Re: [RFR] wml://security/2016/dla-14{0,1,2,3,5}.wml

[jean-pierre giraud]

Bonjour,
Le 11/08/2017 à 09:18, JP Guillonneau a écrit :
> Bonjour,
> Voici quelques traductions de dla.
> Merci d'avance pour vos relectures.
> Amicalement.
> --
> Jean-Paul
Quelques suggestions.
Amicalement,
jipege
--- dla-140.wml	2017-08-11 17:57:12.176142404 +0200
+++ dla-140jpg.wml	2017-08-11 18:04:22.069040454 +0200
@@ -25,7 +25,7 @@
 et https://security-tracker.debian.org/tracker/CVE-2012-0061";>CVE-2012-0061
 
 Empêchement d’un déni de service (plantage) et éventuellement de
-l’exécution de code arbitraire à l’aide d’une balise non valable de zone dans
+l’exécution de code arbitraire à l’aide d’une balise de zone non valable dans
 des fichiers RPM.
 
 
--- dla-141.wml	2017-08-11 17:57:12.840137598 +0200
+++ dla-141jpg.wml	2017-08-11 18:05:37.612502269 +0200
@@ -2,7 +2,7 @@
 Mise à jour de sécurité pour LTS
 
 Une vulnérabilité a été corrigée dans la bibliothèque libksba de prise en
-charge de X.509 et CMS :
+charge de X.509 et de CMS :
 
 
 
--- dla-142.wml	2017-08-11 17:57:13.204134963 +0200
+++ dla-142jpg.wml	2017-08-11 18:12:46.817448577 +0200
@@ -15,9 +15,9 @@
 https://security-tracker.debian.org/tracker/CVE-2015-1031";>CVE-2015-1031,
 CID66376 et CID66391 :
 
-pcrs_execute() : systématiquement régler *result à NULL en cas d’erreurs.
+pcrs_execute() : régler systématiquement *result à NULL en cas d’erreurs.
 Cela devrait rendre une utilisation de mémoire après libération dans
-l’appelant moins susceptible.
+l’appelant moins probable.
 
 https://security-tracker.debian.org/tracker/CVE-2015-1381";>CVE-2015-1381:
 
@@ -26,7 +26,7 @@
 
 https://security-tracker.debian.org/tracker/CVE-2015-1382";>CVE-2015-1382:
 
-Correction de validité de lectures pour empêcher des plantages potentiels.
+Correction de lecture non valable pour empêcher des plantages potentiels.
 
 
 
--- dla-143.wml	2017-08-11 17:57:14.056128796 +0200
+++ dla-143jpg.wml	2017-08-11 18:26:01.435811423 +0200
@@ -13,8 +13,8 @@
 
 https://security-tracker.debian.org/tracker/CVE-2015-0219";>CVE-2015-0219
 
-– Usurpation d’en-tête WSGI à l’aide d’une combinaison de tiret bas et
-de tiret
+– Usurpation d’en-tête WSGI à l’aide d’une combinaison de tirets bas et
+de tirets
 
 Lorsque des en-têtes HTTP sont placés dans la fonction environ de
 WSGI, ils sont standardisés en les convertissant en majuscules, en
@@ -30,7 +30,7 @@
 sécuritaire (par exemple, transmettre des informations d’authentification à
 partir d’un mandataire frontal), même si le mandataire retire soigneusement
 toute valeur entrante pour X-Auth-User, un attaquant pourrait être capable de
-fournir un en-tête X-Auth_User header (avec un tiret bas) et de contourner
+fournir un en-tête X-Auth_User (avec un tiret bas) et de contourner
 cette protection.
 
 Dans le but d’empêcher de telles attaques, à la fois Nginx et Apache 2.4+
@@ -42,8 +42,8 @@
 
 https://security-tracker.debian.org/tracker/CVE-2015-0220";>CVE-2015-0220
 
-– Attaques XSS possibles à l’aide de redirections d’URL fournis par des
-utilisateurs
+– Attaques de script intersite (XSS) possibles à l’aide de redirections
+d’URL fournis par des utilisateurs
 
 Django dépend des saisies d’utilisateur dans certains cas (par exemple,
 django.contrib.auth.views.login() et i18n) pour rediriger l’utilisateur vers
@@ -58,10 +58,10 @@
 
 https://security-tracker.debian.org/tracker/CVE-2015-0221";>CVE-2015-0221
 
-– Attaque par déni de service attaque contre django.views.static.serve
+– Attaque par déni de service contre django.views.static.serve
 
 Dans les anciennes versions de Django, la vue django.views.static.serve()
-lit les fichiers qu’il distribue en ligne à un certain moment. Par conséquent,
+lit les fichiers qu’il distribue une ligne à la fois. Par conséquent,
 un gros fichier sans nouvelle ligne pourrait conduire dans une utilisation de
 la mémoire égale à la taille de ce fichier. Un attaquant pourrait exploiter
 cela et lancer une attaque par déni de service en demandant de nombreux gros
--- dla-145.wml	2017-08-11 17:57:14.900122687 +0200
+++ dla-145jpg.wml	2017-08-11 18:59:19.790124554 +0200
@@ -30,8 +30,8 @@
 https://security-tracker.debian.org/tracker/CVE-2014-8117";>CVE-2014-8117
 
 Arrêt des rapports de mauvaises capacités après les quelques premiers.
-Limitation du nombre de programmes et de sections. Limitation du nombre de
-niveaux de récursion.
+Limitation du nombre de programme et d'en-tête de section. Limitation du
+nombre de niveaux de récursion.
 
