Re: [RFR] wml://lts/security/2021/dla-2619.wml
On 08/04/2021 22:52, Baptiste Jammet wrote: > Bonjour, > > Dixit daniel.malg...@laposte.net, le 06/04/2021 : >> je suis curieux de savoir la position de >> la liste quant au "tiret != trait d'union" . Ils ne sont pas présents >> dans les 2 langues concernées. >> ( Le clavier peut-il faire la différence ?) > > Oui, cf. https://fr.wikipedia.org/wiki/Tiret : > >> Le tiret long ou « tiret cadratin » (« — » Unicode U+2014 HTML >> digicode A-0151; TeX ---) > >> Le tiret moyen ou « tiret demi‑cadratin » ou « tiret semi‑cadratin » >> ou « demi‑tiret » (« – » Unicode U+2013 HTML >> digicode A-0150; TeX --) > >> Le tiret court ou tiret quart de cadratin ou « trait d’union » ou « >> signe moins » (« - », Unicode U+002D, HTML ou ) > > Puis plus bas https://fr.wikipedia.org/wiki/Tiret#Codage_informatique > > Pour ce qui concerne le non+qqch, je suis de l'avis de Jean-Paul > > Baptiste > Merci Baptiste pour ces précisions, Qwerty ou Azerty, le clavier fait désormais bien partie de l'évolution de la typographie ...franco-anglaise. Pas de raisons d'être plus pointilleux que JP ;-) Bon W.E.
Re: [RFR] wml://lts/security/2021/dla-2619.wml
Bonjour, Dixit daniel.malg...@laposte.net, le 06/04/2021 : >je suis curieux de savoir la position de >la liste quant au "tiret != trait d'union" . Ils ne sont pas présents >dans les 2 langues concernées. >( Le clavier peut-il faire la différence ?) Oui, cf. https://fr.wikipedia.org/wiki/Tiret : >Le tiret long ou « tiret cadratin » (« — » Unicode U+2014 HTML > digicode A-0151; TeX ---) >Le tiret moyen ou « tiret demi‑cadratin » ou « tiret semi‑cadratin » >ou « demi‑tiret » (« – » Unicode U+2013 HTML >digicode A-0150; TeX --) >Le tiret court ou tiret quart de cadratin ou « trait d’union » ou « >signe moins » (« - », Unicode U+002D, HTML ou ) Puis plus bas https://fr.wikipedia.org/wiki/Tiret#Codage_informatique Pour ce qui concerne le non+qqch, je suis de l'avis de Jean-Paul Baptiste pgpfqJ1VQmiex.pgp Description: Signature digitale OpenPGP
Re: [RFR] wml://lts/security/2021/dla-2619.wml
On 06/04/2021 10:39, Grégoire Scano wrote: > Bonjour, > > On 4/6/21 2:33 PM, JP Guillonneau wrote: >> Ces annonces de sécurité ont été publiées. >> Les fichiers sont aussi disponibles ici : >> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-.wml >> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-.wml > > deux suggestions. > > Bien cordialement, > Grégoire > Bonjour, avec "non fiables" en ligne 8 je suis curieux de savoir la position de la liste quant au "tiret != trait d'union" . Ils ne sont pas présents dans les 2 langues concernées. ( Le clavier peut-il faire la différence ?) REF: http://la-grammaire-de-forator.over-blog.fr/article-le-trait-d-union-doit-il-ceder-le-pas-au-tiret-47346614.html Amicalement.
