Bonjour, Dixit JP Guillonneau, le 08/08/2019 : >Ces annonces de sécurité ont été publiées.
Corrections pour l'une d'elle, et proposition pour reformuler le dernier paragraphe (d'après ce que je comprends de l'original). Baptiste
--- 000001d0.dla-1872.wml 2019-08-09 14:13:36.548846133 +0200 +++ ./000001d0.dla-1872-bj.wml 2019-08-09 14:21:04.240084950 +0200 @@ -11,9 +11,9 @@ <p>Prévention dâun déni de service possible dans django.utils.text.Truncator.</p> -<p>Si les méthodes django.utils.text.Truncator's chars() et words() étaient -passées dans lâargument html=True, elles étaient extrêmement lentes à évaluer -certain entrées à cause dâune vulnérabilité de déni de service par expression +<p>Si lâargument html=True était passé aux méthodes chars() et words() +de django.utils.text.Truncator, elles étaient extrêmement lentes à évaluer +certaines entrées à cause dâune vulnérabilité de déni de service par expression rationnelle. Les méthodes chars() et words() sont utilisées pour mettre en Åuvre les filtres de modèles truncatechars_html et truncatewords_html et étaient par conséquent vulnérables.</p> @@ -26,15 +26,15 @@ <p>Prévention dâun déni de service possible dans strip_tags().</p> -<p>à cause du comportement de HTMLParserL sous-jacent, +<p>à cause du comportement de HTMLParser sous-jacent, django.utils.html.strip_tags() serait extrêmement lent à évaluer certaines entrées contenant de larges séquences dâentités incomplètes HTML imbriquées. La méthode strip_tags() est utilisée pour mettre en Åuvre les filtres de modèle « striptags » et était par conséquent aussi vulnérable.</p> -<p>strip_tags() désormais évite des appels récursifs à HTMLParser quand -lâavancement de suppression de balises, sauf forcement les entités HTML -incomplètes, cesse dâêtre fait.</p> +<p>Désormais strip_tags() évite les appels récursifs à HTMLParser lors de +lâavancement de la suppression de balises, mais le traitement des entités HTML +incomplètes cesse dâêtre fait.</p> <p>Il faut se rappeler que absolument AUCUNE garantie nâest fournie pour que le résultat de strip_tags() soit sûr du point de vue HTML. Aussi, ne JAMAIS marquer
pgpdYMoHy7zwW.pgp
Description: Signature digitale OpenPGP