 CVE-2015-TEMP (pas encore de numéro de CVE officiel fourni)
 

[RFR] wml://security/2016/dla-14{0,1,2,3,5}.wml

[JP Guillonneau]

Bonjour,

Voici quelques traductions de dla.

Merci d'avance pour vos relectures.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs vulnérabilités ont été corrigées dans rpm :



https://security-tracker.debian.org/tracker/CVE-2014-8118";>CVE-2014-8118

Correction d’un dépassement d’entier permettant à des attaquants distants
d’exécuter du code arbitraire.

https://security-tracker.debian.org/tracker/CVE-2013-6435";>CVE-2013-6435

Empêchement pour des attaquants distants d’exécuter du code arbitraire à
l’aide de fichiers RPM contrefaits.

https://security-tracker.debian.org/tracker/CVE-2012-0815";>CVE-2012-0815

Correction d’un déni de service et d’une exécution possible de code à
l’aide d’une valeur négative pour l’emplacement de zone dans des fichiers RPM
contrefaits.

https://security-tracker.debian.org/tracker/CVE-2012-0060";>CVE-2012-0060
et https://security-tracker.debian.org/tracker/CVE-2012-0061";>CVE-2012-0061

Empêchement d’un déni de service (plantage) et éventuellement de
l’exécution de code arbitraire à l’aide d’une balise non valable de zone dans
des fichiers RPM.



Nous vous recommandons de mettre à jour vos paquets rpm.
Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 4.8.1-6+squeeze2 de rpm.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-140.data"
# $Id : dla-140.wml,v 1.3 2016/04/08 20:32:23 djpig Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Une vulnérabilité a été corrigée dans la bibliothèque libksba de prise en
charge de X.509 et CMS :



https://security-tracker.debian.org/tracker/CVE-2014-9087";>CVE-2014-9087

Correction d’un dépassement de tampon dans ksba_oid_to_str, signalé par
Hanno Böck.



Pour Debian 6 Squeeze, ce problème a été corrigé dans la
version 1.0.7-2+deb6u1 de libksba.
Nous vous recommandons de mettre à jour vos paquets libksba.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-141.data"
# $Id: dla-141.wml,v 1.1 2017/08/11 07:16:55 jptha-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs vulnérabilités ont été découvertes dans Privoxy, un serveur
mandataire (Proxy) HTTP qui améliore la confidentialité :



https://security-tracker.debian.org/tracker/CVE-2015-1031";>CVE-2015-1031,
CID66394 :

unmap() : empêchement d’une utilisation de mémoire après libération si le
mappage consiste en un seul item.

https://security-tracker.debian.org/tracker/CVE-2015-1031";>CVE-2015-1031,
CID66376 et CID66391 :

pcrs_execute() : systématiquement régler *result à NULL en cas d’erreurs.
Cela devrait rendre une utilisation de mémoire après libération dans
l’appelant moins susceptible.

https://security-tracker.debian.org/tracker/CVE-2015-1381";>CVE-2015-1381:

Correction de plusieurs erreurs de segmentation et fuites de mémoire dans
le code de pcrs.

https://security-tracker.debian.org/tracker/CVE-2015-1382";>CVE-2015-1382:

Correction de validité de lectures pour empêcher des plantages potentiels.



Nous vous recommandons de mettre à jour vos paquets privoxy.
Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 3.0.16-1+deb6u1 de privoxy.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-142.data"
# $Id: dla-142.wml,v 1.1 2017/08/11 07:16:55 jptha-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs problèmes de sécurité ont été découverts dans Django :
https://www.djangoproject.com/weblog/2015/jan/13/security/";>
https://www.djangoproject.com/weblog/2015/jan/13/security/

Pour Debian 6 Squeeze, ils ont été corrigés dans la
version 1.2.3-3+squeeze12 de python-django. Voici ce que les développeurs
amont ont à dire à propos de ces problèmes :



https://security-tracker.debian.org/tracker/CVE-2015-0219";>CVE-2015-0219

– Usurpation d’en-tête WSGI à l’aide d’une combinaison de tiret bas et
de tiret

Lorsque des en-têtes HTTP sont placés dans la fonction environ de
WSGI, ils sont standardisés en les convertissant en majuscules, en
convertissant tous les tirets en tirets bas et en ajoutant le préfixe HTTP_.
Par exemple, un en-tête X-Auth-User devient HTTP_X_AUTH_USER dans la fonction
environ WSGI (et par conséquent aussi dans le dictionnaire
request.META de Django).

Malheureusement, cela signifie que la fonction environ de WSGI ne
faisait pas de distinction entre les en-têtes contenant des tirets et ceux
contenant des tirets bas : X-Auth-User et X-Auth_User deviennent tous les deux
HTTP_X_AUTH_USER. Cela signifie que si un en-tê