Re: [RFR] wml://lts/security/2022/dla-317{7,9}.wml

2022-11-12 Par sujet JP Guillonneau 
Bonjour,

Le 12/11/22 17:47 Jean-Pierre a écrit :
> deux nouvelles annonces de sécurité ont été publiées. En voici une 
> traduction. Merci d'avance pour vos relectures.

détail.

Amicalement.

-- 
Jean-Paul
--- dla-3177.wml.orig	2022-11-13 08:42:08.507801160 +0100
+++ dla-3177.wml	2022-11-13 08:42:28.664024962 +0100
@@ -18,7 +18,7 @@
 https://security-tracker.debian.org/tracker/CVE-2021-45115;>CVE-2021-45115 :
 Un problème a été découvert dans les versions de Django 2.2 antérieures
 à 2.2.26, 3.2 antérieures à 3.2.11 et 4.0 antérieures à 4.0.1.
-UserAttributeSimilarityValidator était exposé une surcharge importante lors
+UserAttributeSimilarityValidator était exposé à une surcharge importante lors
 de l'évaluation d'un mot de passe reçu grossi de façon artificielle par
 rapport aux valeurs de référence. Dans les cas où l'accès à
 l'enregistrement des utilisateurs n'était pas restreint, cela offrait un

[RFR2] wml://security/2022/dsa-5276.wml

2022-11-12 Par sujet Jean-Pierre Giraud 

Bonjour,

Le 12/11/2022 à 18:48, bu...@no-log.org a écrit :

  Bonjour,

Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction. Merci d'avance pour vos relectures.


..un défaut en trop à la première ligne,
amicalement,
 bubu

C'est corrigé. Merci d'avance pour vos nouvelles relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="0ef81136eadfc7bd7fbce8d04e1d8ce30b1546b4" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Maddie Stone a signalé un défaut de dépassement de tas dans pixman, une
bibliothèque de manipulation de pixels pour X et cairo, qui pouvait avoir
pour conséquences un déni de service ou éventuellement l'exécution de code
arbitraire.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans
la version 0.40.0-1.1~deb11u1.

Nous vous recommandons de mettre à jour vos paquets pixman.

Pour disposer d'un état détaillé sur la sécurité de pixman, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/pixman;>\
https://security-tracker.debian.org/tracker/pixman.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2022/dsa-5276.data"
# $Id: $


OpenPGP_signature
Description: OpenPGP digital signature

Re: [RFR] wml://security/2022/dsa-5276.wml

2022-11-12 Par sujet bubub 
 Bonjour,

> Une nouvelle annonce de sécurité vient d'être publiée. En voici une
> traduction. Merci d'avance pour vos relectures.

..un défaut en trop à la première ligne,
   amicalement,
bubu

[RFR] wml://lts/security/2022/dla-317{7,9}.wml

2022-11-12 Par sujet Jean-Pierre Giraud 

Bonjour,
deux nouvelles annonces de sécurité ont été publiées. En voici une 
traduction. Merci d'avance pour vos relectures.

Amicalement,
jipege
#use wml::debian::translation-check translation="bfec31e85b5c768b6090e3d383ff90c78075" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS


Il existait une vulnérabilité potentielle d'écriture hors limites dans
pixman, une bibliothèque de manipulation de pixels pour de nombreuses
applications graphiques pour Linux.



https://security-tracker.debian.org/tracker/CVE-2022-44638;>CVE-2022-44638

Dans libpixman dans les versions de Pixman antérieures à 0.42.2, il
existait une écriture hors limites (ou dépassement de tas) dans
rasterize_edges_8, due à un dépassement d'entier dans
pixman_sample_floor_y.



Pour Debian 10 Buster, ce problème a été corrigé dans la version
0.36.0-1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets pixman.

Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3179.data"
# $Id: $
#use wml::debian::translation-check translation="645af6f65572a1f557e647fa59ecac6fbb1d3a5e" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS


Il existait plusieurs vulnérabilités dans Django, un cadriciel populaire
de développement web basé sur Python :



https://security-tracker.debian.org/tracker/CVE-2022-28346;>CVE-2022-28346 :
Un problème a été découvert dans les versions de Django 2.2 antérieures
à 2.2.28, 3.2 antérieures à 3.2.13 et 4.0 antérieures à 4.0.4. Les méthodes
QuerySet.annotate(), aggregate() et extra() sont sujettes à une injection
de code SQL dans les alias de colonnes à l'aide d'un dictionnaire
contrefait (avec une expansion dictionnaire) en tant qu'argument **kwargs
passés à ces méthodes.

https://security-tracker.debian.org/tracker/CVE-2021-45115;>CVE-2021-45115 :
Un problème a été découvert dans les versions de Django 2.2 antérieures
à 2.2.26, 3.2 antérieures à 3.2.11 et 4.0 antérieures à 4.0.1.
UserAttributeSimilarityValidator était exposé une surcharge importante lors
de l'évaluation d'un mot de passe reçu grossi de façon artificielle par
rapport aux valeurs de référence. Dans les cas où l'accès à
l'enregistrement des utilisateurs n'était pas restreint, cela offrait un
vecteur potentiel pour une attaque par déni de service.

