diff options
| author | Jean-Pierre Giraud <jean-pierregiraud@neuf.fr> | 2022-03-20 14:08:14 +0100 |
|---|---|---|
| committer | Jean-Pierre Giraud <jean-pierregiraud@neuf.fr> | 2022-03-20 14:08:14 +0100 |
| commit | 86b159f8ee87c5dc4e38aad734bd1eeea10839e2 (patch) | |
| tree | 1fd7a9ed6effa8a9dd38ea8f901283718faa683d | |
| parent | ad44539e092f0bcb49daa1e7752ed214adbf6ee3 (diff) | |
(fr) DLA 2954, trivial fixes
| -rw-r--r-- | french/lts/security/2022/dla-2954.wml | 10 |
1 files changed, 5 insertions, 5 deletions
diff --git a/french/lts/security/2022/dla-2954.wml b/french/lts/security/2022/dla-2954.wml index ecaae9142bd..cad314a2bab 100644 --- a/french/lts/security/2022/dla-2954.wml +++ b/french/lts/security/2022/dla-2954.wml @@ -13,21 +13,21 @@ Twisted. Les cookies HTTP n'étaient pas liés à un domaine unique, mais <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-23607">CVE-2022-23607</a> <p>treq est une bibliothèque HTTP inspirée par Requests mais écrite en -se basant sur les Agents de Agents. Les méthodes de requête de Treq +se basant sur les Agents de Twisted. Les méthodes de requête de Treq (« treq.get », « treq.post », etc.) et le constructeur -« treq.client.HTTPClient » acceptent les cookies en temps que dictionnaire. -Ces cookies ne sont pas liés à une domaine unique, et sont donc envoyés à +« treq.client.HTTPClient » acceptent les cookies en tant que dictionnaire. +Ces cookies ne sont pas liés à un domaine unique, et sont donc envoyés à *tous* les domaines (« supercookies"). Cela peut éventuellement provoquer la divulgation d'information au moment d'une redirection HTTP à un domaine différent. Par exemple, « https://example.com » pourrait rediriger vers « http://cloudstorageprovider.com », ce dernier recevrait le cookie -« session ». Les versions 2021.1.0 et suivantes de Treq lient les cookies +« session ». Les versions 2021.1.0 et suivantes de Treq lient les cookies fournis aux méthodes de requête (« treq.request », « treq.get », « HTTPClient.request », « HTTPClient.get », etc.) à l'origine du paramètre *url*. Il est conseillé aux utilisateurs de mettre à niveau leur système et, pour les utilisateurs qui ne peuvent pas effectuer de mise à niveau, au lieu de transmettre un dictionnaire comme l'argument de *cookies*, de -trasnmettre une instance « http.cookiejar.CookieJar » contenant des cookies +transmettre une instance « http.cookiejar.CookieJar » contenant des cookies avec un domaine et un schéma dont la portée est correctement définie.</p></li> </ul> |