Re: [RFR] wml://lts/security/2021/dla-2619.wml
Bonjour, On 4/6/21 2:33 PM, JP Guillonneau wrote: > Ces annonces de sécurité ont été publiées. > Les fichiers sont aussi disponibles ici : > https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-.wml > https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-.wml deux suggestions. Bien cordialement, Grégoire --- dla-2619.wml 2021-04-06 14:36:42.300602232 +0800 +++ gregoire.dla-2619.wml 2021-04-06 14:37:25.297950488 +0800 @@ -10,13 +10,13 @@ Python 3.x avait un dépassement de tampon dans PyCArg_repr dans _ctypes/callproc.c qui pourrait conduire à l’exécution de code à distance dans certaines applications en Python qui acceptent des nombres en virgule flottante -comme entrée non fiable. Cela se produit à cause d’une utilisation non sûre de +comme entrées non fiables. Cela se produit à cause d’une utilisation non sûre de sprintf. https://security-tracker.debian.org/tracker/CVE-2021-3426;>CVE-2021-3426 L’exécution de pydoc -p permet à d’autres utilisateurs locaux d’extraire -des fichiers arbitraire. L’URL /getfile?key=path permet de lire un fichier +des fichiers arbitraires. L’URL /getfile?key=path permet de lire un fichier arbitraire sur le système de fichiers. Le correctif supprime la fonction getfile du module pydoc qui pourrait
[RFR] wml://lts/security/2021/dla-2619.wml
Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-.wml Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul #use wml::debian::translation-check translation="30908a91d5b735a2f8b6d5d0f7db1dbbadf4" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Trois problèmes de sécurité ont été découverts dans python3.5 : https://security-tracker.debian.org/tracker/CVE-2021-3177;>CVE-2021-3177 Python 3.x avait un dépassement de tampon dans PyCArg_repr dans _ctypes/callproc.c qui pourrait conduire à l’exécution de code à distance dans certaines applications en Python qui acceptent des nombres en virgule flottante comme entrée non fiable. Cela se produit à cause d’une utilisation non sûre de sprintf. https://security-tracker.debian.org/tracker/CVE-2021-3426;>CVE-2021-3426 L’exécution de pydoc -p permet à d’autres utilisateurs locaux d’extraire des fichiers arbitraire. L’URL /getfile?key=path permet de lire un fichier arbitraire sur le système de fichiers. Le correctif supprime la fonction getfile du module pydoc qui pourrait être détournée pour lire des fichiers arbitraires sur le disque (vulnérabilité de traversée de répertoires). https://security-tracker.debian.org/tracker/CVE-2021-23336;>CVE-2021-23336 Python3.5 est vulnérable à un empoisonnement du cache web à l’aide de urllib.parse.parse_qsl et urllib.parse.parse_qs en utilisant un masquage de paramètre d’appel de vecteur. Quand l’attaquant peut séparer les paramètres de requête en utilisant un point-virgule (;), il peut provoquer une différence dans l’interprétation de la requête entre le mandataire (exécuté avec la configuration par défaut) et le serveur. Cela peut aboutir à des requêtes malveillantes mises en cache comme étant entièrement sûres, puisque le mandataire habituellement ne voit pas le point-virgule comme un séparateur, et par conséquent ne l’inclura pas dans une clé de cache d’un paramètre non mis en clé. Attention, modification d’API ! Veuillez vérifier que vos logiciels fonctionnent correctement s’ils utilisent urllib.parse.parse_qs ou urllib.parse.parse_qsl, cgi.parse ou cgi.parse_multipart. Les versions précédentes de Python permettaient l’utilisation de ; et & comme séparateurs de paramètres de requête dans urllib.parse.parse_qs et urllib.parse.parse_qsl. À cause de problèmes de sécurité, et pour se conformer avec les nouvelles recommandations du W3C, cela a été modifié pour permettre seulement un unique séparateur avec & comme valeur par défaut. Cette modification affecte aussi cgi.parse et cgi.parse_multipart puisqu’ils utilisent les fonctions affectées en interne. Pour plus de détails, veuillez consulter leur documentation respective. Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 3.5.3-1+deb9u4. Nous vous recommandons de mettre à jour vos paquets python3.5. Pour disposer d'un état détaillé sur la sécurité de python3.5, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/python3.5;>\ https://security-tracker.debian.org/tracker/python3.5. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2619.data" # $Id: $