https://security-tracker.debian.org/tracker/CVE-2021-45116;>CVE-2021-45116 :
Un problème a été découvert dans les versions de Django 2.2 antérieures
à 2.2.26, 3.2 antérieures à 3.2.11 et 4.0 antérieures à 4.0.1. Du fait de
l'exploitation de la logique de résolution de variable du langage de
gabarits de Django, le filtre de gabarit dictsort était éventuellement
vulnérable à une divulgation d'informations ou à l'appel d'une méthode
imprévue, si une clé contrefaite de façon appropriée était passée.



Pour Debian 10 Buster, ces problèmes ont été corrigés dans la
version 1:1.11.29-1+deb10u3.

Nous vous recommandons de mettre à jour vos paquets python-django.

Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3177.data"
# $Id: $


OpenPGP_signature
Description: OpenPGP digital signature

[RFR] wml://security/2022/dsa-5276.wml

2022-11-12 Par sujet Jean-Pierre Giraud 

Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="0ef81136eadfc7bd7fbce8d04e1d8ce30b1546b4" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Maddie Stone a signalé un défaut de dépassement de tas défaut dans
pixman, une bibliothèque de manipulation de pixels pour X et cairo,
qui pouvait avoir pour conséquences un déni de service ou éventuellement
l'exécution de code arbitraire.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans
la version 0.40.0-1.1~deb11u1.

Nous vous recommandons de mettre à jour vos paquets pixman.

Pour disposer d'un état détaillé sur la sécurité de pixman, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/pixman;>\
https://security-tracker.debian.org/tracker/pixman.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2022/dsa-5276.data"
# $Id: $


OpenPGP_signature
Description: OpenPGP digital signature

Re: [LCFC] po4a://manpages-fr/tr/po/fr.po 9f 1u

2022-11-12 Par sujet bubub 
Bonjour,

 suggestions,
  amicalement,
   bubu
--- tr.1.po	2022-10-25 01:03:09.0 +0200
+++ tr.1.relu.po	2022-11-12 12:41:32.663877141 +0100
@@ -89,8 +89,8 @@
 "and ARRAY2 that control the action."
 msgstr ""
 "Convertir, compresser et/ou éliminer des caractères lus depuis l'entrée "
-"standard et les écrire sur la sortie standard. CHAÎNE1 et CHAÎNE2 indiquent "
-"des séquences de caractères ENSEMBLE1 et ENSEMBLE2 qui contrôlent l'action."
+"standard et les écrire sur la sortie standard. I et I indiquent "
+"des séquences de caractères I et I qui contrôlent l'action."
 
 #. type: TP
 #: archlinux debian-bullseye debian-unstable fedora-37 fedora-rawhide
@@ -319,7 +319,7 @@
 #: mageia-cauldron opensuse-leap-15-5 opensuse-tumbleweed
 #, no-wrap
 msgid "[CHAR*]"
-msgstr "CAR*"
+msgstr "[CAR*]"
 
 #. type: Plain text
 #: archlinux debian-unstable fedora-37 fedora-rawhide mageia-cauldron
@@ -333,7 +333,7 @@
 #: mageia-cauldron opensuse-leap-15-5 opensuse-tumbleweed
 #, no-wrap
 msgid "[CHAR*REPEAT]"
-msgstr "CAR*RÉPÉTER"
+msgstr "[CAR*RÉPÉTER]"
 
 #. type: Plain text
 #: archlinux debian-bullseye debian-unstable fedora-37 fedora-rawhide
@@ -418,7 +418,7 @@
 #: archlinux debian-bullseye debian-unstable fedora-37 fedora-rawhide
 #: mageia-cauldron opensuse-leap-15-5 opensuse-tumbleweed
 msgid "all printable characters, not including space"
-msgstr "tous les caractères imprimables, sauf les blancs"
+msgstr "tous les caractères imprimables, sauf les espaces"
 
 #. type: TP
 #: archlinux debian-bullseye debian-unstable fedora-37 fedora-rawhide
@@ -444,7 +444,7 @@
 #: archlinux debian-bullseye debian-unstable fedora-37 fedora-rawhide
 #: mageia-cauldron opensuse-leap-15-5 opensuse-tumbleweed
 msgid "all printable characters, including space"
-msgstr "tous les caractères imprimables, y compris les blancs"
+msgstr "tous les caractères imprimables, y compris les espaces"
 
 #. type: TP
 #: archlinux debian-bullseye debian-unstable fedora-37 fedora-rawhide
@@ -509,7 +509,7 @@
 #: archlinux debian-bullseye debian-unstable fedora-37 fedora-rawhide
 #: mageia-cauldron opensuse-leap-15-5 opensuse-tumbleweed
 msgid "all characters which are equivalent to CHAR"
-msgstr "tous les caractères équivalents à CAR"
+msgstr "tous les caractères équivalents à I"
 
 #. type: Plain text
 #: archlinux debian-unstable fedora-37 fedora-rawhide mageia-cauldron
@@ -522,8 +522,8 @@
 "order; while translating, [:lower:] and [:upper:] may be used in pairs to "
 "specify case conversion.  Squeezing occurs after translation or deletion."
 msgstr ""
-"La conversion a lieu si B<-d> n'est pas fourni et si les deux I "
-"et I sont fournies en paramètres. L'option B<-t> ne peut être "
+"La conversion a lieu si B<-d> n'est pas fourni et si les deux I "
+"et I sont fournies en paramètres. L'option B<-t> ne peut être "
 "utilisée que lors de la conversion. L'I est agrandi jusqu'à la "
 "taille de l'I par répétition de son dernier caractère si "
 "nécessaire. Les caractères en excès de l'I sont ignorés. Les "
@@ -631,8 +631,8 @@
 #: mageia-cauldron opensuse-leap-15-5 opensuse-tumbleweed
 msgid "Full documentation Ehttps://www.gnu.org/software/coreutils/trE"
 msgstr ""
-"Documentation complète : EIE"
+"Documentation complète : Ehttps://www.gnu.org/software/coreutils/;
+"trE"
 
 #. type: Plain text
 #: archlinux debian-bullseye debian-unstable fedora-37 fedora-rawhide

tr.1.po-bub.diff.xz
Description: application/xz

[RFR3] wml://lts/security/2022/dla-317{1,2,3}.wml

2022-11-12 Par sujet Jean-Pierre Giraud 

Bonjour,

Le 12/11/2022 à 12:19, bu...@no-log.org a écrit :

Bonjour,

trois nouvelles annonces de sécurité ont été publiées. En voici une
traduction. Merci d'avance pour vos relectures.


  suggestions et détails,
amicalement,
bubuSuggestion reprise. De nouvelles relectures.

Amicalement,
jipege
#use wml::debian::translation-check translation="23127f315f0734d770fa742ea84fe6feb806a81a" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

libxml2, la bibliothèque XML GNOME, était vulnérable à des dépassements
d'entier et à une corruption de mémoire.



https://security-tracker.debian.org/tracker/CVE-2022-40303;>CVE-2022-40303

L'analyse d'un document XML avec l'option XML_PARSE_HUGE activée peut
avoir pour conséquence un dépassement d'entier du fait de l'absence de
vérification de sécurité dans certaines fonctions. De même, la fonction
xmlParseEntityValue n'avait plus aucune limitation de longueur.

https://security-tracker.debian.org/tracker/CVE-2022-40304;>CVE-2022-40304

Quand une boucle de références est détectée dans la fonction de
nettoyage d'entités XML, les données de l'entité XML peuvent être stockées
dans un dictionnaire. Dans ce cas, le dictionnaire devient corrompu avec
pour conséquences des erreurs de logiques, dont des erreurs de mémoires
telles qu'une double libération de zone mémoire.



Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version
2.9.4+dfsg1-7+deb10u5.

Nous vous recommandons de mettre à jour vos paquets libxml2.

Pour disposer d'un état détaillé sur la sécurité de libxml2, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/libxml2;>\
https://security-tracker.debian.org/tracker/libxml2.

Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3172.data"
# $Id: $


OpenPGP_signature
Description: OpenPGP digital signature

Re: [RFR] wml://lts/security/2022/dla-317{1,2,3}.wml

2022-11-12 Par sujet bubub 
Bonjour,
> trois nouvelles annonces de sécurité ont été publiées. En voici une
> traduction. Merci d'avance pour vos relectures.

 suggestions et détails,
   amicalement,
   bubu--- dla-3172.wml	2022-11-12 12:12:46.922881133 +0100
+++ bisdla-3172.wml	2022-11-12 12:15:08.051789606 +0100
@@ -10,12 +10,12 @@
 
 L'analyse d'un document XML avec l'option XML_PARSE_HUGE activée peut
 avoir pour conséquence un dépassement d'entier du fait de l'absence de
-vérification de sécurité dans certaines fonctions. Également, la fonction
+vérification de sécurité dans certaines fonctions. De même, la fonction
 xmlParseEntityValue n'avait plus aucune limitation de longueur.
 
