Merge pull request ruby#876 from GRoguelon/rexml_ssl_tls

Translate in french the 5 last news (REXML & SSL).

Author: stomar

fr/news/_posts/2013-02-23-dni-de-service-et-vulnrabilit-de-cration-dobjets-non-srs-cve-2013-0269.md

@@ -13,7 +13,7 @@ vous encourageons très fortement à mettre à jour Ruby.
 
 ## Détails
 
-Lors de l\'analyse de certains documents JSON, la gem JSON (inclue avec
+Lors de l\'analyse de certains documents JSON, la gem JSON (inclus avec
 ruby) peut être forcée à créer des symboles Ruby dans le système cible.
 Comme les symboles Ruby ne sont pas libérés de la mémoire par le
 ramasse-miettes, cela peut résulter en une attaque par déni de service.

fr/news/_posts/2014-10-27-changing-default-settings-of-ext-openssl.md

@@ -0,0 +1,140 @@
+---
+layout: news_post
+title: "Changement des options par défaut de ext/openssl"
+author: "usa"
+translator: "Geoffrey Roguelon"
+date: 2014-10-27 12:00:00 +0000
+tags: security
+lang: fr
+---
+
+Nous avons changé les options par défaut de ext/openssl dans Ruby 2.1.4,
+Ruby 2.0.0-p594 et Ruby 1.9.3-p550.
+Avec ce changement, les options non-sécurisées de SSL/TLS sont désactivées par défaut.
+Cependant, avec ce changement, il se peut que certains problèmes apparaissent
+avec les connexions SSL.
+
+## Détails
+
+OpenSSL implémente encore des protocoles et des algorithmes de chiffrement
+reconnus comme vulnérables pour des raisons historiques.
+Par exemple, la faille POODLE ([CVE-2014-3566](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566)),
+si vous continuez à utiliser OpenSSL avec ce genre de fonctionnalités, il se
+peut que vous ne puissiez garantir la sécurité de vos échanges réseaux.
+Par conséquent, suite à la discussion du [bug #9424](https://bugs.ruby-lang.org/issues/9424),
+nous avons décidé de désactiver les options non-sécurisées de SSL/TLS par défaut.
+Si vous avez besoin d'annuler ce changement (inclus ci-dessous), appliquez le
+patch inverse pour revenir en arrière.
+
+2.1.4 : [r48098](http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?revision=48098&view=revision)
+
+2.0.0-p594 : [r48110](http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?revision=48110&view=revision)
+
+1.9.3-p550 : [r48121](http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?revision=48121&view=revision)
+
+Néanmoins, si vous annulez ce changement, vous risquez de ne plus pouvoir
+garantir la sécurité de vos communications réseaux.
+Vous devez comprendre les implications de ce changement avant de le supprimer.
+
+### Bibliothèques incluses dans Ruby
+
+Ce changement affecte les bilbiothèques net/http, net/imap et net/pop.
+Depuis que DRb et WEBrick gèrent leurs options séparément, ce changement ne les
+concerne pas.
+
+### Scripts utilisant ext/openssl directement
+
+Ce changement affecte les instances de l'objet `OpenSSL::SSL::SSLContext` et les
+appels de la méthode d'instance `set_params`.
+
+Plus particulièrement les codes du type :
+
+{% highlight ruby %}
+ctx = OpenSSL::SSL::SSLContext.new
+ctx.set_params  # si vous voulez changez certaines options, telle que le mode de
+vérification et autre, vous pouvez les passer dans une Hash
+ssl = OpenSSL::SSL::SSLSocket.new(socket, ctx)
+{% endhighlight %}
+
+Quand vous utilisez ext/openssl côté client, nous partons du principe que ce
+changement ne posera pas de problème.
+Par contre, si vous utilisez ext/openssl côté serveur et que vous utilisez ces
+nouvelles options, il se peut que certains anciens clients (Internet Explorer 6
+sur Windows XP, les navigateurs sur les vieux mobiles, etc…) ne puissent pas se
+connecter au serveur.
+
+Cette décision vous appartient d'appliquer ou non ce changement, considérez le
+pour et le contre.
+
+## Solution alternative
+
+Si vous ne pouvez pas mettre à jour Ruby mais que vous devez vous prémunir des
+options non-sécurisées de SSL/TLS, appliquez le patch suivant à vos projets :
+
+{% highlight ruby %}
+module OpenSSL
+  module SSL
+    class SSLContext
+      remove_const(:DEFAULT_PARAMS)
+      DEFAULT_PARAMS = {
+        :ssl_version => "SSLv23",
+        :verify_mode => OpenSSL::SSL::VERIFY_PEER,
+        :ciphers => %w{
+          ECDHE-ECDSA-AES128-GCM-SHA256
+          ECDHE-RSA-AES128-GCM-SHA256
+          ECDHE-ECDSA-AES256-GCM-SHA384
+          ECDHE-RSA-AES256-GCM-SHA384
+          DHE-RSA-AES128-GCM-SHA256
+          DHE-DSS-AES128-GCM-SHA256
+          DHE-RSA-AES256-GCM-SHA384
+          DHE-DSS-AES256-GCM-SHA384
+          ECDHE-ECDSA-AES128-SHA256
+          ECDHE-RSA-AES128-SHA256
+          ECDHE-ECDSA-AES128-SHA
+          ECDHE-RSA-AES128-SHA
+          ECDHE-ECDSA-AES256-SHA384
+          ECDHE-RSA-AES256-SHA384
+          ECDHE-ECDSA-AES256-SHA
+          ECDHE-RSA-AES256-SHA
+          DHE-RSA-AES128-SHA256
+          DHE-RSA-AES256-SHA256
+          DHE-RSA-AES128-SHA
+          DHE-RSA-AES256-SHA
+          DHE-DSS-AES128-SHA256
+          DHE-DSS-AES256-SHA256
+          DHE-DSS-AES128-SHA
+          DHE-DSS-AES256-SHA
+          AES128-GCM-SHA256
+          AES256-GCM-SHA384
+          AES128-SHA256
+          AES256-SHA256
+          AES128-SHA
+          AES256-SHA
+          ECDHE-ECDSA-RC4-SHA
+          ECDHE-RSA-RC4-SHA
+          RC4-SHA
+        }.join(":"),
+        :options => -> {
+          opts = OpenSSL::SSL::OP_ALL
+          opts &= ~OpenSSL::SSL::OP_DONT_INSERT_EMPTY_FRAGMENTS if defined?(OpenSSL::SSL::OP_DONT_INSERT_EMPTY_FRAGMENTS)
+          opts |= OpenSSL::SSL::OP_NO_COMPRESSION if defined?(OpenSSL::SSL::OP_NO_COMPRESSION)
+          opts |= OpenSSL::SSL::OP_NO_SSLv2 if defined?(OpenSSL::SSL::OP_NO_SSLv2)
+          opts |= OpenSSL::SSL::OP_NO_SSLv3 if defined?(OpenSSL::SSL::OP_NO_SSLv3)
+          opts
+        }.call
+      }
+    end
+  end
+end
+{% endhighlight %}
+
+## Versions concernées
+
+* Ruby 1.9.3 patchlevel 550 et plus récent
+* Ruby 2.0.0 patchlevel 594 et plus récent
+* Ruby 2.1.4 et plus récent
+* revision 48097 et trunk plus récent
+
+## Historique
+
+* Article publié le 27 octobre 2014 à 12h00 (UTC)

fr/news/_posts/2014-10-27-rexml-dos-cve-2014-8080.md

@@ -0,0 +1,110 @@
+---
+layout: news_post
+title: "CVE-2014-8080 : Déni de service sur l'expansion XML"
+author: "zzak"
+translator: "Geoffrey Roguelon"
+date: 2014-10-27 12:00:00 +0000
+tags: security
+lang: fr
+---
+
+Une expansion d'entité sans restriction peut conduire à une vulnérabilité DoS
+dans REXML.
+Cette vulnérabilité a reçu un identifiant [CVE-2014-8080](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8080).
+Nous recommandons grandement de mettre à jour Ruby.
+
+## Détails
+
+Lors de la lecture des nœuds d'un document XML, l'analyseur REXML peut être
+forcé à allouer de très grands objets String qui peuvent consommer toute la
+mémoire de la machine et causer une attaque par déni de service.
+
+Typiquement, les scripts impactés sont de la forme :
+
+{% highlight ruby %}
+require 'rexml/document'
+
+xml = <<XML
+<!DOCTYPE root [
+  # ENTITY expansion vector
+]>
+<cd></cd>
+XML
+
+p REXML::Document.new(xml)
+{% endhighlight %}
+
+Tous les utilisateurs utilisant une version affectée doivent soit mettre à jour
+Ruby ou utiliser une solution de contournement dans les plus brefs délais.
+
+## Versions concernées
+
+* Toutes les versions de Ruby 1.9 antérieures à Ruby 1.9.3 patchlevel 550
+* Toutes les versions de Ruby 2.0 antérieures à Ruby 2.0.0 patchlevel 594
+* Toutes les versions de Ruby 2.1 antérieures à Ruby 2.1.4
+* Toutes les révisions du trunk antérieures à 48161
+
+## Solution alternative
+
+Si vous ne pouvez pas mettre à jour Ruby, utilisez ce patch comme solution
+alternative pour les versions de Ruby supérieure à 2.1.0 :
+
+{% highlight ruby %}
+class REXML::Entity
+  def value
+      if @value
+        matches = @value.scan(PEREFERENCE_RE)
+        rv = @value.clone
+        if @parent
+          sum = 0
+          matches.each do |entity_reference|
+            entity_value = @parent.entity( entity_reference[0] )
+            if sum + entity_value.bytesize > Security.entity_expansion_text_limit
+              raise "entity expansion has grown too large"
+            else
+              sum += entity_value.bytesize
+            end
+            rv.gsub!( /%#{entity_reference.join};/um, entity_value )
+          end
+        end
+        return rv
+      end
+      nil
+   end
+end
+{% endhighlight %}
+
+Pour les versions antérieures à 2.1.0, vous pouvez utiliser le patch suivant :
+
+{% highlight ruby %}
+class REXML::Entity
+  def value
+      if @value
+        matches = @value.scan(PEREFERENCE_RE)
+        rv = @value.clone
+        if @parent
+          sum = 0
+          matches.each do |entity_reference|
+            entity_value = @parent.entity( entity_reference[0] )
+            if sum + entity_value.bytesize > Document.entity_expansion_text_limit
+              raise "entity expansion has grown too large"
+            else
+              sum += entity_value.bytesize
+            end
+            rv.gsub!( /%#{entity_reference.join};/um, entity_value )
+          end
+        end
+        return rv
+      end
+      nil
+   end
+end
+{% endhighlight %}
+
+## Crédits
+
+Merci à Willis Vandevanter pour avoir signaler ce bug.
+
+## Historique
+
+* Article publié le 27 octobre 2014 à 12h00 (UTC)

