[RFR] wml://users/com/pog.wml
Bonjour, Le 12/08/2017 à 11:46, Quentin Lejard a écrit : > > Bonjour, > > La traduction de la pages users/com/pog est nécessaire. > > Source en anglais : > > https://alioth.debian.org/scm/viewvc.php/webwml/english/users/com/pog.wml?root=webwml=log > > Proposition de traduction. Cordialement. #use wml::debian::translation-check translation="1.1" maintainer="Quentin Lejard" # From: Tibor CsernayPermanence Ostéopathique de la Gare, Lausanne, Suisse http://www.pog.swiss/ #use wml::debian::users Nous sommes un centre osthéopatique de 16 employés. Nous avons un serveur Debian avec 10 stations de travail (terminaux clients) et deux imprimantes. Nous utilisons Icedove avec l'extention Lightning pour nos mails et calendriers ainsi qu'un script que nous avons développé en Python/tk sous licence GNU/GPL pour nos besoins médicaux Nous avons choisi Debian pour sa stabilité, sa sécurité et sa facilité de maintenance. Nous aimons Debian car c'est entièrement gratuit et libre, en comparaison avec les autres distributions basées sur Debian.
[RFR2] wml://security/2015/dla-19{2,3,4,5,6,7,8}.wml
Bonjour, Le 11/08/2017 à 13:52, JP Guillonneau a écrit : > Bonjour, > corrections éventuelles. > Amicalement. > -- > Jean-Paul Corrigé. Je ne renvoie que le 193, le 192 ne concernant que des problèmes d'espaces protégées. Merci d'avance pour vos nouvelles relectures. Amicalement, jipege #use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS https://security-tracker.debian.org/tracker/CVE-2015-1853;>CVE-2015-1853: Protection des associations NTP symétriques authentifiées contre les attaques par déni de service. Un attaquant qui sait que les hôtes NTP A et B sont pairs entre eux (association symétrique) peut envoyer un paquet avec des horodatages aléatoires à l'hôte A avec l'adresse source de B qui réglera les variables d'état NTP sur A selon les valeurs envoyées par l'attaquant. L'hôte A enverra, à sa prochaine interrogation de B, un paquet avec l'horodatage d'origine qui ne correspond pas à l'horodatage transmis de B et le paquet sera rejeté. Si l'attaquant fait cela régulièrement pour les deux hôtes, ils seront incapables de se synchroniser entre eux. C'est une attaque par déni de service. Selon la page https://www.eecis.udel.edu/~mills/onwire.html;>https://www.eecis.udel.edu/~mills/onwire.html, l'authentification NTP est censée protéger les associations symétriques de ces attaques, mais dans les spécifications NTPv3 (RFC 1305) et NTPv4 (RFC 5905) les variables d'état sont mises à jour avant que la vérification d'authentification ne soit réalisée ce qui signifie que l'association est vulnérable à l'attaque même quand l'authentification est activée. Pour corriger ce problème, enregistrement des horodatages d'origine et local seulement quand la vérification d'authentification (test5) a été réussie. https://security-tracker.debian.org/tracker/CVE-2015-1821;>CVE-2015-1821: Correction de la configuration d'accès avec une taille de sous-réseau indivisible par 4. Lorsque l'accès à NTP ou cmdmon était configuré (dans chrony.conf ou à l'aide d'un cmdmon authentifié) avec une taille de sous-réseau indivisible par 4 et une adresse qui avait des bits non nuls dans le reste de sous-réseau de 4 bits (par exemple 192.168.15.0/22 ou f000::/3), la nouvelle configuration était écrite à un emplacement incorrect, éventuellement en dehors du tableau alloué. Un attaquant qui a la clé de commande et a le droit d'accéder à cmdmon (par défaut, seul localhost est autorisé) pourrait exploiter cela pour planter chronyd ou éventuellement exécuter du code arbitraire avec les droits du processus de chronyd. https://security-tracker.debian.org/tracker/CVE-2015-1822;>CVE-2015-1822: Correction de l'initialisation des emplacements de réponse pour les commandes authentifiées. Lors de l'allocation de mémoire pour stocker des réponses de non-réception