 https://security-tracker.debian.org/tracker/CVE-2022-40304;>CVE-2022-40304
 
-Quand une boucle de références est détecté dans la fonction de nettoyage
+Quand une boucle de références est détectée dans la fonction de nettoyage
 d'entités XML, les données de l'entité XML peuvent être stockées dans un
 dictionnaire. Dans ce cas, le dictionnaire devient corrompu avec pour
 conséquences des erreurs logiques, dont des erreurs de mémoires telles--- dla-3173.wml	2022-11-12 12:01:46.842806830 +0100
+++ bisdla-3173.wml	2022-11-12 12:10:49.510586146 +0100
@@ -137,7 +137,7 @@
 
 https://security-tracker.debian.org/tracker/CVE-2022-3649;>CVE-2022-3649
 
-L'outil syzbot a découverts des défauts dans le pilote du système de
+L'outil syzbot a découvert des défauts dans le pilote du système de
 fichiers nilfs2 qui peuvent conduire à une utilisation de mémoire après
 libération.  Un utilisateur autorisé à monter des images de
 système de fichiers arbitraires pouvait utiliser cela pour provoquer un
@@ -175,7 +175,7 @@
 https://security-tracker.debian.org/tracker/CVE-2022-39190;>CVE-2022-39190
 
 Gwangun Jung a signalé un défaut dans le sous-système nf_tables. Un
-utilisateur local pouvait exploit cela pour provoquer un déni de service
+utilisateur local pouvait exploiter cela pour provoquer un déni de service
 (plantage).
 
 https://security-tracker.debian.org/tracker/CVE-2022-39842;>CVE-2022-39842

[RFR2] wml://lts/security/2022/dla-315{7,8,9}.wml

2022-11-12 Par sujet Jean-Pierre Giraud 

Bonjour,

Le 12/11/2022 à 09:49, JP Guillonneau a écrit :

Bonjour,
Le 11/11/22 23:48 Jean-Pierre a écrit :

trois nouvelles annonces de sécurité ont été publiées. En voici une

Pinaillage.
Amicalement. 

Pinaillage appliqué :-). De nouvelles relectures ?
Amicalement,
jipege
#use wml::debian::translation-check translation="d74399e4b4de3445ba81e13bf5d88b77170669d4" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Plusieurs vulnérabilités ont été découvertes dans BlueZ, la pile du
protocole Bluetooth de Linux. Un attaquant pouvait provoquer un déni de
service (DoS) ou divulguer des informations.



https://security-tracker.debian.org/tracker/CVE-2019-8921;>CVE-2019-8921

Fuite d'information de SDP ; la vulnérabilité réside dans le traitement
de SVC_ATTR_REQ par l'implémentation de SDP de BlueZ. En contrefaisant un
CSTATE, il est possible de piéger le serveur à renvoyer plus d'octets que
le tampon n'en contient en réalité, avec pour conséquence la divulgation de
données arbitraires du tas.

https://security-tracker.debian.org/tracker/CVE-2019-8922;>CVE-2019-8922

Dépassement de tas de SDP ; cette vulnérabilité réside aussi dans le
traitement par le protocole SDP des requêtes d'attribut. En demandant un
très grand nombre d'attributs en même temps, un attaquant peut faire
déborder le tampon statique fourni pour contenir la réponse.

https://security-tracker.debian.org/tracker/CVE-2021-41229;>CVE-2021-41229

sdp_cstate_alloc_buf alloue de la mémoire qui sera toujours attachée à
la liste liée individuellement de cstates et ne sera pas libérée. Cela
provoquera une fuite de mémoire avec le temps. Les données peuvent être un
très grand objet, ce qui peut être provoqué par un attaquant envoyant en
continu des paquets sdp et cela peut faire planter le service du
périphérique cible.

https://security-tracker.debian.org/tracker/CVE-2021-43400;>CVE-2021-43400

Une utilisation de mémoire après libération dans gatt-database.c peut
survenir quand un client se déconnecte durant le traitement par D-Bus d'un
appel WriteValue.

https://security-tracker.debian.org/tracker/CVE-2022-0204;>CVE-2022-0204

Une vulnérabilité de dépassement de tas a été découverte dans bluez. Un
attaquant doté d'un accès au réseau local pouvait passer des fichiers
contrefaits pour l'occasion faisant qu'une application s'arrête ou plante,
menant à un déni de service.

https://security-tracker.debian.org/tracker/CVE-2022-39176;>CVE-2022-39176

BlueZ permet à des attaquants proches physiquement d'obtenir des
informations sensibles parce que profiles/audio/avrcp.c ne valide pas
params_len.

https://security-tracker.debian.org/tracker/CVE-2022-39177;>CVE-2022-39177

BlueZ permet à des attaquants proches physiquement de provoquer un déni
de service parce que des capacités mal formées et non valables peuvent être
traitées dans profiles/audio/avdtp.c.



Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version
5.50-1.2~deb10u3.

Nous vous recommandons de mettre à jour vos paquets bluez.

Pour disposer d'un état détaillé sur la sécurité de bluez, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/bluez;>\
https://security-tracker.debian.org/tracker/bluez.

Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3157.data"
# $Id: $


OpenPGP_signature
Description: OpenPGP digital signature

[RFR2] wml://lts/security/2022/dla-317{1,2,3}.wml

2022-11-12 Par sujet Jean-Pierre Giraud 

Bonjour,

Le 12/11/2022 à 09:38, JP Guillonneau a écrit :

Bonjour,
Le 11/11/22 19:00 Jean-Pierre a écrit :

trois nouvelles annonces de sécurité ont été publiées. En voici une

Suggestions.
Amicalement. 