fr/news/_posts/2014-10-27-ruby-1-9-3-p550-is-released.md

@@ -0,0 +1,69 @@
+---
+layout: news_post
+title: "Ruby 1.9.3-p550 est disponible"
+author: "usa"
+translator: "Geoffrey Roguelon"
+date: 2014-10-27 12:00:00 +0000
+lang: fr
+---
+
+Nous avons le plaisir de vous annoncer la sortie de Ruby 1.9.3-p550.
+
+Cette version inclut un correctif de sécurité sur une faille DoS de REXML.
+
+* [CVE-2014-8080 : Déni de service sur l'expansion XML](https://www.ruby-lang.org/fr/news/2014/10/27/rexml-dos-cve-2014-8080/)
+
+Cette version inclut également un changement sur les options par défaut de
+ext/openssl.
+Les options SSL/TLS vulnérables sont désormais désactivées par défaut.
+
+* [Changement des options par défaut de ext/openssl](https://www.ruby-lang.org/fr/news/2014/10/27/changing-default-settings-of-ext-openssl/)
+
+De plus, la version de jQuery inclus dans le template darkfish de RDoc a été
+mise à jour.
+
+## Remarque
+
+La version de Ruby 1.9.3 est maintenant entrée dans une phase de maintenance de
+sécurité.
+Cela veut dire que nous ne corrigerons plus les bugs exceptés ceux de sécurité.
+Et, pour l'instant, la fin du support de Ruby 1.9.3 a été programmée pour
+février 2015.
+Nous recommandons que les utilisateurs de Ruby 1.9.3 doivent migrer vers une
+version plus récente dès que possible.
+
+
+## Téléchargements
+
+* [http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p550.tar.bz2](http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p550.tar.bz2)
+
+      TAILLE: 10053787 bytes
+      MD5:    c2169c8b14ccefd036081aba5ffa96da
+      SHA256: d3da003896db47fb10ba4d2e0285eea7fe8cdc785b86c02ebad5bc9cdeaa4748
+      SHA512: 38767e98df25484f7292437f3cb0f798b3a43e9a7414a5401677e96ad1cc367cb3fa23ac3abe568d5bf2b2ca553713469a8770d41b79bc63daf3fa59cb4e15c6
+
+* [http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p550.tar.gz](http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p550.tar.gz)
+
+      TAILLE: 12605180 bytes
+      MD5:    e05135be8f109b2845229c4f47f980fd
+      SHA256: d6cf008d9f3a9aeed2ef04428f19d66e28aed8a71456f7edba68627d3302cd6b
+      SHA512: 420d4f9fe027ffc3ec5cc4ea19cf6e1f1473199ee4af06ef364c08f4a04bf65e253b32e76f37370b8e56ad2e26d0c09e6fa5b1f7c0b407b0c68b63acd2cce975
+
+* [http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p550.tar.xz](http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p550.tar.xz)
+
+      TAILLE: 7714228 bytes
+      MD5:    c0261155faec6cfc9aa16790ee56448f
+      SHA256: c87f04392010ec7f01b12dcbb6d985c61d5f481e71d2a7b25b5f1e72d2d61faa
+      SHA512: cd68e60e01c31642fac08d88846dd8ce9ba287d8322f779490a4e016611090af0cbdee5be4ac611c5468cab90c6a2cdfe2a08c0c05106b6fe61c1253e49273d5
+
+* [http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p550.zip](http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p550.zip)
+
+      TAILLE: 13987149 bytes
+      MD5:    4946e5f3d083894372a7a46342e885f7
+      SHA256: 6e7eceddca615c19f81c125f9864de3570b9687df858cfb27298d867521d5beb
+      SHA512: 0daa8fafa950f1e6ddf79815a615c7d730d234042718bd70e8211e4c23d7cc93126c924ad42673844c3a8cb908bf02a8d03ae2857658a027935f46c13bb17a13
+
+## Commentaire de version
+
+Je suis reconnaissant à tous ceux qui contribuent à Ruby.
+Merci.

