1. Forum
  2. Usenet
  3. LINUX.DEBIAN.L10N.FRENCH

  • [RFR] wml://security/2021/dsa-500{4,5}.wml

    From Jean-Pierre Giraud@21:1/5 to Debian-l10n French on Fri Nov 12 01:20:02 2021
    This is an OpenPGP/MIME signed message (RFC 4880 and 3156) --a0oj33latoRQlBcHCn9TEKwX9h5zcLnZ3
    Content-Type: multipart/mixed;
    boundary="------------AA12141B716F3404C389A8B0"
    Content-Language: fr

    This is a multi-part message in MIME format. --------------AA12141B716F3404C389A8B0
    Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: quoted-printable

    Bonjour,
    Deux nouvelles annonces de sécurité viennent d'être publiées. En voici
    une traduction. Merci d'avance pour vos relectures.
    Amicalement,
    jipege

    --------------AA12141B716F3404C389A8B0
    Content-Type: text/vnd.wap.wml; charset=UTF-8;
    name="dsa-5005.wml"
    Content-Transfer-Encoding: quoted-printable
    Content-Disposition: attachment;
    filename="dsa-5005.wml"

    #use wml::debian::translation-check translation="ec38d900248faa6f08d73c514fd79001559169f6" maintainer="Jean-Pierre Giraud"
    <define-tag description>Mise à jour de sécurité</define-tag>
    <define-tag moreinfo>
    <p>Une vulnérabilité de sécurité a été découverte dans Kaminari, un greffon
    de moteur de pagination pour Rails 3+ et autres cadriciels modernes, qui pouvait permettre à un attaquant d’injecter du code arbitraire dans les pages avec des liens de pagination.</p>

    <p>Pour la distribution oldstable (Buster), ce problème a été corrigé dans la version 1.0.1-4+deb10u1.</p>

    <p>Nous vous recommandons de mettre à jour vos paquets ruby-kaminari.</p>

    <p>Pour disposer d'un état détaillé sur la sécurité de ruby-kaminari, veuillez consulter sa page de suivi de sécurité à l'adresse :
    <a href="https://security-tracker.debian.org/tracker/ruby-kaminari">\ https://security-tracker.debian.org/tracker/ruby-kaminari</a>.</p> </define-tag>

    # do not modify the following line
    #include "$(ENGLISHDIR)/security/2021/dsa-5005.data"
    # $Id: $

    --------------AA12141B716F3404C389A8B0
    Content-Type: text/vnd.wap.wml; charset=UTF-8;
    name="dsa-5004.wml"
    Content-Transfer-Encoding: quoted-printable
    Content-Disposition: attachment;
    filename="dsa-5004.wml"

    #use wml::debian::translation-check translation="9021424ee668597a5b8130c5d1bb387ddc66dac3" maintainer="Jean-Pierre Giraud"
    <define-tag description>Mise à jour de sécurité</define-tag>
    <define-tag moreinfo>
    <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans XStream,
    une bibliothèque Java pour sérialiser des objets en XML et les désérialiser.</p>

    <p>Ces vulnérabilités peuvent permettre à un attaquant distant de charger
    et exécuter du code arbitraire à partir d'un hôte distant simplement en manipulant le flux d’entrée traité.</p>

    <p>XStream définit lui-même désormais une liste d'autorisations par défaut, c'est-à-dire que toutes les classes sont bloquées sauf les types pour lesquels des convertisseurs sont explicitement déclarés. Habituellement, un liste d'interdictions existait par défaut, c'est-à-dire qu'il essayait de bloquer toutes les classes critiques actuellement connues de
    l'environnement d'exécution de Java. La raison principal de la liste d'interdictions était la compatibilité qui permettait d'utiliser les nouvelles versions d'XStream comme substitution. Toutefois, cette approche
    a échoué. Une liste croissante de rapports de sécurité a démontré qu'une liste d'interdictions est intrinsèquement non sûre, sans tenir compte du
    fait que les types des bibliothèques tierces n'étaient même pas envisagés. Un scénario de liste d'interdictions devrait être évité en général, car il
    procure un sentiment de sécurité trompeur.</p>

    <p>Pour la distribution oldstable (Buster), ces problèmes ont été corrigés dans la version 1.4.11.1-1+deb10u3.</p>

    <p>Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 1.4.15-3+deb11u1.</p>

    <p>Nous vous recommandons de mettre à jour vos paquets libxstream-java.</p>

    <p>Pour disposer d'un état détaillé sur la sécurité de libxstream-java, veuillez consulter sa page de suivi de sécurité à l'adresse :
    <a href="https://security-tracker.debian.org/tracker/libxstream-java">\ https://security-tracker.debian.org/tracker/libxstream-java</a>.</p> </define-tag>