à des requêtes de commandes authentifiées, le dernier pointeur next n'était pas initialisé à NULL. Quand tous les emplacements de réponse alloués sont utilisés, la réponse suivante pourrait être écrite dans un emplacement mémoire non valable plutôt que d'être alloué à un nouvel emplacement. Un attaquant qui a la clé de commande et a le droit d'accéder à cmdmon (par défaut, seul localhost est autorisé) pourrait exploiter cela pour planter chronyd ou éventuellement exécuter du code arbitraire avec les droits du processus de chronyd. # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-193.data" # $Id: dla-193.wml,v 1.2 2017/08/12 22:01:39 jipege1-guest Exp $
[RFR2] wml://security/2015/dla-18{0,1,2,3,4,6,7,8,9}.wml
Bonjour, Le 11/08/2017 à 13:51, JP Guillonneau a écrit : > Bonjour, > corrections éventuelles. > Amicalement. > -- > Jean-Paul Corrigé. Je ne renvoie que le 182, les autres corrections ne concernant que des problèmes d'espace. Merci pour vos nouvelles relectures. Amicalement, jipege #use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Nicolas Gregoire et Kevin Schaller ont découvert que Batik, une boîte à outils pour le traitement des images SVG, pourrait charger des entités XML externes par défaut. Si un utilisateur ou un système automatisé étaient piégés par l'ouverture d'un fichier SVG contrefait pour l'occasion, un attaquant pourrait éventuellement obtenir l'accès à des fichiers arbitraires ou provoquer une consommation de ressources. Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans batik version 1.7-6+deb6u1 # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-182.data" # $Id: dla-182.wml,v 1.2 2017/08/12 21:52:50 jipege1-guest Exp $
[DONE] wml://users/com/skroutz.wml
Bonjour, Le 11/08/2017 à 19:25, Quentin Lejard a écrit : > Bonjour, > deuxième tentative en LCFC ! > > Merci JP de vos re lectures et suggestions. > > Cordialement. Passage en DONE. QL.
[RFR] wml://users/com/trovalost.wml
Bonjour, Le 12/08/2017 à 11:30, Quentin Lejard a écrit : > > Bonjour, > > La traduction de la pages users/com/trovalost est nécessaire. > > Source en anglais : > > https://alioth.debian.org/scm/viewvc.php/webwml/english/users/com/trovalost.wml?root=webwml=log > > Proposition de traduction. Cordialement. #use wml::debian::translation-check translation="1.1" maintainer="Quentin Lejard" # From: Salvatore CapolupoTrovalost, Cosenza, Italie http://trovalost.it/ #use wml::debian::users Nous utilisons Debian pour le développement et dans le but de tester des sites, par exemple. Environnement LAMP.
[ITT] wml://users/com/pog.wml
Bonjour, La traduction de la pages users/com/pog est nécessaire. Source en anglais : https://alioth.debian.org/scm/viewvc.php/webwml/english/users/com/pog.wml?root=webwml=log Je vais m'en charger. RFR à suivre. Cordialement, QL
Re: [RFR] wml://security/2017/dsa-3905.wml
Le 11/08/2017 à 09:56, Alban Vidal a écrit : > Bonjour, > On 08/11/2017 09:26 AM, Alban Vidal wrote: >> Bonjour, >> On 07/10/2017 12:46 PM, jean-pierre giraud wrote: >>> Une nouvelle annonce de sécurité vient d'être publiée. En voici une >>> traduction. >>> Merci d'avance pour vos relectures. >> Détails : >> Je propose comme dans /security/2014/dla-120 : >> s/server X X.org/server X de X.org/ >> Il manquait une parenthèse fermente, mais j'ai pu remarqué que dans la >> version qui est en ligne elle y est. >> Cordialement, >> Alban > Au temps pour moi, j'ai du répondre à un doublon... je viens de voir un > DONE sur une suite de messages avec le même sujet. > Vous aussi vous avez des doublons par moment ? > Cordialement, > > Alban C'est corrigé. Merci Alban. Pour les doublons, je n'ai rien remarqué de particulier. Cela peut être lié à ton fournisseur d'accès. Amicalement, jipege
[ITT] wml://users/com/trovalost.wml
