Bonjour, Voici quelques traductions de dla. Merci d'avance pour vos relectures.
Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Cette mise à jour corrige un problème avec reverse() créant des URL externes, un déni de service impliquant le téléversement de fichier, un problème de détournement de session potentiel dans un intergiciel dâutilisateur distant, et une fuite de données dans lâinterface administrative.</p> <p>Cette mise à jour vous est apportée grâce aux parrains de Debian LTS : <a href="http://www.freexian.com/services/debian-lts.html">http://www.freexian.com/services/debian-lts.html</a></p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0480">CVE-2014-0480</a> <p>Django est fourni avec une fonction dâassistance django.core.urlresolvers.reverse, classiquement utilisée pour créer un URL à partir dâune référence pour inspecter une fonction ou un nom de modèle dâURL. Cependant, lorsque une entrée est présentée avec deux barres obliques (//), reverse() pourrait créer un URL fonction du modèle à dâautres hôtes, permettant à un attaquant conscient de lâusage non sûr de reverse(), (c'est-à -dire pour prendre un cas courant, dans une situation ou un utilisateur final peut contrôler la cible dâune redirection), de créer des liens vers les sites de son choix, dâactiver lâhameçonnage ou dâautres attaques.</p> <p>Pour remédier à cela, la résolution inversée dâURL (URL reversing) dorénavant veille quâaucun URL ne commence avec deux barres obliques (//), en remplaçant la seconde barre oblique par sa contrepartie encodée dâURL (%2F). Cette approche garantit que les sémantiques restent les mêmes, tout en rendant les URL relatifs au domaine et non au modèle.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0481">CVE-2014-0481</a> <p>Dans la configuration par défaut, quand le système de téléversement de fichier de Django est fourni avec un fichier qui aurait les mêmes nom et chemin sur le disque quâun fichier existant, il essaie de créer un nouveau nom unique de fichier en ajoutant un tiret bas et un nombre à la fin du nom de fichier (tel quâenregistré sur le disque), incrémentant le nombre (c'est-à -dire, _1, _2, etc.) jusquâà créer un nom nâentrant pas en conflit avec celui dâun fichier existant.</p> <p>Un attaquant connaissant cela peut exploiter le comportement séquentiel de la création de nom de fichier, en téléversant de nombreuses petits fichiers qui ont en commun un nom de fichier. Django, dans leur traitement, créera des nombres continuellement croissant dâappels de os.stat() en essayant de créer un nom de fichier unique. Par conséquent, même un nombre relativement petit de tels téléversements peut dégrader de manière significative les performances.</p> <p>Pour remédier à cela, le système de téléversement de fichier de Django nâutilisera plus les noms avec nombres séquentiels pour éviter des conflits de noms de fichier sur le disque. à la place, une chaîne alphanumérique courte et aléatoire sera ajoutée, supprimant la possibilité de créer de manière fiable plusieurs noms de fichier continuellement différents.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0482">CVE-2014-0482</a> <p>Django fournit un intergiciel, django.contrib.auth.middleware.RemoteUserMiddleware, et un dorsal dâauthentification, django.contrib.auth.backends.RemoteUserBackend, utilisant lâen-tête REMOTE_USER en vue dâauthentification.</p> <p>Dans quelques circonstances, lâutilisation de ces intergiciel et dorsal pourrait conduire à ce quâun utilisateur reçoive une autre session dâutilisateur, si une modification de lâen-tête REMOTE_USER se produit sans action de connexion ou déconnexion.</p> <p>Pour remédier à cela, lâintergiciel dorénavant garantit quâun changement dans REMOTE_USER sans une déconnexion explicite forcera une connexion avant dâaccepter un nouveau REMOTE_USER.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0483">CVE-2014-0483</a> <p>Lâinterface administrative de Django, django.contrib.admin, fournit une fonction permettant à des objets voisins dâêtre affichés pour une sélection dans une fenêtre surgissante. Le mécanisme pour cela repose sur le placement de valeurs dans lâURL et de chaînes de requête qui indiquent le modèle concerné à afficher et le champ dans lequel le lien est implémenté. Ce mécanisme doit réaliser les vérifications de permission au niveau de la classe du modèle dans son ensemble.</p> <p>Ce mécanisme, cependant, ne vérifiait pas que le champ indiqué représentait effectivement le lien entre les modèles. Par conséquent, un utilisateur ayant accès à lâinterface dâadministration et avec une connaissance suffisante de la structure du modèle et des URL adéquats, pourrait construire des fenêtres surgissantes qui pourraient afficher des valeurs de champs non liés, y compris des champs que le développeur de lâapplication nâa pas prévu dâexposer dâune telle façon.</p> <p>Pour remédier à cela, lâinterface administrative, en plus de ses vérifications habituelles de permission, vérifie que le champ indiqué représente effectivement un lien avec le modèle enregistré par lâadministrateur et lèvera une exception si lâune des conditions est fausse.</p></li> </ul> <p>Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 1.2.3-3+squeeze11 de python-django.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dla-65.data" # $Id: dla-65.wml,v 1.3 2016/04/08 20:32:21 djpig Exp $
#use wml::debian::translation-check translation="1.4" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0231">CVE-2014-0231</a> : <p>Empêchement dâun déni de service dans mod_cgid.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0226">CVE-2014-0226</a> : <p>Empêchement dâun déni de service à lâaide de race dans mod_status.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0118">CVE-2014-0118</a> : <p>Correction de consommation de ressources à lâaide de la décompression du corps de mod_deflate.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6438">CVE-2013-6438</a> : <p>Empêchement dâun déni de service à lâaide dâune fin de chaîne incorrecte de mod_dav.</p></li> </ul> <p>Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 2.2.16-6+squeeze13 dâapache2.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dla-66.data" # $Id: dla-66.wml,v 1.4 2016/04/08 20:32:21 djpig Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3538">CVE-2014-3538</a> <p>Le correctif original pour <a href="https://security-tracker.debian.org/tracker/CVE-2013-7345">CVE-2013-7345</a> ne corrige pas suffisamment le problème. Un attaquant distant pourrait encore causer un déni de service (consommation de CPU) à l'aide d'un fichier dâentrée contrefait pour l'occasion, déclenchant un retour arrière durant le traitement dâune règle dâexpression rationnelle dâawk.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3587">CVE-2014-3587</a> <p>L'analyseur CDF du module fileinfo ne traite pas correctement des fichiers malformés de format CDF (Composite Document File), menant à des plantages.</p> </li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3597">CVE-2014-3597</a> <p>Le correctif original pour <a href="https://security-tracker.debian.org/tracker/CVE-2014-4049">CVE-2014-4049</a> ne corrige pas suffisamment le problème. Un serveur malveillant ou un attaquant « homme du milieu » pourrait causer un déni de service (plantage) ou éventuellement exécuter du code arbitraire à l'aide d'un enregistrement contrefait DNS TXT.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4670">CVE-2014-4670</a> <p>PHP gère incorrectement certains itérateurs SPL. Un attaquant local pourrait utiliser ce défaut pour provoquer un plantage de PHP, conduisant à un déni de service.</p></li> </ul> <p>Pour Debian 6 Squeeze, ce problème a été corrigé dans la version 5.3.3-7+squeeze22 de php5.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dla-67.data" # $Id: dla-67.wml,v 1.3 2016/04/08 20:32:21 djpig Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3875">CVE-2014-3875</a>] <p>Lors de lâinsertion de caractères de nouvelle lignes encodés dans une requête vers rup, des en-têtes HTTP supplémentaires peuvent être injectés dans la réponse, ainsi que du nouveau code HTML au sommet du site web.</p></li> <li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3876">CVE-2014-3876</a>] <p>Le paramètre akey est réfléchi non filtré comme composant de la page HTML. Quelques caractères sont interdits dans le paramètre GET à cause du filtrage de lâURL, mais cela peut être contourné en utilisant le paramètre POST. Néanmoins, ce défaut est exploitable à lâaide du paramètre GET seul, avec quelque interaction de lâutilisateur.</p></li> <li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3877">CVE-2014-3877</a>] <p>Le paramètre addto est seulement réfléchi légèrement filtré vers lâutilisateur comme composant de la page HTML. Quelques caractères sont interdits dans le paramètre GET à cause du filtrage de lâURL, mais cela peut être contourné en utilisant le paramètre POST. Néanmoins, ce défaut est exploitable à lâaide du paramètre GET seul, avec quelque interaction de lâutilisateur.</p></li> </ul> <p>Pour Debian 6 Squeeze, ce problème a été corrigé dans la version 20100208+debian1-1+squeeze4 de fex.<p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dla-68.data" # $Id: dla-68.wml,v 1.3 2016/04/08 20:32:21 djpig Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Stefano Zacchiroli a découvert que certains fichiers dâentrée JavaScript font que ctags entre dans une boucle infinie jusquâau remplissage de lâespace disque. Cette mise à jour corrige l'analyseur JavaScript.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans exuberant-ctags, version 1:5.8-3squeeze2.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dla-69.data" # $Id: dla-69.wml,v 1.2 2016/04/08 20:32:21 djpig Exp $