fr/news/_posts/2014-10-27-ruby-2-0-0-p594-is-released.md

@@ -0,0 +1,60 @@
+---
+layout: news_post
+title: "Ruby 2.0.0-p594 est disponible"
+author: "usa"
+translator: "Geoffrey Roguelon"
+date: 2014-10-27 12:00:00 +0000
+lang: fr
+---
+
+Nous avons le plaisir de vous annoncer la sortie de Ruby 2.0.0-p594.
+
+Cette version inclut un correctif de sécurité sur une faille DoS de REXML.
+
+* [CVE-2014-8080 : Déni de service sur l'expansion XML](https://www.ruby-lang.org/fr/news/2014/10/27/rexml-dos-cve-2014-8080/)
+
+Cette version inclut également un changement sur les options par défaut de
+ext/openssl.
+Les options non-sécurisées de SSL/TLS sont désormais désactivées par défaut.
+
+* [Changement des options par défaut de ext/openssl](https://www.ruby-lang.org/fr/news/2014/10/27/changing-default-settings-of-ext-openssl/)
+
+De plus, plusieurs bugs ont été corrigés.
+Voir les [tickets](https://bugs.ruby-lang.org/projects/ruby-200/issues?set_filter=1&status_id=5)
+et le [ChangeLog](http://svn.ruby-lang.org/repos/ruby/tags/v2_0_0_594/ChangeLog)
+pour plus de détails.
+
+## Téléchargements
+
+* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p594.tar.bz2](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p594.tar.bz2)
+
+      TAILLE: 10756895 bytes
+      MD5:    58469c0daf5f3a892a70cc674ea59c7f
+      SHA256: e5aee3cf36898315f87771a5e657c81befb88b6afa585b70aaa57c47cc0e99a4
+      SHA512: 8301a51c73fb63a8cfeb14af47d0c18b5bc3c45e3d62fc2ed56a673a1cd6b0015c41f275e70eb14a9e40036b1530977199321e05285e107a6adf58514bef1b3d
+
+* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p594.tar.gz](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p594.tar.gz)
+
+      TAILLE: 13606970 bytes
+      MD5:    a9caa406da5d72f190e28344e747ee74
+      SHA256: ee515dd7b17cdbc106396cd432f5662bb0b5afc05044469175914aab65f3c6e7
+      SHA512: a6544f68a87aa3d00a59cee8c090386cf1fa6d6bfe5730af909d614e90bff9ee64c2cf9f542f7a43f8352b86e3945693504ffed6cefc57f736c6e26670ddb9ca
+
+* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p594.tar.xz](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p594.tar.xz)
+
+      TAILLE: 8316772 bytes
+      MD5:    fc64932b4d4af0f91c03d7966fbbc9b2
+      SHA256: 561465447428a5bc52ed3cca98c6067948b2c81811e1445a196b1c24913b3e72
+      SHA512: d5ba88dd5eb3569203cbe91e75bf21bea6897338885479e34a839569de15ca2f09e4eff655636923892e9234a0f0b6a2c058442ebc1b13a3d2ddced25bd88fa8
+
+* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p594.zip](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p594.zip)
+
+      TAILLE: 15125232 bytes
+      MD5:    d5801bbe794a07236c3bcf4a28ad3509
+      SHA256: 38a8db127d5b241ac2090ef75e9f7941a34851d4c6b61135b88019129f9c04a3
+      SHA512: 1f7d94029e5af480a0ae0ebd21129a01b0066fecd15278b272754e6e80b6a6fb1ded53fd1288e7375a17021d482a59b40414270923c2ecfb06999ea66a91fc54
+
+## Commentaire de version
+
+Je suis reconnaissant à tous ceux qui contribuent à Ruby.
+Merci.