C'est corrigé. De nouvelles relectures ?
Amicalement,
jipege
#use wml::debian::translation-check translation="7636af0cce7aa205c5abc5bd5dbb1236e7bbfd5c" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pouvaient conduire à une élévation de privilèges, un déni de service ou des
fuites d'informations.



https://security-tracker.debian.org/tracker/CVE-2021-4037;>CVE-2021-4037

Christian Brauner a signalé que la fonction inode_init_owner pour le
système de fichiers XFS dans le noyau Linux permet aux utilisateurs locaux
de créer des fichiers avec une appartenance à un groupe non prévue
permettant à des attaquants d'élever leurs privilèges en rendant un simple
fichier exécutable et SGID.

https://security-tracker.debian.org/tracker/CVE-2022-0171;>CVE-2022-0171

Mingwei Zhang a signalé qu'un problème d'incohérence de cache dans l'API
SEV dans le sous-système KVM peut avoir pour conséquence un déni de
service.

https://security-tracker.debian.org/tracker/CVE-2022-1184;>CVE-2022-1184

Un défaut a été découvert dans le pilote du système de fichiers ext4 qui
peut conduire à une utilisation de mémoire après libération. Un utilisateur
local autorisé à monter des systèmes de fichiers arbitraires pouvait
exploiter cela pour provoquer un déni de service (plantage ou corruption de
mémoire) ou éventuellement pour une élévation de privilèges.

https://security-tracker.debian.org/tracker/CVE-2022-1679;>CVE-2022-1679

L'outil syzbot a découvert une situation de compétition dans le pilote
ath9k_htc qui pouvait conduire à une utilisation de mémoire après
libération. Cela pouvait être exploitable pour provoquer un déni de service
(plantage ou corruption de mémoire) ou éventuellement une élévation de
privilèges.

https://security-tracker.debian.org/tracker/CVE-2022-2153;>CVE-2022-2153

kangel a signalé un défaut dans l'implémentation de KVM pour les
processeurs x86 qui pouvait conduire à un déréférencement de pointeur NULL.
Un utilisateur local autorisé à accéder à /dev/kvm pouvait exploiter cela
pour provoquer un déni de service (plantage).

https://security-tracker.debian.org/tracker/CVE-2022-2602;>CVE-2022-2602

Une situation de compétition entre le traitement d'une requête io_uring
et le ramasse-miettes d'un socket Unix a été découverte. Un attaquant peut
tirer avantage de ce défaut pour une élévation locale de privilèges.

https://security-tracker.debian.org/tracker/CVE-2022-2663;>CVE-2022-2663

David Leadbeater a signalé des défauts dans le module du protocole de
connexion nf_conntrack_irc. Quand ce module est activé sur un pare-feu, un
utilisateur externe sur le même réseau IRC qu'un utilisateur interne
pouvait exploiter son analyse laxiste pour ouvrir des ports TCP arbitraires
dans le pare-feu, révéler son adresse IP publique ou pour bloquer sa
connexion IRC au pare-feu.

https://security-tracker.debian.org/tracker/CVE-2022-2905;>CVE-2022-2905

Hsin-Wei Hung a signalé un défaut dans le vérificateur eBPF qui peut
conduire à une lecture hors limites. Si l'utilisation non privilégiée
d'eBPF est activée, cela peut divulguer des informations sensibles. Cette
utilisation était déjà désactivée par défaut, ce qui devait pallier
complètement la vulnérabilité.

https://security-tracker.debian.org/tracker/CVE-2022-3028;>CVE-2022-3028

Abhishek Shah a signalé une situation de compétition dans le
sous-système AF_KEY qui pouvait conduire à une écriture ou une lecture hors
limites. Un utilisateur local pouvait exploiter cela pour provoquer un déni
de service (plantage ou corruption de mémoire) pour obtenir des
informations sensibles ou éventuellement pour une élévation de privilèges.

https://security-tracker.debian.org/tracker/CVE-2022-3061;>CVE-2022-3061

Un défaut a été découvert dans le pilote i740 qui peut avoir pour
conséquence un déni de service.

Ce pilote est désactivé dans les configurations officielles du noyau de
Debian.

https://security-tracker.debian.org/tracker/CVE-2022-3176;>CVE-2022-3176

Un défaut d'utilisation de mémoire après libération a été découvert dans
le sous-système io_uring qui peut avoir pour conséquence une élévation
locale de privilèges vers ceux du superutilisateur.

https://security-tracker.debian.org/tracker/CVE-2022-3303;>CVE-2022-3303

Une situation de compétition dans la fonction snd_pcm_oss_sync dans le
sous-système son dans le noyau Linux, due à un verrouillage incorrect, peut
avoir pour conséquence un déni de service.

https://security-tracker.debian.org/tracker/CVE-2022-3586;>CVE-2022-3586 (ZDI-22-1452)

Zero Day Initiative a signalé un défaut dans l'ordonnanceur réseau
sch_sfb, qui pouvait conduire à une utilisation de mémoire après libération
et une fuite d'informations sensibles issues du noyau.