Bonjour, La traduction de la pages users/com/trovalost est nécessaire. Source en anglais : https://alioth.debian.org/scm/viewvc.php/webwml/english/users/com/trovalost.wml?root=webwml=log Je vais m'en charger. RFR à suivre. Cordialement, QL
[RFR2] wml://security/2015/dla-17{0,1,2,3,4,6,7}.wml
Bonjour, Le 11/08/2017 à 11:50, JP Guillonneau a écrit : > Bonjour, > suggestions. > (Désolé pour le doublon, mauvais clic) > Amicalement. > -- > Jean-Paul Corrigé. Merci pour vos nouvelles relectures. Amicalement, jipege #use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS MATTA-2015-002 Florent Daigniere a découvert que PuTTY n'imposait pas un intervalle acceptable pour la valeur du serveur Diffie-Hellman, comme l'exige la RFC 4253, permettant éventuellement l'établissement d'une connexion interceptable dans l'éventualité d'une vulnérabilité de serveur. #779488, https://security-tracker.debian.org/tracker/CVE-2015-2157;>CVE-2015-2157 Patrick Coleman a découvert que PuTTY n'effaçait pas de la mémoire les informations de clés privées SSH-2 lors du chargement et de l'enregistrement des fichiers de clés, ce qui pourrait avoir pour conséquence la divulgation de données de clés privées. Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans putty version 0.60+2010-02-20-1+squeeze3 # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-173.data" # $Id: dla-173.wml,v 1.2 2017/08/12 17:55:35 jipege1-guest Exp $ #use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Plusieurs problèmes ont été découverts dans la manière dont tcpdump gérait certains protocoles d'impression. Ces problèmes peuvent conduire à un déni de service, ou, éventuellement, à l'exécution de code arbitraire. https://security-tracker.debian.org/tracker/CVE-2015-0261;>CVE-2015-0261 Vérifications de limites manquantes dans le module d'impression « IPv6 Mobility » https://security-tracker.debian.org/tracker/CVE-2015-2154;>CVE-2015-2154 Vérifications de limites manquantes dans le module d'impression ISOCLNS https://security-tracker.debian.org/tracker/CVE-2015-2155;>CVE-2015-2155 Vérifications de limites manquantes dans le module d'impression ForCES Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans tcpdump version tcpdump_4.1.1-1+deb6u2 Merci à Romain Françoise qui a préparé cette mise à jour. # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-174.data" # $Id: dla-174.wml,v 1.2 2017/08/12 17:55:35 jipege1-guest Exp $ #use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Trois problèmes de la pile TLS de Mono sont corrigés. https://security-tracker.debian.org/tracker/CVE-2015-2318;>CVE-2015-2318 L'implémentation de Mono de la pile SSL/TLS échouait à analyser l'ordre des messages de lâinitialisation de connexion. Cela pourrait permettre la réussite de diverses attaques contre le protocole (« SKIP-TLS »). https://security-tracker.debian.org/tracker/CVE-2015-2319;>CVE-2015-2319 L'implémentation de Mono de SSL/TLS contenait aussi la prise en charge de chiffrements EXPORT faibles et était vulnérable à une attaque de type « FREAK ». https://security-tracker.debian.org/tracker/CVE-2015-2320;>CVE-2015-2320 Mono contenait un code de repli SSLv2 qui n'est plus nécessaire et peut être considéré comme non sûr. Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans mono version 2.6.7-5.1+deb6u1 # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-176.data" # $Id: dla-176.wml,v 1.2 2017/08/12 17:55:35 jipege1-guest Exp $ #use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Plusieurs vulnérabilités ont été découvertes dans OpenSSL, une boîte à outils associée à SSL (« Secure Sockets Layer »). Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants. https://security-tracker.debian.org/tracker/CVE-2015-0209;>CVE-2015-0209 Une clé privée EC malformée pourrait résulter en une corruption de la mémoire. https://security-tracker.debian.org/tracker/CVE-2015-0286;>CVE-2015-0286 Stephen Henson a découvert que la fonction ASN1_TYPE_cmp() peut être plantée, résultant en un déni de service. https://security-tracker.debian.org/tracker/CVE-2015-0287;>CVE-2015-0287 Emilia Kaesper a découvert une corruption de la mémoire dans le traitement ASN.1. https://security-tracker.debian.org/tracker/CVE-2015-0288;>CVE-2015-0288 Une absence de vérification des entrées dans la fonction X509_to_X509_REQ() pourrait résulter en un déni de service. https://security-tracker.debian.org/tracker/CVE-2015-0289;>CVE-2015-0289 Michal Zalewski a découvert un déréférencement de pointeur NULL dans le code de traitement PKCS#7, résultant en un déni de service. https://security-tracker.debian.org/tracker/CVE-2015-0292;>CVE-2015-0292 Une absence de vérification des entrées dans le décodage base64 pourrait résulter en une corruption de la
[RFR] wml://security/2017/dsa-393{7,8}.wml
Bonjour, deux nouvelles annonces de sécurité viennent d'être publiées. En voici une traduction. Merci d'avance pour vos relectures. Amicalement, jipege #use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité Matviy Kotoniy a signalé que la fonction gdImageCreateFromGifCtx() utilisée pour charger des images à partir de fichiers au format GIF dans libgd2, une bibliothèque de création et de manipulation programmées d'images, ne vidait pas la pile allouée aux tampons de table de couleur avant leur utilisation, ce qui pourrait aboutir à la divulgation d'informations lors du traitement d'un fichier contrefait pour l'occasion. Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 2.1.0-5+deb8u10. Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 2.2.4-2+deb9u1. Nous vous recommandons de mettre à jour vos paquets libgd2. # do not modify the following line #include "$(ENGLISHDIR)/security/2017/dsa-3938.data" # $Id: dsa-3938.wml,v 1.1 2017/08/12 17:02:55 jipege1-guest Exp $ #use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité Lilith Wyatt a découvert deux vulnérabilités dans le système de surveillance réseau Zabbix qui peuvent avoir pour conséquence l'exécution de code arbitraire ou l'écriture de bases de données par des mandataires malveillants. Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 1:2.2.7+dfsg-2+deb8u3. Pour la distribution stable (Stretch), ces problèmes ont été corrigés avant la publication initiale. Nous vous recommandons de mettre à jour vos paquets zabbix. # do not modify the following line #include "$(ENGLISHDIR)/security/2017/dsa-3937.data" # $Id: dsa-3937.wml,v 1.1 2017/08/12 17:02:55 jipege1-guest Exp $
[RFR] wml://security/2015/dla-15{1,3,4}.wml
Bonjour, Voici 3 traductions de dla 154 inspiré de dsa-3186 Merci d'avance pour vos relectures. Amicalement, jipege #use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS La mise à jour publiée pour libxml2 dans DSA 2978 corrigeant https://security-tracker.debian.org/tracker/CVE-2014-0191;>CVE-2014-0191 était incomplète. Cela entrainait libxml2 à encore télécharger des entités externes indépendamment du fait que la substitution ou la validation d'entité est activée ou non. En complément, cette mise à jour corrige une régression introduite dans DSA 3057 par le correctif de https://security-tracker.debian.org/tracker/CVE-2014-3660;>CVE-2014-3660. Cela entrainait libxml2 à ne pas analyser une entité quand elle est d'abord utilisée dans une entité référencée à partir d'une valeur d'attribut. Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans libxml2 version 2.7.8.dfsg-2+squeeze11 # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-151.data" # $Id: dla-151.wml,v 1.1 2017/08/12 13:42:48 jipege1-guest Exp $ #use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Un système de fichier cassé (ou contrefait de façon malveillante) pourrait déclencher un dépassement de tampon dans e2fsprogs. Cette mise à jour a été préparée par Nguyen Cong. Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans e2fsprogs version 1.41.12-4+deb6u1 # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-153.data" # $Id: dla-153.wml,v 1.1 2017/08/12 13:42:48 jipege1-guest Exp $ #use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS nss 3.12.8-1+squeeze11 corrige deux problèmes de sécurité : https://security-tracker.debian.org/tracker/CVE-2011-3389;>CVE-2011-3389 Les connexions SSL 3.0 et TLS 1.0 étaient vulnérables à certaines attaques à texte clair choisi (« chosen-plaintext »") qui permettaient à un attaquant de type « homme du milieu » d'obtenir des en-têtes HTTP en texte clair dans une session HTTPS. Ce problème est connu sous le nom d'attaque BEAST. https://security-tracker.debian.org/tracker/CVE-2014-1569;>CVE-2014-1569 Possible fuite d'informations avec un décodage trop permissif de longueurs d'ASN.1 DER. Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans nss version 3.12.8-1+squeeze11 # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-154.data" # $Id: dla-154.wml,v 1.1 2017/08/12 13:42:48 jipege1-guest Exp $
Re: [RFR] wml://security/2015/dla-15{5,6,7,8,9}.wml
Le 12/08/2017 à 14:58, jean-pierre giraud a écrit : Bonjour, Voici 5 traductions de dla 155 inspiré de dsa-3170 et 3128 156 de 3171 157 de 3147 158 de 3176 159 de 3172 Merci d'avance pour vos relectures. Amicalement, jipege bonjour une erreur dans dla-155 ligne 43 : La fonctionnalité espfix est désactivé à tort ... (il manque l'accord du participe.) Rien trouvé ailleurs Amicalement F.Meyer
[RFR2] wml://security/2016/dla-14{0,1,2,3,5}.wml
Bonjour, le vendredi 11 août 19:08, jean-pierre giraud a écrit : >Quelques suggestions. Merci, intégrées. D’autres commentaires ? Amicalement. -- Jean-Paul #use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Plusieurs vulnérabilités ont été corrigées dans rpm : https://security-tracker.debian.org/tracker/CVE-2014-8118;>CVE-2014-8118 Correction dâun dépassement dâentier permettant à des attaquants distants dâexécuter du code arbitraire. https://security-tracker.debian.org/tracker/CVE-2013-6435;>CVE-2013-6435 Empêchement pour des attaquants distants dâexécuter du code arbitraire à lâaide de fichiers RPM contrefaits. https://security-tracker.debian.org/tracker/CVE-2012-0815;>CVE-2012-0815 Correction dâun déni de service et dâune exécution possible de code à lâaide dâune valeur négative pour lâemplacement de zone dans des fichiers RPM contrefaits. https://security-tracker.debian.org/tracker/CVE-2012-0060;>CVE-2012-0060 et https://security-tracker.debian.org/tracker/CVE-2012-0061;>CVE-2012-0061 Empêchement dâun déni de service (plantage) et éventuellement de lâexécution de code arbitraire à lâaide dâune balise de zone non valable dans des fichiers RPM. Nous vous recommandons de mettre à jour vos paquets rpm. Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 4.8.1-6+squeeze2 de rpm. # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-140.data" # $Id : dla-140.wml,v 1.3 2016/04/08 20:32:23 djpig Exp $ #use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Une vulnérabilité a été corrigée dans la bibliothèque libksba de prise en charge de X.509 et de CMS : https://security-tracker.debian.org/tracker/CVE-2014-9087;>CVE-2014-9087 Correction dâun dépassement de tampon dans ksba_oid_to_str, signalé par Hanno Böck. Pour Debian 6 Squeeze, ce problème a été corrigé dans la version 1.0.7-2+deb6u1 de libksba. Nous vous recommandons de mettre à jour vos paquets libksba. # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-141.data" # $Id: dla-141.wml,v 1.2 2017/08/12 12:05:55 jptha-guest Exp $ #use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Plusieurs vulnérabilités ont été découvertes dans Privoxy, un serveur mandataire (Proxy) HTTP qui améliore la confidentialité : https://security-tracker.debian.org/tracker/CVE-2015-1031;>CVE-2015-1031, CID66394 : unmap() : empêchement dâune utilisation de mémoire après libération si le mappage consiste en un seul item. https://security-tracker.debian.org/tracker/CVE-2015-1031;>CVE-2015-1031, CID66376 