Merge pull request #2778 from vurtn/november-2021-to-december-2021

Translation of the latest news (fr)

Author: hsbt

fr/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md

@@ -0,0 +1,36 @@
+---
+layout: news_post
+title: "CVE-2021-41817: Vulnérabilité de déni de service d'expression régulière (ReDoS) sur les méthodes d'analyse de date"
+author: "mame"
+translator: "Kevin Rosaz"
+date: 2021-11-15 08:00:00 +0000
+tags: security
+lang: fr
+---
+
+Nous avons publié les versions 3.2.1, 3.1.2, 3.0.2 et 2.0.1 de la gemme date qui incluent un correctif de sécurité pour une vulnérabilité de déni de service d'expression régulière (ReDoS) sur les méthodes d'analyse de date. Un attaquant peut exploiter cette vulnérabilité pour provoquer une attaque DoS efficace. Cette vulnérabilité a reçu l'identifiant CVE [CVE-2021-41817](https://nvd.nist.gov/vuln/detail/CVE-2021-41817).
+
+## Détails
+
+Les méthodes d'analyse de date, y compris `Date.parse`, utilisent des expressions régulières en interne, dont certaines sont vulnérables au déni de service d'expression régulière (ReDoS). Les applications et bibliothèques qui utilisent de telles méthodes à des entrées non fiables peuvent être affectées.
+
+Le correctif limite la longueur d'entrée jusqu'à 128 octets par défaut au lieu de modifier les expressions régulières. La raison est que la gemme Date utilise de nombreuses expressions régulières donc il existe peut-être des expressions régulières vulnérables non découvertes. Pour des raisons de compatibilité, il est permis de supprimer la limitation en passant explicitement le mots-clé `limit` à `nil` comme `Date.parse(str, limit: nil)`, mais notez que l'analyse peut prendre beaucoup de temps.
+
+Veuillez mettre à jour la gemme de date vers la version 3.2.1, 3.1.2, 3.0.2, 2.0.1 ou ultérieure. Vous pouvez utiliser `gem update date` pour la mettre à jour. Si vous utilisez bundler, veuillez ajouter `gem "date", ">= 3.2.1"` à votre `Gemfile`.
+Vous pouvez également mettre à jour Ruby vers la version 3.0.3, 2.7.5, 2.6.9 ou ultérieure.
+
+## Versions concernées
+
+* Gemme date 2.0.0 ou antérieure (qui sont des versions inclusent dans la branche Ruby 2.6 avant la version Ruby 2.6.9)
+* Gemme date 3.0.1 ou antérieure (qui sont des versions inclusent dans la branche Ruby 2.7 avant la version Ruby 2.7.5)
+* Gemme date 3.1.1 ou antérieure (qui sont des versions inclusent dans la branche Ruby 3.0 avant la version Ruby 3.0.3)
+* Gemme date 3.2.0 ou antérieure
+
+## Remerciements
+
+Merci à [svalkanov](https://github.com/SValkanov/) pour la découverte de ce problème.
+
+## Historique
+
+* Paru initialement le 2021-11-15 08:00:00 (UTC)
+* Mention concernant les nouvelles versions de Ruby le 2021-11-24 13:20:00 (UTC)

fr/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md

@@ -0,0 +1,35 @@
+---
+layout: news_post
+title: "CVE-2021-41816: Dépassement de la mémoire tampon dans CGI.escape_html"
+author: "mame"
+translator: "Kevin Rosaz"
+date: 2021-11-24 12:00:00 +0000
+tags: security
+lang: fr
+---
+
+Une vulnérabilité de dépassement de mémoire tampon a été découverte dans CGI.escape_html. Cette vulnérabilité a reçu l'identifiant CVE [CVE-2021-41816](https://nvd.nist.gov/vuln/detail/CVE-2021-41816).
+Nous vous recommandons fortement de mettre à jour Ruby.
+
+## Détails
+
+Cette vulnérabilité de sécurité provoque un débordement de la mémoire tampon lorsque vous transmettez une très grande chaîne de caractères (> 700 Mo) à `CGI.escape_html` sur une plate-forme où le type `long` prend 4 octets, généralement Windows.
+
+Veuillez mettre à jour la gemme cgi vers la version 0.3.1, 0.2.1, 0.1.1 ou ultérieure. Vous pouvez utiliser `gem update cgi` pour la mettre à jour. Si vous utilisez bundler, veuillez ajouter `gem "cgi", ">= 0.3.1"` à votre `Gemfile`.
+Vous pouvez également mettre à jour Ruby vers la version 2.7.5 ou 3.0.3.
+
+Ce problème a été introduit depuis Ruby 2.7, donc la version cgi fournie avec Ruby 2.6 n'est pas vulnérable.
+
+## Versions concernées
+
+* Gemme cgi 0.1.0 ou antérieure (qui sont des versions inclusent dans la branche Ruby 2.7 avant la version Ruby 2.7.5)
+* Gemme cgi 0.2.0 ou antérieure (qui sont des versions inclusent dans la branche Ruby 3.0 avant la version Ruby 3.0.3)
+* Gemme cgi 0.3.0 ou antérieure
+
+## Remerciements
+
+Merci à [chamal](https://hackerone.com/chamal) pour la découverte de ce problème.
+
+## Historique
+
+* Paru initialement le 2021-11-24 12:00:00 (UTC)