Re: [RFR] wml://lts/security/2022/dla-315{7,8,9}.wml

2022-11-12 Par sujet JP Guillonneau 
Bonjour,

Le 11/11/22 23:48 Jean-Pierre a écrit :
> trois nouvelles annonces de sécurité ont été publiées. En voici une 
> traduction. Merci d'avance pour vos relectures.

Pinaillage.

Amicalement.

-- 
Jean-Paul
--- dla-3157.wml.orig	2022-11-12 09:48:05.632041581 +0100
+++ dla-3157.wml	2022-11-12 09:48:55.724463826 +0100
@@ -17,8 +17,8 @@
 
 https://security-tracker.debian.org/tracker/CVE-2019-8922;>CVE-2019-8922
 
-Dépassement de tas de SDP ; cette vulnérabilité réside dans le
-traitement par le protocole SDP des requêtes d'attribut également. En
+Dépassement de tas de SDP ; cette vulnérabilité réside aussi dans le
+traitement par le protocole SDP des requêtes d'attribut. En
 demandant un très grand nombre d'attributs en même temps, un attaquant peut
 faire déborder le tampon statique fourni pour contenir la réponse.

Re: [RFR] wml://lts/security/2022/dla-317{1,2,3}.wml

2022-11-12 Par sujet JP Guillonneau 
Bonjour,

Le 11/11/22 19:00 Jean-Pierre a écrit :
> trois nouvelles annonces de sécurité ont été publiées. En voici une 
> traduction. Merci d'avance pour vos relectures.

Suggestions.

Amicalement.

-- 
Jean-Paul
--- dla-3172.wml.orig	2022-11-12 09:19:47.883775721 +0100
+++ dla-3172.wml	2022-11-12 09:21:33.521460249 +0100
@@ -15,11 +15,11 @@
 
 https://security-tracker.debian.org/tracker/CVE-2022-40304;>CVE-2022-40304
 
-Quand une boucle de références est détecté dans la fonction de nettoyage
+Quand une boucle de références est détectée dans la fonction de nettoyage
 d'entités XML, les données de l'entité XML peuvent être stockées dans un
 dictionnaire. Dans ce cas, le dictionnaire devient corrompu avec pour
-conséquences des erreurs logiques, dont des erreurs de mémoires telles
-qu'une double libération de zone mémoire..
+conséquences des erreurs de logiques, dont des erreurs de mémoire telles
+qu'une double libération de zone mémoire.
 
 
 
--- dla-3173.wml.orig	2022-11-12 09:21:51.749756168 +0100
+++ dla-3173.wml	2022-11-12 09:36:29.360625832 +0100
@@ -11,7 +11,7 @@
 
 Christian Brauner a signalé que la fonction inode_init_owner pour le
 système de fichiers XFS dans le noyau Linux permet aux utilisateurs locaux
-de créer des fichiers avec la propriété d'un groupe non prévu permettant à
+de créer des fichiers avec une appartenance à un groupe non prévue, permettant à
 des attaquants d'élever leurs privilèges en rendant un simple fichier
 exécutable et SGID.
 
@@ -47,7 +47,7 @@
 https://security-tracker.debian.org/tracker/CVE-2022-2602;>CVE-2022-2602
 
 Une situation de compétition entre le traitement d'une requête io_uring
-et le ramasse-miettes d'un socket Unix a été découvert. Un attaquant peut
+et le ramasse-miettes d'un socket Unix a été découverte. Un attaquant peut
 tirer avantage de ce défaut pour une élévation locale de privilèges.
 
 https://security-tracker.debian.org/tracker/CVE-2022-2663;>CVE-2022-2663
@@ -62,7 +62,7 @@
 https://security-tracker.debian.org/tracker/CVE-2022-2905;>CVE-2022-2905
 
 Hsin-Wei Hung a signalé un défaut dans le vérificateur eBPF qui peut
-conduire à une lecture hors limites. Si l'utilisation non-privilégiée
+conduire à une lecture hors limites. Si l'utilisation non privilégiée
 d'eBPF est activée, cela peut divulguer des informations sensibles. Cette
 utilisation était déjà désactivée par défaut, ce qui devait pallier
 complètement la vulnérabilité.
@@ -105,8 +105,8 @@
 
 L'outil syzbot a découvert des défauts dans le pilote du système de
 fichiers nilfs2 qui peuvent conduire à un déréférencement de pointeur NULL
-ou une fuite de mémoire. Un utilisateur autorisé à monter des images de
-système de fichiers arbitraires pouvait utiliser cela pour provoquer un
+ou une fuite de mémoire. Un utilisateur autorisé à monter des images arbitraires de
+système de fichiers pouvait utiliser cela pour provoquer un
 déni de service (plantage ou épuisement de ressources).
 
