Bonjour, Le 24/07/2017 à 08:04, JP Guillonneau a écrit : > Bonjour, > Voici quelques traductions de dla. > Merci d'avance pour vos relectures. > Amicalement. > -- > Jean-Paul Suggestions, pinaillages et préférences personnelles... Amicalement, jipege
--- dla-65.wml 2017-07-24 10:33:58.537263646 +0200 +++ dla-65jpg.wml 2017-07-26 09:55:50.607878063 +0200 @@ -17,15 +17,15 @@ <p>Django est fourni avec une fonction dâassistance django.core.urlresolvers.reverse, classiquement utilisée pour créer un URL à partir dâune référence pour inspecter une fonction ou un nom de modèle dâURL. -Cependant, lorsque une entrée est présentée avec deux barres obliques (//), +Cependant, lorsqu'une entrée est présentée avec deux barres obliques (//), reverse() pourrait créer un URL fonction du modèle à dâautres hôtes, permettant à un attaquant conscient de lâusage non sûr de reverse(), (c'est-à -dire pour -prendre un cas courant, dans une situation ou un utilisateur final peut +prendre un cas courant, dans une situation où un utilisateur final peut contrôler la cible dâune redirection), de créer des liens vers les sites de son choix, dâactiver lâhameçonnage ou dâautres attaques.</p> -<p>Pour remédier à cela, la résolution inversée dâURL (URL reversing) -dorénavant veille quâaucun URL ne commence avec deux barres obliques (//), en +<p>Pour remédier à cela, la résolution inverse dâURL (URL reversing) +veille dorénavant à ce quâaucun URL ne commence avec deux barres obliques (//), en remplaçant la seconde barre oblique par sa contrepartie encodée dâURL (%2F). Cette approche garantit que les sémantiques restent les mêmes, tout en rendant les URL relatifs au domaine et non au modèle.</p></li> @@ -41,7 +41,7 @@ fichier existant.</p> <p>Un attaquant connaissant cela peut exploiter le comportement séquentiel de -la création de nom de fichier, en téléversant de nombreuses petits fichiers qui +la création de nom de fichier, en téléversant de nombreux petits fichiers qui ont en commun un nom de fichier. Django, dans leur traitement, créera des nombres continuellement croissant dâappels de os.stat() en essayant de créer un nom de fichier unique. Par conséquent, même un nombre relativement petit de @@ -49,7 +49,7 @@ performances.</p> <p>Pour remédier à cela, le système de téléversement de fichier de Django -nâutilisera plus les noms avec nombres séquentiels pour éviter des conflits de +nâutilisera plus de noms avec nombres séquentiels pour éviter des conflits de noms de fichier sur le disque. à la place, une chaîne alphanumérique courte et aléatoire sera ajoutée, supprimant la possibilité de créer de manière fiable plusieurs noms de fichier continuellement différents.</p></li> @@ -61,12 +61,12 @@ utilisant lâen-tête REMOTE_USER en vue dâauthentification.</p> <p>Dans quelques circonstances, lâutilisation de ces intergiciel et dorsal -pourrait conduire à ce quâun utilisateur reçoive une autre session -dâutilisateur, si une modification de lâen-tête REMOTE_USER se produit sans +pourrait conduire à ce quâun utilisateur reçoive la session d'un autre +utilisateur, si une modification de lâen-tête REMOTE_USER se produit sans action de connexion ou déconnexion.</p> -<p>Pour remédier à cela, lâintergiciel dorénavant garantit quâun changement -dans REMOTE_USER sans une déconnexion explicite forcera une connexion avant +<p>Pour remédier à cela, lâintergiciel garantit dorénavant quâun changement +dans REMOTE_USER, sans une déconnexion explicite, forcera une connexion avant dâaccepter un nouveau REMOTE_USER.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0483";>CVE-2014-0483</a> @@ -76,7 +76,7 @@ une fenêtre surgissante. Le mécanisme pour cela repose sur le placement de valeurs dans lâURL et de chaînes de requête qui indiquent le modèle concerné à afficher et le champ dans lequel le lien est implémenté. Ce mécanisme doit -réaliser les vérifications de permission au niveau de la classe du modèle dans +réaliser des vérifications de permission au niveau de la classe du modèle dans son ensemble.</p> <p>Ce mécanisme, cependant, ne vérifiait pas que le champ indiqué représentait @@ -84,7 +84,7 @@ accès à lâinterface dâadministration et avec une connaissance suffisante de la structure du modèle et des URL adéquats, pourrait construire des fenêtres surgissantes qui pourraient afficher des valeurs de champs non liés, y compris des -champs que le développeur de lâapplication nâa pas prévu dâexposer dâune telle +champs que le développeur de lâapplication nâavait pas prévu dâexposer de cette façon.</p> <p>Pour remédier à cela, lâinterface administrative, en plus de ses