fr/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md

@@ -0,0 +1,44 @@
+---
+layout: news_post
+title: "CVE-2021-41819: Usurpation de préfixes de cookie dans CGI::Cookie.parse"
+author: "mame"
+translator: "Kevin Rosaz"
+date: 2021-11-24 12:00:00 +0000
+tags: security
+lang: fr
+---
+
+Une vulnérabilité d'usurpation de préfixes de cookie a été découverte dans CGI::Cookie.parse. Cette vulnérabilité a reçu l'identifiant CVE [CVE-2021-41819](https://nvd.nist.gov/vuln/detail/CVE-2021-41819).
+Nous vous recommandons fortement de mettre à jour Ruby.
+
+## Détails
+
+Les anciennes versions de `CGI::Cookie.parse` appliquent le décodage d'URL aux noms de cookies. Un attaquant pourrait exploiter cette vulnérabilité pour usurper les préfixes de sécurité dans les noms de cookies, ce qui pourrait tromper une application vulnérable.
+
+Par ce correctif, `CGI::Cookie.parse` ne décode plus les noms de cookies. Notez qu'il s'agit d'une incompatibilité si les noms de cookies que vous utilisez incluent des caractères non alphanumériques URL encodés.
+
+C'est le même problème que [CVE-2020-8184](https://nvd.nist.gov/vuln/detail/CVE-2020-8184).
+
+Si vous utilisez Ruby 2.7 ou 3.0 :
+
+* Veuillez mettre à jour la gemme cgi vers la version 0.3.1, 0.2.1, 0.1.1 ou ultérieure. Vous pouvez utiliser `gem update cgi` pour la mettre à jour. Si vous utilisez bundler, veuillez ajouter `gem "cgi", ">= 0.3.1"` à votre `Gemfile`.
+* Vous pouvez également mettre à jour Ruby vers la version 2.7.5 ou 3.0.3.
+
+Si vous utilisez Ruby 2.6 :
+
+* Veuillez mettre à jour Ruby vers la version 2.6.9. *Vous ne pouvez pas utiliser `gem update cgi` pour Ruby 2.6 ou antérieur.*
+
+## Versions concernées
+
+* Ruby 2.6.8 ou antérieure (Vous *ne pouvez pas* utiliser `gem update cgi` pour cette version.)
+* Gemme cgi 0.1.0 ou antérieure (qui sont des versions inclusent dans la branche Ruby 2.7 avant la version Ruby 2.7.5)
+* Gemme cgi 0.2.0 ou antérieure (qui sont des versions inclusent dans la branche Ruby 3.0 avant la version Ruby 3.0.3)
+* Gemme cgi 0.3.0 ou antérieure
+
+## Remerciements
+
+Merci à [ooooooo_q](https://hackerone.com/ooooooo_q) pour la découverte de ce problème.
+
+## Historique
+
+* Paru initialement le 2021-11-24 12:00:00 (UTC)