    # do not modify the following line
    #include "$(ENGLISHDIR)/security/2021/dsa-5004.data"
    # $Id: $

    --------------AA12141B716F3404C389A8B0--

    --a0oj33latoRQlBcHCn9TEKwX9h5zcLnZ3--

    -----BEGIN PGP SIGNATURE-----

    wsF5BAABCAAjFiEEcH/R3vmpi4JWBoDfeBP2a44wMXIFAmGNsroFAwAAAAAACgkQeBP2a44wMXL8 rRAAg+wXke5rj03Uhy77ETLGk/vzAaDKbnhyL4iLdq/dauWsv4rlN86kgX8ho7hLWVx10W9O1r5g ZVmV5oqLcph+SnLCtzm16MNY3a1zG2too0eY/yHUwNqaDPSKd/36rON4yMTNn7cI2i+6Xk5FBh8s aTX9y86MQOF75huxUZlhPFt2dgxGZCJmTl3pOK1x/9t3Y1Wsi6pqNJ+TWRZce8vCW+JQH72jSBhN Wk6ZWvjgKmYXiIFPScafbQPA5Xnl8IOn2W2rCYGcaoEXL4fJBacup5Hssgx/dMqxyXKsaqmMNV4+ Z5NDYRpvgvLjTb1Xjg5FoO5/X58on0QAp8k9uy7iRi7JWWeXeddRQiJvBLT/02Maun/XjzadYEYW IGuqCBmDPXXrzJJ40ylQlPxZSUjfaufk+YZj1yUNKgxD2X3xyDFdMPi7SrV6nTfYcZ/ztD/bIZd/ 5MR1/a6LwbzysYzwIUjCZJnKJOF3GVz//EJm1MkHXsThSzfyrG0KROitI0e9f9LHZIBlseM0bpK2 7PzQf5m1jcmH0cWlYaprCx6hMAFNG+hPeS0xfC4MIJ+ekECyfHS3N3zCO9DkyxnqRec7YkcaVOF4 mHtY7/+XJOBP/hoD5cZVV8CiiNxX8VYciL+tm+gf+dxW6Bme52Ods3EsNCxKTQxbTN5GrXX06dpF dik=
    =1F95
    -----END PGP SIGNATURE-----

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From bubub@no-log.org@21:1/5 to All on Fri Nov 12 09:10:01 2021
    Bonjour,
    un détail
    amicalement
    bubu QlpoOTFBWSZTWSTLOSAAAP//tMgwAEBAj3/1QFQIQH8n/+AgAEAwCACACEAB3aTbQDVJ7VBgRpia aZGAAEwTCYNAjJU80mmo0G9SAyANNAAGGhoAAANAAAAACSEJoKeKn5FPTSbU9TQNBptQDMnL5dXS GEBZNAI2TNdkRIwZCB/od/Cb6MT+3i9Z3tbTa57B20i89zemZFCmUkM0zYoLapDEbYd5CjKb/rEp zZr5E4C2HwG8LvAftbIw3JuoO49R0nAZK/yK8rTEp2bsuIzYcT2ixGPvwTklqRBwGXfUqSGDDQ5g a1rS+DYdNBsChMWq9Jdqg6KcEkHsRxUqCmvOkYLzC5pGWEsIWYNpnVRl69YSxlU/PxXn5NRe+0RR NnD2nMYJAIikWWlKExKH1vvEWUDUEDjHkRwCz6AI82Fp4lzOet4qYsyG1ig5QWlJdY8yppEzblKh X0ChCTRExkaON4TwdLi3HIV33Nh+UJc5wJ/IyDZZw1AqnWzlsIXYrhk91/OQuat2+Zk5m8IoDDDx BEdducEJzM1jNz/0zOO0cLDCbY6LGjTLu3CuLTtLC0ZLEzcZlmNT2G9Pjkh3Upq0kONcytTMDDjl iUDwsKSuJWnlSZG45tiw+iYL750WeJzmQXvVqrVWBF3d0Qt5tN2rrYNwsBB6C7kinChIEmWckAA=