 https://security-tracker.debian.org/tracker/CVE-2022-3625;>CVE-2022-3625
@@ -137,10 +137,10 @@
 
 https://security-tracker.debian.org/tracker/CVE-2022-3649;>CVE-2022-3649
 
-L'outil syzbot a découverts des défauts dans le pilote du système de
+L'outil syzbot a découvert des défauts dans le pilote du système de
 fichiers nilfs2 qui peuvent conduire à une utilisation de mémoire après
-libération.  Un utilisateur autorisé à monter des images de
-système de fichiers arbitraires pouvait utiliser cela pour provoquer un
+libération. Un utilisateur autorisé à monter des images arbitraires de
+système de fichiers pouvait utiliser cela pour provoquer un
 déni de service (plantage ou épuisement de ressources) ou éventuellement
 pour une élévation de privilèges.
 
@@ -175,7 +175,7 @@
 https://security-tracker.debian.org/tracker/CVE-2022-39190;>CVE-2022-39190
 
 Gwangun Jung a signalé un défaut dans le sous-système nf_tables. Un
-utilisateur local pouvait exploit cela pour provoquer un déni de service
+utilisateur local pouvait exploiter cela pour provoquer un déni de service
 (plantage).
 
 https://security-tracker.debian.org/tracker/CVE-2022-39842;>CVE-2022-39842
@@ -207,7 +207,7 @@
 https://security-tracker.debian.org/tracker/CVE-2022-41674;>CVE-2022-41674, https://security-tracker.debian.org/tracker/CVE-2022-42719;>CVE-2022-42719, https://security-tracker.debian.org/tracker/CVE-2022-42720;>CVE-2022-42720, https://security-tracker.debian.org/tracker/CVE-2022-42721;>CVE-2022-42721, https://security-tracker.debian.org/tracker/CVE-2022-42722;>CVE-2022-42722
 
 Soenke Huster a découvert plusieurs vulnérabilités dans le sous-système
-mac80211, déclenchées par des trames, qui peuvent avoir pour conséquence un
+mac80211, déclenchées par des trames WLAN, qui peuvent avoir pour conséquence un
 déni de service ou l'exécution de code arbitraire.
 
 https://security-tracker.debian.org/tracker/CVE-2022-43750;>CVE-2022-43750
@@ -223,7 +223,7 @@
 
 
 Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version

[BTS#939159] po-debconf://dbconfig-common/fr.po 1f,2u

2022-11-12 Par sujet Baptiste Jammet 
Bonjour, 

Pour le robot.

Baptiste


pgp0fc0FzboZb.pgp
Description: Signature digitale OpenPGP

[DONE] po4a://packaging-tutorial/po4a/po/fr.po

2022-11-12 Par sujet Baptiste Jammet 
Bonjour, 

Pour le robot.
(et Lucas s'occupe lui même de la traduction)

Baptiste


pgpcQM8ccqErS.pgp
Description: Signature digitale OpenPGP

Re: [RFR] wml://social_contract.{1.0,1.1}.wml

2022-11-12 Par sujet JP Guillonneau 
Bonjour,

Le 12/11/22 01:07 Jean-Pierre a écrit :
> Voici les fichiers mis à jour : création d'un nouveau fichier 
> social_contract.wml, modification de la première version 
> social_contract1.0.wml et de la version 1.1 (ancienne version 
> social_contract.wml modifiée).

Suggestions pour le nouveau fichier (applicables aux anciens fichiers ?) 


Amicalement.

-- 
Jean-Paul
--- social_contract.wml.orig	2022-11-12 08:01:50.029636437 +0100
+++ social_contract.wml	2022-11-12 08:59:58.102852673 +0100
@@ -1,4 +1,4 @@
-#use wml::debian::template title="Le contrat social Debian" BARETITLE=true
+#use wml::debian::template title="Le contrat social de Debian" BARETITLE=true
 #use wml::debian::translation-check translation="79d1ad80a8ac84afa8c8a224b81fb50c327e6b4f" maintainer="Jean-Pierre Giraud"
 
 {#meta#:
@@ -13,7 +13,7 @@
 
 Version1.2 ratifiée le 1eroctobre2022.
 
-Remplace la version1.1 ratifiée le 26avril2004 et la
+Ce document remplace la version1.1 ratifiée le 26avril2004 et la
 version1.0 ratifiée le
 5juillet1997.
 
@@ -41,7 +41,7 @@
 détermine si un travail est libre. Nous promettons que
 le système
 Debian et tous ses composants seront libres selon ces principes et nous
-aiderons les personnes qui créent et utilisent à la fois
+aiderons les personnes qui créent ou utilisent à la fois
 des travaux libres et non libres sur Debian. Nous ne rendrons pas le système
 dépendant d'un composant non libre.
 
@@ -54,7 +54,7 @@
 selon Debian. Nous ferons le meilleur système possible, afin que les
 travaux libres soient largement distribués et utilisés. Nous signalerons
 les corrections de bogues, les améliorations, les requêtes des
-utilisateurs, etc. aux auteurs des travaux originels inclus dans notre
+utilisateurs, etc., aux auteurs des travaux originels inclus dans notre
 système.
 