fr/news/_posts/2021-11-24-ruby-2-6-9-released.md

@@ -0,0 +1,57 @@
+---
+layout: news_post
+title: "Ruby 2.6.9 est disponible"
+author: "usa"
+translator: "Kevin Rosaz"
+date: 2021-11-24 12:00:00 +0000
+lang: fr
+---
+
+Ruby 2.6.9 est disponible.
+
+Cette version contient des corrections concernant des problèmes de sécurité.
+Merci de regarder les sujets suivants pour plus de détails.
+
+* [CVE-2021-41817: Vulnérabilité de déni de service d'expression régulière (ReDoS) sur les méthodes d'analyse de date]({%link fr/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %})
+* [CVE-2021-41819: Usurpation de préfixes de cookie dans CGI::Cookie.parse]({%link fr/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %})
+
+Voir les [logs de commit](https://github.com/ruby/ruby/compare/v2_6_8...v2_6_9) pour de plus amples informations.
+
+Ruby 2.6 se trouve dans la phase de maintenance de sécurité jusqu'à la fin mars 2022. Après cette date, la branche 2.6 de Ruby ne sera alors plus officiellement supportée.
+Nous vous recommandons donc de passer sur de nouvelles versions de Ruby comme la 3.0 ou 2.7.
+
+## Téléchargement
+
+{% assign release = site.data.releases | where: "version", "2.6.9" | first %}
+
+* <{{ release.url.bz2 }}>
+
+      SIZE: {{ release.size.bz2 }}
+      SHA1: {{ release.sha1.bz2 }}
+      SHA256: {{ release.sha256.bz2 }}
+      SHA512: {{ release.sha512.bz2 }}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## Commentaire de version
+
+Merci aux contributeurs, développeurs et utilisateurs qui, en reportant les bugs, nous ont permis de sortir cette version.

fr/news/_posts/2021-11-24-ruby-2-7-5-released.md

@@ -0,0 +1,57 @@
+---
+layout: news_post
+title: "Ruby 2.7.5 est disponible"
+author: "usa"
+translator: "Kevin Rosaz"
+date: 2021-11-24 12:00:00 +0000
+lang: fr
+---
+
+Ruby 2.7.5 est disponible.
+
+Cette version contient des corrections concernant des problèmes de sécurité.
+Merci de regarder les sujets suivants pour plus de détails.
+
+* [CVE-2021-41817: Vulnérabilité de déni de service d'expression régulière (ReDoS) sur les méthodes d'analyse de date]({%link fr/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %})
+* [CVE-2021-41816: Dépassement de la mémoire tampon dans CGI.escape_html]({%link fr/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md %})
+* [CVE-2021-41819: Usurpation de préfixes de cookie dans CGI::Cookie.parse]({%link fr/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %})
+
+Voir les [logs de commit](https://github.com/ruby/ruby/compare/v2_7_4...v2_7_5) pour de plus amples informations.
+
+## Téléchargement
+
+{% assign release = site.data.releases | where: "version", "2.7.5" | first %}
+
+* <{{ release.url.bz2 }}>
+
+      SIZE: {{ release.size.bz2 }}
+      SHA1: {{ release.sha1.bz2 }}
+      SHA256: {{ release.sha256.bz2 }}
+      SHA512: {{ release.sha512.bz2 }}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## Commentaire de version
+
+Merci aux contributeurs, développeurs et utilisateurs qui, en reportant les bugs, nous ont permis de sortir cette version.
+
+La maintenance de Ruby 2.7, incluant cette version, est basée sur l' "Agreement for the Ruby stable version" de la Ruby Association.

fr/news/_posts/2021-11-24-ruby-3-0-3-released.md

@@ -0,0 +1,48 @@
+---
+layout: news_post
+title: "Ruby 3.0.3 est disponible"
+author: "nagachika"
+translator: "Kevin Rosaz"
+date: 2021-11-24 12:00:00 +0000
+lang: fr
+---
+
+Ruby 3.0.3 est disponible.
+
+Cette version contient des corrections concernant des problèmes de sécurité.
+Merci de regarder les sujets suivants pour plus de détails.
+
+* [CVE-2021-41817: Vulnérabilité de déni de service d'expression régulière (ReDoS) sur les méthodes d'analyse de date]({%link fr/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %})
+* [CVE-2021-41816: Dépassement de la mémoire tampon dans CGI.escape_html]({%link fr/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md %})
+* [CVE-2021-41819: Usurpation de préfixes de cookie dans CGI::Cookie.parse]({%link fr/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %})
+
+Voir les [logs de commit](https://github.com/ruby/ruby/compare/v3_0_2...v3_0_3) pour de plus amples informations.
+
+## Téléchargement
+
+{% assign release = site.data.releases | where: "version", "3.0.3" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## Commentaire de version
+
+Merci aux contributeurs, développeurs et utilisateurs qui, en reportant les bugs, nous ont permis de sortir cette version.