--- dla-66.wml 2017-07-24 10:33:58.557264078 +0200 +++ dla-66jpg.wml 2017-07-26 09:37:29.979233696 +0200 @@ -7,7 +7,8 @@ <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0231";>CVE-2014-0231</a> : <p>Empêchement dâun déni de service dans mod_cgid.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0226";>CVE-2014-0226</a> : -<p>Empêchement dâun déni de service à lâaide de race dans mod_status.</p></li> +<p>Empêchement dâun déni de service à lâaide d'une situation de compétition +dans mod_status.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0118";>CVE-2014-0118</a> : <p>Correction de consommation de ressources à lâaide de la décompression du corps de mod_deflate.</p></li>
--- dla-67.wml 2017-07-24 10:33:58.569264337 +0200 +++ dla-67jpg.wml 2017-07-26 09:33:23.688819311 +0200 @@ -8,7 +8,7 @@ <p>Le correctif original pour <a href="https://security-tracker.debian.org/tracker/CVE-2013-7345";>CVE-2013-7345</a> ne corrige pas suffisamment le problème. Un attaquant distant pourrait encore -causer un déni de service (consommation de CPU) à l'aide d'un fichier dâentrée +provoquer un déni de service (consommation de CPU) à l'aide d'un fichier dâentrée contrefait pour l'occasion, déclenchant un retour arrière durant le traitement dâune règle dâexpression rationnelle dâawk.</p></li> @@ -22,13 +22,13 @@ <p>Le correctif original pour <a href="https://security-tracker.debian.org/tracker/CVE-2014-4049";>CVE-2014-4049</a> ne corrige pas suffisamment le problème. Un serveur malveillant ou un attaquant -« homme du milieu » pourrait causer un déni de service (plantage) ou +de type « homme du milieu » pourrait provoquer un déni de service (plantage) ou éventuellement exécuter du code arbitraire à l'aide d'un enregistrement -contrefait DNS TXT.</p></li> +DNS TXT contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4670";>CVE-2014-4670</a> -<p>PHP gère incorrectement certains itérateurs SPL. Un attaquant local pourrait +<p>PHP gère incorrectement certains itérateurs de SPL. Un attaquant local pourrait utiliser ce défaut pour provoquer un plantage de PHP, conduisant à un déni de service.</p></li>
--- dla-68.wml 2017-07-24 10:33:58.581264596 +0200 +++ dla-68jpg.wml 2017-07-26 09:27:25.494895186 +0200 @@ -6,22 +6,22 @@ <p>Lors de lâinsertion de caractères de nouvelle lignes encodés dans une requête vers rup, des en-têtes HTTP supplémentaires peuvent être injectés dans - la réponse, ainsi que du nouveau code HTML au sommet du site web.</p></li> + la réponse, ainsi que du nouveau code HTML en haut du site web.</p></li> <li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3876";>CVE-2014-3876</a>] <p>Le paramètre akey est réfléchi non filtré comme composant de la page HTML. Quelques caractères sont interdits dans le paramètre GET à cause du filtrage de lâURL, mais cela peut être contourné en utilisant le paramètre POST. - Néanmoins, ce défaut est exploitable à lâaide du paramètre GET seul, avec - quelque interaction de lâutilisateur.</p></li> + Néanmoins, ce défaut est exploitable à lâaide du paramètre GET seul, sous + réserve d'interaction avec l'utilisateur.</p></li> <li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3877";>CVE-2014-3877</a>] <p>Le paramètre addto est seulement réfléchi légèrement filtré vers lâutilisateur comme composant de la page HTML. Quelques caractères sont interdits dans le paramètre GET à cause du filtrage de lâURL, mais cela peut être contourné en utilisant le paramètre POST. Néanmoins, ce défaut est - exploitable à lâaide du paramètre GET seul, avec quelque interaction de - lâutilisateur.</p></li> + exploitable à lâaide du paramètre GET seul, sous réserve d'interaction + avec lâutilisateur.</p></li> </ul> <p>Pour Debian 6 Squeeze, ce problème a été corrigé dans la
--- dla-69.wml 2017-07-24 10:33:58.589264769 +0200 +++ dla-69jpg.wml 2017-07-26 09:19:02.666750956 +0200 @@ -2,7 +2,7 @@ <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Stefano Zacchiroli a découvert que certains fichiers dâentrée JavaScript -font que ctags entre dans une boucle infinie jusquâau remplissage de lâespace +font entrer ctags dans une boucle infinie jusquâà ce qu'il déborde de lâespace disque. Cette mise à jour corrige l'analyseur JavaScript.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans
