Re: [RFR] wml://security/2016/dla-14{0,1,2,3,5}.wml
Bonjour, Le 11/08/2017 à 09:18, JP Guillonneau a écrit : > Bonjour, > Voici quelques traductions de dla. > Merci d'avance pour vos relectures. > Amicalement. > -- > Jean-Paul Quelques suggestions. Amicalement, jipege --- dla-140.wml 2017-08-11 17:57:12.176142404 +0200 +++ dla-140jpg.wml 2017-08-11 18:04:22.069040454 +0200 @@ -25,7 +25,7 @@ et https://security-tracker.debian.org/tracker/CVE-2012-0061";>CVE-2012-0061 Empêchement dâun déni de service (plantage) et éventuellement de -lâexécution de code arbitraire à lâaide dâune balise non valable de zone dans +lâexécution de code arbitraire à lâaide dâune balise de zone non valable dans des fichiers RPM. --- dla-141.wml 2017-08-11 17:57:12.840137598 +0200 +++ dla-141jpg.wml 2017-08-11 18:05:37.612502269 +0200 @@ -2,7 +2,7 @@ Mise à jour de sécurité pour LTS Une vulnérabilité a été corrigée dans la bibliothèque libksba de prise en -charge de X.509 et CMS : +charge de X.509 et de CMS : --- dla-142.wml 2017-08-11 17:57:13.204134963 +0200 +++ dla-142jpg.wml 2017-08-11 18:12:46.817448577 +0200 @@ -15,9 +15,9 @@ https://security-tracker.debian.org/tracker/CVE-2015-1031";>CVE-2015-1031, CID66376 et CID66391 : -pcrs_execute() : systématiquement régler *result à NULL en cas dâerreurs. +pcrs_execute() : régler systématiquement *result à NULL en cas dâerreurs. Cela devrait rendre une utilisation de mémoire après libération dans -lâappelant moins susceptible. +lâappelant moins probable. https://security-tracker.debian.org/tracker/CVE-2015-1381";>CVE-2015-1381: @@ -26,7 +26,7 @@ https://security-tracker.debian.org/tracker/CVE-2015-1382";>CVE-2015-1382: -Correction de validité de lectures pour empêcher des plantages potentiels. +Correction de lecture non valable pour empêcher des plantages potentiels. --- dla-143.wml 2017-08-11 17:57:14.056128796 +0200 +++ dla-143jpg.wml 2017-08-11 18:26:01.435811423 +0200 @@ -13,8 +13,8 @@ https://security-tracker.debian.org/tracker/CVE-2015-0219";>CVE-2015-0219 -â Usurpation dâen-tête WSGI à lâaide dâune combinaison de tiret bas et -de tiret +â Usurpation dâen-tête WSGI à lâaide dâune combinaison de tirets bas et +de tirets Lorsque des en-têtes HTTP sont placés dans la fonction environ de WSGI, ils sont standardisés en les convertissant en majuscules, en @@ -30,7 +30,7 @@ sécuritaire (par exemple, transmettre des informations dâauthentification à partir dâun mandataire frontal), même si le mandataire retire soigneusement toute valeur entrante pour X-Auth-User, un attaquant pourrait être capable de -fournir un en-tête X-Auth_User header (avec un tiret bas) et de contourner +fournir un en-tête X-Auth_User (avec un tiret bas) et de contourner cette protection. Dans le but dâempêcher de telles attaques, à la fois Nginx et Apache 2.4+ @@ -42,8 +42,8 @@ https://security-tracker.debian.org/tracker/CVE-2015-0220";>CVE-2015-0220 -â Attaques XSS possibles à lâaide de redirections dâURL fournis par des -utilisateurs +â Attaques de script intersite (XSS) possibles à lâaide de redirections +dâURL fournis par des utilisateurs Django dépend des saisies dâutilisateur dans certains cas (par exemple, django.contrib.auth.views.login() et i18n) pour rediriger lâutilisateur vers @@ -58,10 +58,10 @@ https://security-tracker.debian.org/tracker/CVE-2015-0221";>CVE-2015-0221 -â Attaque par déni de service attaque contre django.views.static.serve +â Attaque par déni de service contre django.views.static.serve Dans les anciennes versions de Django, la vue django.views.static.serve() -lit les fichiers quâil distribue en ligne à un certain moment. Par conséquent, +lit les fichiers quâil distribue une ligne à la fois. Par conséquent, un gros fichier sans nouvelle ligne pourrait conduire dans une utilisation de la mémoire égale à la taille de ce fichier. Un attaquant pourrait exploiter cela et lancer une attaque par déni de service en demandant de nombreux gros --- dla-145.wml 2017-08-11 17:57:14.900122687 +0200 +++ dla-145jpg.wml 2017-08-11 18:59:19.790124554 +0200 @@ -30,8 +30,8 @@ https://security-tracker.debian.org/tracker/CVE-2014-8117";>CVE-2014-8117 Arrêt des rapports de mauvaises capacités après les quelques premiers. -Limitation du nombre de programmes et de sections. Limitation du nombre de -niveaux de récursion. +Limitation du nombre de programme et d'en-tête de section. Limitation du +nombre de niveaux de récursion. CVE-2015-TEMP (pas encore de numéro de CVE officiel fourni)
[RFR] wml://security/2016/dla-14{0,1,2,3,5}.wml
Bonjour, Voici quelques traductions de dla. Merci d'avance pour vos relectures. Amicalement. -- Jean-Paul #use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Plusieurs vulnérabilités ont été corrigées dans rpm : https://security-tracker.debian.org/tracker/CVE-2014-8118";>CVE-2014-8118 Correction dâun dépassement dâentier permettant à des attaquants distants dâexécuter du code arbitraire. https://security-tracker.debian.org/tracker/CVE-2013-6435";>CVE-2013-6435 Empêchement pour des attaquants distants dâexécuter du code arbitraire à lâaide de fichiers RPM contrefaits. https://security-tracker.debian.org/tracker/CVE-2012-0815";>CVE-2012-0815 Correction dâun déni de service et dâune exécution possible de code à lâaide dâune valeur négative pour lâemplacement de zone dans des fichiers RPM contrefaits. https://security-tracker.debian.org/tracker/CVE-2012-0060";>CVE-2012-0060 et https://security-tracker.debian.org/tracker/CVE-2012-0061";>CVE-2012-0061 Empêchement dâun déni de service (plantage) et éventuellement de lâexécution de code arbitraire à lâaide dâune balise non valable de zone dans des fichiers RPM. Nous vous recommandons de mettre à jour vos paquets rpm. Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 4.8.1-6+squeeze2 de rpm. # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-140.data" # $Id : dla-140.wml,v 1.3 2016/04/08 20:32:23 djpig Exp $ #use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Une vulnérabilité a été corrigée dans la bibliothèque libksba de prise en charge de X.509 et CMS : https://security-tracker.debian.org/tracker/CVE-2014-9087";>CVE-2014-9087 Correction dâun dépassement de tampon dans ksba_oid_to_str, signalé par Hanno Böck. Pour Debian 6 Squeeze, ce problème a été corrigé dans la version 1.0.7-2+deb6u1 de libksba. Nous vous recommandons de mettre à jour vos paquets libksba. # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-141.data" # $Id: dla-141.wml,v 1.1 2017/08/11 07:16:55 jptha-guest Exp $ #use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Plusieurs vulnérabilités ont été découvertes dans Privoxy, un serveur mandataire (Proxy) HTTP qui améliore la confidentialité : https://security-tracker.debian.org/tracker/CVE-2015-1031";>CVE-2015-1031, CID66394 : unmap() : empêchement dâune utilisation de mémoire après libération si le mappage consiste en un seul item. https://security-tracker.debian.org/tracker/CVE-2015-1031";>CVE-2015-1031, CID66376 et CID66391 : pcrs_execute() : systématiquement régler *result à NULL en cas dâerreurs. Cela devrait rendre une utilisation de mémoire après libération dans lâappelant moins susceptible. https://security-tracker.debian.org/tracker/CVE-2015-1381";>CVE-2015-1381: Correction de plusieurs erreurs de segmentation et fuites de mémoire dans le code de pcrs. https://security-tracker.debian.org/tracker/CVE-2015-1382";>CVE-2015-1382: Correction de validité de lectures pour empêcher des plantages potentiels. Nous vous recommandons de mettre à jour vos paquets privoxy. Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 3.0.16-1+deb6u1 de privoxy. # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-142.data" # $Id: dla-142.wml,v 1.1 2017/08/11 07:16:55 jptha-guest Exp $ #use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Plusieurs problèmes de sécurité ont été découverts dans Django : https://www.djangoproject.com/weblog/2015/jan/13/security/";> https://www.djangoproject.com/weblog/2015/jan/13/security/ Pour Debian 6 Squeeze, ils ont été corrigés dans la version 1.2.3-3+squeeze12 de python-django. Voici ce que les développeurs amont ont à dire à propos de ces problèmes : https://security-tracker.debian.org/tracker/CVE-2015-0219";>CVE-2015-0219 â Usurpation dâen-tête WSGI à lâaide dâune combinaison de tiret bas et de tiret Lorsque des en-têtes HTTP sont placés dans la fonction environ de WSGI, ils sont standardisés en les convertissant en majuscules, en convertissant tous les tirets en tirets bas et en ajoutant le préfixe HTTP_. Par exemple, un en-tête X-Auth-User devient HTTP_X_AUTH_USER dans la fonction environ WSGI (et par conséquent aussi dans le dictionnaire request.META de Django). Malheureusement, cela signifie que la fonction environ de WSGI ne faisait pas de distinction entre les en-têtes contenant des tirets et ceux contenant des tirets bas : X-Auth-User et X-Auth_User deviennent tous les deux HTTP_X_AUTH_USER. Cela signifie que si un en-tê