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From bubub@no-log.org@21:1/5 to All on Fri Nov 12 09:20:01 2021
    re,
    un autre détail,
    amicalement,
    bubu QlpoOTFBWSZTWcHdzCQAAS9/lMgwAEBAj3/1QFQOQH9n/+BAMAgAgAhAAprdsuxu3bu4SmoFT9DS Cepo0yaaAGm1BoBp6gSiZNBJpT9T9JMpibUD1AMhoMQ0EkKanqajAyhpppgjRiaMgGmJhKnolNR+ k9UxMAmmTIwjRgTTEZPnTb/4ZAE5JJBfkVFb0K0yQD7DXjk5Uw8n9lufONPaPNq4LJ6ScNBYIN8L IO+MblA3Xxe0knCk4fzD4Vk6+MGpe9K1hGIY6YHMoWcu6WwntVaEnBSSasIitxM3DGJCXiVsEEVz vR6lo7UOE4T/iRdUVki67u5cusSxazSGQQhF+pnEGzD3lTJvCZUcU6CZwqpNRq5WrymexivuPbMr Vo5SWeINGSJr8byom1JXrta1KsmezlKIzd2e0RPH795LrUM1O4U+d8OqCNA7W32eY+W3xOz9RkNp XGcYlAUS8x+o/ZsKjSs97dQt/psKRyhA5TChAXzw6CCTJT37uqGdMG5eDDlyTLoxOSdCjUoTJFET ca0mb7JR1LkNBGjwGdi/3mOjnC9TVfPUc2ZGaWbw5jJx0zVLC0NDXfbJhoP66DpuWxTMpKNSMb/s /OlwiiMCylxk4sLMFBM+ZZhSLM/BsudW53MUHG9XD4NamKYCEeER6iIlXArRQXxOOwPCu5bLkbZ+ uTw9Lmhkvr6S7YFJKmwxVpawmo6KTNpxsVxaVHehMoUp0kJXmioiBmVY1lofAY1di67sE3IUpkNS MMKagYaCkHEChEYkTkwMoPGoMMSQYnKFhKNRvJxoTm0kUMBY7HD7WQV2ulPoRlsoYVHSJl3ctI0t kG5MkJ18hEOJLC2tzmOA7BAssOhIDmLuSKcKEhg7uYSA

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Baptiste Jammet@21:1/5 to All on Fri Nov 12 10:20:02 2021
    Bonjour bubu,
    (hors liste)

    J'ai eu quelques difficultés à ouvrir tes fichiers de relecture...

    Tu nommes tes archives .xz (tar -cJf) alors que ce sont des fichiers
    bzip2 (tar -cjf), alors Engrampa (et sûrement d'autres) se plaignent de
    la non conformité de l'archive.

    Pour info, s'il n'y a qu'un seul fichier, xz/bzip2/gzip n'a pas besoin
    de tar (qui est nécessaire uniquement pour compresser plusieurs
    fichiers ou un dossier).

    $ xz -k -z fichier.diff

    Baptiste

    -----BEGIN PGP SIGNATURE-----

    iQEzBAEBCgAdFiEE29hsQpwcnBgqbELUxoTwarjsCUYFAmGOL90ACgkQxoTwarjs CUY8Egf/ZpEtlPoLcFG9w06UgR0ILb97mKZR91NEYdgsoLJrZkG7pGVkeuZHrqpD 3JwAhT/j7etDPpXjvbTzYn1I8na7q+0/4LkpW2yBSMiFLKClojUPV9exnPdA3yeL dCFaMnCyBuDrCvd6ZUUKnZQ2vgO9MvvNtqJPFEf0H5v3lIcR63FAvAVwHY2YH78Z kWL+grEMhwu/V/FbxxBXaPtoO9UuD99GJS+pyTFhDQt3qmVmTlfojZwZGglIKWmq bwm6NjolX8lMq7HSFJWiK+5Es0KbDpWkms9rWlThLgKCgms+4+wmbT8K01Bk6hrH 9Aow8HV5gAzMUo1XPLbMHhyRQcGomg==
    =sTRh
    -----END PGP SIGNATURE-----

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From bubub@no-log.org@21:1/5 to All on Fri Nov 12 10:50:02 2021
    Bonjour Jean Pierre et Baptiste, et tutti altri

    merci pour vos remarques, moi je ne m'en apperçois pas sinon

    Je me permets quelques petites remarque :
    - inutile de faire un tar.xz pour un fichier unique : le tar sert de conteneur pour plusieurs fichiers, donc un seul fichier, pas de tar

    bah ok, j'y avais pas pensé ..

    - la compression n'est pas très utile pour des fichiers jusqu'à 3-4 ko,
    ça ne fait juste que de compliquer la tâche à la lecture. Elle est par
    contre indispensable quand on envoie des fichiers pour upload au système
    de suivi de bug. Elle évite que le logiciel de messagerie manipule les fichiers pour faire une compression ce qui arrive parfois.

    j'écris via le webmail et compresse la doc, sinon j'ai eu des retours
    comme quoi ça arrivait dans un état lamentable... faisant grincer patch et autre. Ce qui n'arrive pas lorsque je passe via Thunderbird ...

    - enfin, tes message me semblent encodés en windows-1252, c'est mieux de
    le définir en utf-8 : à vérifier dans Options -> Encodage du texte ->
    Unicode

    Bizarre.. je suis entrrain d'investiguer, mais ça semble réglé en
    french fr_FR.ISO-8859-1

    désolé pour le bruit,
    amicalement,
    bubu

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)