu ne correspond pas à la version en ligne https://salsa.debian.org/webmaster-team/webwml/-/blob/master/english/lts/security/2023/dla-3601.wml Amicalement Lucien --- dla-3611.wml.orig 2023-10-09 16:19:46.843215296 +0200 +++ dla-3611.wml 2023-10-09 16:20:56.205917537 +0200 @@ -12,9 +12,9 @@ Thorsten Alteholz a découvert que le https://security-tracker.debian.org/tracker/CVE-2019-0053";>CVE-2019-0053 était intégré incorrectement dans inetutils 2:1.9.4-7+deb10u3. La vulnérabilité -originelle subsistait : le client telnet d’ineutils ne validait pas suffisamment +originelle subsistait : le client telnet d’inetutils ne validait pas suffisamment les variables d’environnement, ce qui pouvait conduire à des dépassements de -tampon basé sur la pile (ce problème était limité à exploitation locale à partir +tampon basé sur la pile (ce problème était limité à une exploitation locale à partir d’interpréteurs restreints). https://security-tracker.debian.org/tracker/CVE-2023-40303";>CVE-2023-40303 --- dla-3610.wml.orig 2023-10-09 16:24:45.273624134 +0200 +++ dla-3610.wml 2023-10-09 16:26:43.179411558 +0200 @@ -28,14 +28,14 @@ https://security-tracker.debian.org/tracker/CVE-2020-26137";>CVE-2020-26137 Il a été découvert qu’une injection CRLF était possible si l’attaquant -contrôlait la méthode de requête HTTP, comme le montreait l’insertion de caractères +contrôlait la méthode de requête HTTP, comme le montrait l’insertion de caractères de contrôle CR et LF dans le premier argument de putrequest(). Ce problème est similaire au https://security-tracker.debian.org/tracker/CVE-2020-26116";>CVE-2020-26116. https://security-tracker.debian.org/tracker/CVE-2023-43804";>CVE-2023-43804 Il a été découvert qu’un en-tête de requête Cookie n’est pas -dépouillé lors de redirection multi-origine. Il était par conséquent possible +dépouillé lors d'une redirection multi-origine. Il était par conséquent possible pour un utilisateur spécifiant un en-tête Cookie de faire fuiter sans s’en apercevoir des informations à l’aide de redirections HTTP vers une origine différente (à moins que l’utilisateur ne désactive explicitement les @@ -44,7 +44,7 @@ mais pour l’en-tête Cookie plutôt que Authorization. De plus, les en-têtes de requête authorization n’étaient pas -supprimées lors de redirections intersites. Selon la +supprimés lors de redirections intersites. Selon la https://datatracker.ietf.org/doc/html/rfc7230#section-3.2";>RFC7230 sec. 3.2, les champs d’en-tête doivent être traités sans condition de casse. --- dla-3609.wml.orig 2023-10-09 16:27:51.578127529 +0200 +++ dla-3609.wml 2023-10-09 16:30:25.791231732 +0200 @@ -2,7 +2,7 @@ Mise à jour de sécurité pour LTS Le paquet prometheus-alertmanager, un composant de Prometheus, une -application utilisé pour la supervision d’évènements et les alertes, était +application utilisée pour la supervision d’évènements et les alertes, était vulnérable à une attaque XSS permanent. Alertmanager gère les alertes envoyées par les applications clientes telles --- dla-3608.wml.orig 2023-10-09 16:34:16.520835486 +0200 +++ dla-3608.wml 2023-10-09 16:35:18.070716606 +0200 @@ -1,7 +1,7 @@ #use wml::debian::translation-check translation="8afbe3a00a5793e3d8438b46c790fa3ca5eb8340" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS -It a été découvert que la mise à jour de freerdp2 (voir la DLA-3606-1) créait +Il a été découvert que la mise à jour de freerdp2 (voir la DLA-3606-1) créait un bogue dans vinagre, qui casse les connexions RDP avec comme symptômes des écrans bloqués ou noirs. Remarque : sha256 est désormais utilisé au lieu de sha1 pour les --- dla-3607.wml.orig 2023-10-09 16:36:08.404662710 +0200 +++ dla-3607.wml 2023-10-09 16:36:46.170592094 +0200 @@ -1,7 +1,7 @@ #use wml::debian::translation-check translation="8afbe3a00a5793e3d8438b46c790fa3ca5eb8340" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS -It a été découvert que la mise à jour de freerdp2 (voir la DLA-3606-1) créait +Il a été découvert que la mise à jour de freerdp2 (voir la DLA-3606-1) créait un bogue dans gnome-boxes, qui casse les connexions RDP avec comme symptômes des écrans bloqués ou noirs. Remarque : sha256 est désormais utilisé au lieu de sha1 pour les --- dla-3606.wml.orig 2023-10-09 16:42:20.863656994 +0200 +++ dla-3606.wml 2023-10-09 16:59:02.611406514 +0200 @@ -76,14 +76,14 @@ https://security-tracker.debian.org/tracker/CVE-2020-11040";>CVE-2020-11040 -Dans FreeRDP jusqu’à la version 2.0.0, une lecture hors limites de mémoire +Dans FreeRDP jusqu’à la version 2.0.0, une lecture hors limites de mémoire existait dans clear_decompress_subcode_rlex, visualisée sur l’écran comme couleur (correction f
[RFR] wml://lts/security/2023/dla-36{01,{06,12}}.wml
Bonjour, voici la traduction de nouvelles pages de sécurité. Merci d’avance pour vos relectures et commentaires. Amicalement. -- Jean-Paul #use wml::debian::translation-check translation="764a35ecf7bde52d49a0c54db664b2cbcdb83d76" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Deux vulnérabilités ont été découvertes dans lemonldap-ng : redirection ouverte quand la configuration OpenID-Connect n’est pas générée par le gestionnaire et si OIDC RP n’a pas de oidcRPMetaDataOptionsRedirectUris ; contrefaçon de requête côté serveur (SSRF) dans OpenID-Connect (https://security-tracker.debian.org/tracker/CVE-2023-44469";>CVE-2023-44469). Pour Debian 10 Buster, ce problème a été corrigé dans la version 2.0.2+ds-7+deb10u10. Nous vous recommandons de mettre à jour vos paquets lemonldap-ng. Pour disposer d'un état détaillé sur la sécurité de lemonldap-ng, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/lemonldap-ng";>\ https://security-tracker.debian.org/tracker/lemonldap-ng. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3612.data" # $Id: $ #use wml::debian::translation-check translation="39df1f02240dfc7ff0167d2163d6675966fad290" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Des problèmes de sécurité ont été découverts dans inetutils, une collection d’utilitaires réseau de GNU, qui pouvaient conduire à une élévation des privilèges ou, éventuellement, à une exécution de code arbitraire. https://security-tracker.debian.org/tracker/CVE-2019-0053";>CVE-2019-0053 Thorsten Alteholz a découvert que le https://security-tracker.debian.org/tracker/CVE-2019-0053";>CVE-2019-0053 était intégré incorrectement dans inetutils 2:1.9.4-7+deb10u3. La vulnérabilité originelle subsistait : le client telnet d’ineutils ne validait pas suffisamment les variables d’environnement, ce qui pouvait conduire à des dépassements de tampon basé sur la pile (ce problème était limité à exploitation locale à partir d’interpréteurs restreints). https://security-tracker.debian.org/tracker/CVE-2023-40303";>CVE-2023-40303 Jeffrey Bencteux a découvert que plusieurs valeurs de retour setuid(), setgid(), seteuid() et setguid() n’étaient pas vérifiées dans le code ftpd/rcp/rlogin/rsh/rshd/uucpd code, ce qui pouvait conduire à une élévation des privilèges. Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 2:1.9.4-7+deb10u3. Nous vous recommandons de mettre à jour vos paquets inetutils. Pour disposer d'un état détaillé sur la sécurité de inetutils, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/inetutils";>\ https://security-tracker.debian.org/tracker/inetutils. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3611.data" # $Id: $ #use wml::debian::translation-check translation="ec934e7054f6cd30c1892852dfa28e52d6446aa8" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Des vulnérabilités de sécurité ont été trouvées dans python-urllib3, une bibliothèque HTTP avec réserve de connexions thread-safe pour Python, qui pouvaient conduire à une divulgation d'informations ou à un contournement d’autorisation. https://security-tracker.debian.org/tracker/CVE-2019-11236";>CVE-2019-11236 Hanno Böck a découvert qu’un attaquant contrôlant le paramètre de requête pouvait injecter des en-têtes en injectant des caractères CR/LF. Le problème est similaire au https://security-tracker.debian.org/tracker/CVE-2019-9740";>CVE-2019-9740 de CPython. https://security-tracker.debian.org/tracker/CVE-2019-11324";>CVE-2019-11324 Christian Heimes a découvert que lors de la vérification de connexions HTTPS en passant un SSLContext à urllib3, les certificats CA du système étaient chargés dans SSLContext par défaut en plus de ceux ajoutés manuellement. Cela faisait que les initialisations de connexion TLS qui devaient avorter selon les certificats spécifiés manuellement réussissaient en se basant sur les certificats CA du système. https://security-tracker.debian.org/tracker/CVE-2020-26137";>CVE-2020-26137 Il a été découvert qu’une injection CRLF était possible si l’attaquant contrôlait la méthode de requête HTTP, comme le montreait l’insertion de caractères de contrôle CR et LF dans le premier argument de putrequest(). Ce problème est similaire au https://security-tracker.debian.org/tracker/CVE-2020-26116";>CVE-2020-2
[RFR2] wml://lts/security/2023/dla-360{4,5}.wml
Bonjour, Le 08/10/23 14:32 Lucien a écrit : >Suggestions ⇒patch Les fichiers sont ici : https://salsa.debian.org/webmaster-team/webwml/-/raw/master/french/lts/security/2023/dla-3xxx.wml Autres commentaires ? Amicalement -- Jean-Paul
Re: [LCFC] po4a://manpages-fr/getpwnam/po/fr.po 15f 8u
Le 08/10/2023 à 20:06, Jean-Philippe MENGUAL a écrit : Le 08/10/2023 à 15:03, Lucien Gentis a écrit : Le 07/10/2023 à 06:32, Jean-Philippe MENGUAL a écrit : Bonjour, Curieusement je n'arrive pas à appliquer ce patch. Il me dit qu'il ne trouve aps le fichier. Une idée? Amicalement, Peut-être ça : https://unix.stackexchange.com/questions/204059/can-t-find-file-to-patch-at-input-line-3 Il faudrait connaître ta ligne de commande patch et où sont tes fichiers par à ton répertoire courant Oui je suis dans le dossier courant, le patch et le fichier .po aussi. Je tape patch -N -i le_diff Ca marche pour tous les fichiers, sauf celui-là, curieusement Amicalement, Il faut peut-être corriger le nom du fichier original dans les premières lignes du diff (ou préciser le nom du fichier original dans la ligne de commande). Comme j'avais déjà une version du fichier dans mon répertoire de travail, je l'ai enregistré sous "getpwnam.3.po.mengual"
Re: [LCFC3] po4a://manpages-fr/getprotoent_r/po/fr.po 11f 3u
Le 08/10/2023 à 07:43, Jean-Philippe MENGUAL a écrit : Merci beaucoup, nouvelle version jointe. Amicalement, Jean-Philippe MENGUAL Debian Developer non uploading Community team member Accessibility team member debian-l10n-french team member President of Debian France non-profit organization Le 07/10/2023 à 16:23, bu...@no-log.org a écrit : Bonjour, des suggestions Amicalement, bubu Bonjour, Je crois que "Accéder aux protocoles d'entrée" est incorrect. "get protocol entry" = "lire une entrée de protocole" (dans la base de données des protocoles), c'est à dire lire les informations correspondant à un protocole donné, et non pas "accéder aux protocoles d'entrée". Amicalement Lucien