   
@@ -62,7 +62,7 @@
   Nous ne dissimulerons pas les problèmes.
 
 Nous conserverons l'intégralité de notre base de données de rapports
-de bogue accessible au public en tout temps. Les rapports
+de bogue accessible publiquement en tout temps. Les rapports
 que les utilisateurs remplissent en ligne seront rapidement
 visibles par les autres.
 
@@ -88,17 +88,17 @@
 Nous reconnaissons que certains de nos utilisateurs demandent à pouvoir
 utiliser des travaux qui ne sont pas conformes aux \
 principes du logiciel libre selon Debian. Les paquets
-correspondant prennent place dans des sections nommées
+correspondants prennent place dans des sections nommées
 contrib (contributions) et
 non-free (non libre). Les paquets
 de ces sections ne font pas partie du système Debian, bien qu'ils aient été
 configurés afin d'être utilisés avec lui. Nous encourageons les
-fabricants de CD à lire les licences de ces paquets afin de
+fabricants de DVD à lire les licences de ces paquets afin de
 déterminer s'ils peuvent les distribuer. Ainsi, bien que les
 travaux non libres ne fassent pas partie de Debian, nous prenons en
 compte leur utilisation et fournissons donc l'infrastructure
 nécessaire (à l'image de notre système de suivi des bogues et de nos
-listes de diffusion). Les supports officiels de Debian peuvent inclure
+listes de diffusion). Les médias officiels de Debian peuvent inclure
 les microprogrammes qui autrement ne font pas partie du système Debian
 pour permettre l'utilisation de Debian avec un matériel qui a besoin de
 ces microprogrammes.
@@ -131,7 +131,7 @@
   Applications dérivées.
 La licence doit autoriser les modifications et les applications
 dérivées ainsi que leur distribution sous les
-mêmes termes que ceux de la licence du logiciel original.
+mêmes termes que ceux de la licence du logiciel originel.
 
   
 
@@ -143,9 +143,9 @@
 sa construction. La licence doit autoriser explicitement la distribution de
 logiciels créés à partir de code source modifié. Elle peut exiger que
 les applications dérivées portent un nom ou un numéro de version différent
-de ceux du logiciel original (c'est un compromis; le groupe
+de ceux du logiciel originel (c'est un compromis; le groupe
 Debian encourage tous les auteurs à ne restreindre en aucune manière les
-modifications des fichiers, source ou binaire).
+modifications des fichiers, source ou binaires).
 
   
 
@@ -177,7 +177,7 @@
 Les droits attachés au programme ne doivent pas dépendre du fait de
 son intégration au système Debian. Si le programme est extrait de Debian et
 utilisé et distribué sans Debian mais sous les termes de
-sa propre licence, tous les destinataires doivent jouir des même
+sa propre licence, tous les destinataires doivent jouir des mêmes
 droits que ceux accordés lorsqu'il se trouve au sein du système
 Debian.
 
@@ -187,7 +187,7 @@
 
 La licence ne doit pas placer de restriction sur d'autres logiciels

[LCFC] wml://security/2022/dsa-526{0,1,2,3,4,5}.wml

2022-11-12 Par sujet Jean-Pierre Giraud 

Bonjour,

Le 30/10/2022 à 14:42, Lucien Gentis a écrit :

Le 30/10/2022 à 09:06, Jean-Pierre Giraud a écrit :

Bonjour,
six nouvelles annonces de sécurité ont été publiées. En voici une 
traduction. Merci d'avance pour vos relectures.

Bonjour,
RAS
Lucien 
Passage en LCFC. Textes inchangés depuis le RFR. Merci d'avance pour vos 
ultimes relectures.

Amicalement,
jipege


OpenPGP_signature
Description: OpenPGP digital signature

[DONE] wml://security/2022/dsa-5257-2.wml

2022-11-12 Par sujet Jean-Pierre Giraud 

Bonjour,

Le 30/10/2022 à 18:55, Jean-Pierre Giraud a écrit :

Le 23/10/2022 à 14:44, Lucien Gentis a écrit :

Le 23/10/2022 à 11:18, Jean-Pierre Giraud a écrit :
Bonjour,
RAS
Lucien 


Terminé. MErci à Daniel et Lucien pour leurs relectures.
Amicalement,
jipege


OpenPGP_signature
Description: OpenPGP digital signature

[DONE] wml://lts/security/2022/dla-31{53,56}.wml

2022-11-12 Par sujet Jean-Pierre Giraud 

Bonjour

Le 30/10/2022 à 18:53, Jean-Pierre Giraud a écrit :

Bonjour,

Le 22/10/2022 à 09:44, Jean-Pierre Giraud a écrit :

Bonjour,

Terminé. Merci à Daniel pour ses relectures.
Amicalement,
jipege


OpenPGP_signature
Description: OpenPGP digital signature