et CID66391 : pcrs_execute() : régler systématiquement *result à NULL en cas dâerreurs. Cela devrait rendre une utilisation de mémoire après libération dans lâappelant moins probable. https://security-tracker.debian.org/tracker/CVE-2015-1381;>CVE-2015-1381: Correction de plusieurs erreurs de segmentation et fuites de mémoire dans le code de pcrs. https://security-tracker.debian.org/tracker/CVE-2015-1382;>CVE-2015-1382: Correction de lecture non valable pour empêcher des plantages potentiels. Nous vous recommandons de mettre à jour vos paquets privoxy. Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 3.0.16-1+deb6u1 de privoxy. # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-142.data" # $Id: dla-142.wml,v 1.2 2017/08/12 12:05:55 jptha-guest Exp $ #use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Plusieurs problèmes de sécurité ont été découverts dans Django : https://www.djangoproject.com/weblog/2015/jan/13/security/;> https://www.djangoproject.com/weblog/2015/jan/13/security/ Pour Debian 6 Squeeze, ils ont été corrigés dans la version 1.2.3-3+squeeze12 de python-django. Voici ce que les développeurs amont ont à dire à propos de ces problèmes : https://security-tracker.debian.org/tracker/CVE-2015-0219;>CVE-2015-0219 â Usurpation dâen-tête WSGI à lâaide dâune combinaison de tirets bas et de tirets Lorsque des en-têtes HTTP sont placés dans la fonction environ de WSGI, ils sont standardisés en les convertissant en majuscules, en convertissant tous les tirets en tirets bas et en ajoutant le préfixe HTTP_. Par exemple, un en-tête X-Auth-User devient HTTP_X_AUTH_USER dans la fonction environ WSGI (et par conséquent aussi dans le dictionnaire request.META de Django). Malheureusement, cela signifie que la fonction environ de WSGI ne faisait pas de distinction entre les en-têtes contenant des tirets et ceux contenant des tirets bas : X-Auth-User et X-Auth_User deviennent tous les deux
[RFR2] wml://security/2015/dla-13{3,5,6,7,8,9}.wml
Bonjour, le vendredi 11 août 15:19, jean-pierre giraud a écrit : >Suggestion. Merci,intégrée. D’autres commentaires ? Amicalement. -- Jean-Paul
Re: [RFR] wml://security/2015/dla-16{0,1,2,3,4}.wml
Bonjour, suggestions pour dla-16{0-9}.wml. Amicalement. -- Jean-Paul --- 002d.dla-160.wml 2017-08-12 12:44:43.463519400 +0200 +++ - 2017-08-12 12:49:30.520423766 +0200 @@ -7,8 +7,8 @@ https://security-tracker.debian.org/tracker/CVE-2014-0106;>CVE-2014-0106 -Todd C. Miller a signalé que si l'option env_reset est activée dans le -fichier sudoers, l'option env_delete n'est pas correctement appliqué aux +Todd C. Miller a signalé que si l'option env_reset est désactivée dans le +fichier sudoers, l'option env_delete n'est pas correctement appliquée aux variables d'environnement indiquées en ligne de commande. Un utilisateur malveillant avec des droits sudo peut être capable d'exécuter des commandes avec des droits plus élevés en manipulant l'environnement d'une commande @@ -19,9 +19,9 @@ Jakub Wilk a signalé que sudo conserve la variable TZ de l'environnement de l'utilisateur sans aucune vérification. Un utilisateur ayant accès à sudo peut tirer parti de cela pour exploiter des bogues dans les fonctions -de la bibliothèque C qui analysent la variable d'environnement TZ ou ouvrir +de la bibliothèque C qui analysent la variable d'environnement TZ ou ouvrir des fichiers qu'autrement l'utilisateur n'aurait pas pu ouvrir. Ce dernier -défaut pourrait éventuellement provoquer des modifications dans le +pourrait éventuellement provoquer des modifications dans le comportement du système lors de la lecture de certains fichiers de périphérique ou provoquer le blocage du programme exécuté avec sudo. @@ -31,7 +31,7 @@ dans la version 1.7.4p4-2.squeeze.5. Pour la distribution stable (Wheezy), ils ont été corrigés dans la -version 1.8.5p2-1+nmu2. +version 1.8.5p2-1+nmu2. Nous vous recommandons de mettre à jour vos paquets sudo. --- 0033.dla-163.wml 2017-08-12 12:53:11.165378468 +0200 +++ - 2017-08-12 12:54:34.033870339 +0200 @@ -6,7 +6,7 @@ d'une erreur sur la partie de l'opérateur de zone ou d'une interférence avec le trafic réseau par un attaquant. Ce problème affecte les configurations avec les directives « dnssec-validation auto; » (comme -implémenté dans la configuration par défaut de Debian) ou +implémentées dans la configuration par défaut de Debian) ou « dnssec-lookaside auto; ». Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans bind9
[RFR] wml://security/2015/dla-16{0,1,2,3,4}.wml
Bonjour, Voici 5 traductions de dla 161 inspiré de dsa-3173 162 de 3166 163 de 3162 164 de 3178 Merci d'avance pour vos relectures. Amicalement, jipege #use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Cette mise à jour corrige les CVE décrites ci-dessous. https://security-tracker.debian.org/tracker/CVE-2014-0106;>CVE-2014-0106 Todd C. Miller a signalé que si l'option env_reset est activée dans le fichier sudoers, l'option env_delete n'est pas correctement appliqué aux variables d'environnement indiquées en ligne de commande. Un utilisateur malveillant avec des droits sudo peut être capable d'exécuter des commandes avec des droits plus élevés en manipulant l'environnement d'une commande que l'utilisateur est légitimement autorisé à exécuter. https://security-tracker.debian.org/tracker/CVE-2014-9680;>CVE-2014-9680 Jakub Wilk a signalé que sudo conserve la variable TZ de l'environnement de l'utilisateur sans aucune vérification. Un utilisateur ayant accès à sudo peut tirer parti de cela pour exploiter des bogues dans les fonctions de la bibliothèque C qui analysent la variable d'environnement TZ ou ouvrir des fichiers qu'autrement l'utilisateur n'aurait pas pu ouvrir. Ce dernier défaut pourrait éventuellement provoquer des modifications dans le comportement du système lors de la lecture de certains fichiers de périphérique ou provoquer le blocage du programme exécuté avec sudo. Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.7.4p4-2.squeeze.5. Pour la distribution stable (Wheezy), ils ont été corrigés dans la version 1.8.5p2-1+nmu2. Nous vous recommandons de mettre à jour vos paquets sudo. # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-160.data" # $Id: dla-160.wml,v 1.1 2017/08/12 10:10:42 jipege1-guest Exp $ #use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Libgtk2-perl, une interface Perl pour la série 2.x de la bibliothèque de la boîte à outils de Gimp, libérait incorrectement la mémoire que GTK+ conservait encore et à laquelle il pourrait accéder plus tard, avec pour conséquence un déni de service (plantage d'application) ou, éventuellement, l'exécution de code arbitraire. Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans libgtk2-perl version 2:1.222-1+deb6u1 # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-161.data" # $Id: dla-161.wml,v 1.1 2017/08/12 10:10:42 jipege1-guest Exp $ #use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Jose Duart de l'équipe de sécurité de Google a découvert un dépassement de tampon dans e2fsprogs, un ensemble d'utilitaires des systèmes de fichiers ext2, ext3 et ext4. Ce problème peut éventuellement permettre l'exécution de code arbitraire si un périphérique malveillant est branché, si le système est configuré pour le monter automatiquement, et si le processus de montage choisit d'exécuter fsck sur le système de fichiers malveillant du périphérique. https://security-tracker.debian.org/tracker/CVE-2015-1572;>CVE-2015-1572 Correction incomplète pour https://security-tracker.debian.org/tracker/CVE-2015-0247;>CVE-2015-0247. Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans e2fsprogs version 1.41.12-4+deb6u2 # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-162.data" # $Id: dla-162.wml,v 1.1 2017/08/12 10:10:42 jipege1-guest Exp $ #use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Jan-Piet Mens a découvert que le serveur DNS BIND pourrait planter lors du traitement d'un recouvrement de clés DNSSEC incorrect, soit à cause d'une erreur sur la partie de l'opérateur de zone ou d'une interférence avec le trafic réseau par un attaquant. Ce problème affecte les configurations avec les directives « dnssec-validation auto; » (comme implémenté dans la configuration par défaut de Debian) ou « dnssec-lookaside auto; ». Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans bind9 version 1:9.7.3.dfsg-1~squeeze14 # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-163.data" # $Id: dla-163.wml,v 1.1 2017/08/12 10:10:42 jipege1-guest Exp $ #use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Jakub Wilk a découvert qu'unace, un utilitaire pour extraire, tester et visualiser les archives .ace, contenait un dépassement d'entier menant à un dépassement de tampon. Si un utilisateur ou un système automatisé était piégé dans le traitement d'une archive ace contrefaite pour l'occasion, un attaquant pourrait provoquer un déni de service
[RFR] wml://devel/join/{…}.wml
Bonjour, Quatre fichiers ont été modifiés par l’emploi de « their » : https://www.debian.org/devel/website/stats/fr Ces fichiers me semble ne pas devoir être modifié en français : their → Belonging to someone of unspecified gender. https://en.wikipedia.org/wiki/They Merci d’avance pour vos remarques. Amicalement. -- Jean-Paul
Re: [RFR2] wml://security/2017/dsa-3930.wml
Bonjour, On 08/11/2017 05:55 PM, jean-pierre giraud wrote: > Corrigé. Merci d'avance pour vos nouvelles relectures. Très très léger détail. Cordialement, Alban --- dsa-3930.wml2017-08-12 09:43:09.969744508 +0200 +++ av-dsa-3930.wml 2017-08-12 09:45:20.441627265 +0200 @@ -9,7 +9,7 @@ par plantage de l'application, ou éventuellement d'exécuter du code arbitraire. -Tous ces problèmes sont couverts par cette seule DSA, mais il est faut +Tous ces problèmes sont couverts par cette seule DSA, mais il faut noter que tous les problèmes n'affectent pas toutes les versions de Debian :
[LCFC] po-debconf://apt-listchanges/fr.po
Bonjour, On 08/09/2017 07:02 PM, Alban Vidal wrote: > Merci Jean-Paul, > > Suggestions appliqués. J'étais persuadé qu'un en-tête était féminin. > > Merci d'avance pour les nouvelles relectures. Pas de modification depuis RFR2, passage en LCFC. Cordialement, Alban
Re: [RFR] wml://security/2017/dsa-393{2,3,4,5,6}.wml
Bonjour, suggestions. Amicalement. -- Jean-Paul --- 0019.dsa-3936.wml 2017-08-12 08:47:33.889649705 +0200 +++ - 2017-08-12 08:48:09.024168958 +0200 @@ -21,7 +21,7 @@ La fonction lo_put() ignorait les ACL. Pour des descriptions plus détaillées des vulnérabilités de sécurité, -veuillez consulterhttps://www.postgresql.org/about/news/1772/;>https://www.postgresql.org/about/news/1772/ +veuillez consulter https://www.postgresql.org/about/news/1772/;>https://www.postgresql.org/about/news/1772/ --- 0015.dsa-3933.wml 2017-08-12 08:41:47.387495527 +0200 +++ - 2017-08-12 08:43:53.493071784 +0200 @@ -2,7 +2,7 @@ Mise à jour de sécurité Deux vulnérabilités ont été découvertes dans la bibliothèque de -communication de PJSIP/PJProject, qui peuvent avoir pour conséquence une +communication de PJSIP/PJProject, qui peuvent avoir pour conséquence un déni de service. Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés --- 0013.dsa-3934.wml 2017-08-12 08:39:36.366396669 +0200 +++ - 2017-08-12 08:41:31.059428354 +0200 @@ -2,7 +2,7 @@ Mise à jour de sécurité Joern Schneeweisz a découvert que git, un système de gestion de versions -distribué, ne gérait pas correctement les URL svn+ssh:// construites de +distribué, ne gérait pas correctement les URL ssh:// construites de façon malveillante. Cela permettait à un attaquant d'exécuter une commande arbitraire de l'interpréteur, par exemple grâce à des sous-modules de git.