Merge pull request #2633 from manaleak2d/translationfr

Translate latest news posts (fr)

Author: hsbt

fr/news/_posts/2021-04-05-ruby-2-5-9-released.md

@@ -0,0 +1,58 @@
+---
+layout: news_post
+title: "Ruby 2.5.9 est disponible"
+author: "usa"
+translator: "Manaleak2d"
+date: 2021-04-05 12:00:00 +0000
+lang: fr
+---
+
+Ruby 2.5.9 est disponible.
+
+Cette version contient des corrections concernant des problèmes de sécurité.
+Merci de regarder les sujets suivants pour plus de détails.
+
+- [CVE-2020-25613: Potential HTTP Request Smuggling Vulnerability in WEBrick]({%link en/news/_posts/2020-09-29-http-request-smuggling-cve-2020-25613.md %})
+- [CVE-2021-28965: XML round-trip vulnerability in REXML]({% link en/news/_posts/2021-04-05-xml-round-trip-vulnerability-in-rexml-cve-2021-28965.md %})
+
+Voir les [logs de commit](https://github.com/ruby/ruby/compare/v2_5_8...v2_5_9) pour de plus amples informations.
+
+Après cette version, la branche 2.5 n'est plus officiellement supportée. Cela signifie donc que c'est la dernière version de la branche 2.5.
+Nous ne publierons pas de version 2.5.10 même si une faille de sécurité est découverte.
+Nous recommandons à tous les utilisateurs de Ruby 2.5 de passer à la version de Ruby 3.0, 2.7 ou 2.6 immédiatement.
+
+## Téléchargement
+
+{% assign release = site.data.releases | where: "version", "2.5.9" | first %}
+
+- <{{ release.url.bz2 }}>
+
+      SIZE: {{ release.size.bz2 }}
+      SHA1: {{ release.sha1.bz2 }}
+      SHA256: {{ release.sha256.bz2 }}
+      SHA512: {{ release.sha512.bz2 }}
+
+- <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+- <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+- <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## Commentaire de version
+
+Merci à celles et ceux qui ont aidé pour cette version, notamment les personnes ayant reporté les vulnérabilités.

fr/news/_posts/2021-04-05-ruby-2-6-7-released.md

@@ -0,0 +1,61 @@
+---
+layout: news_post
+title: "Ruby 2.6.7 est disponible"
+author: "usa"
+translator: "Manaleak2d"
+date: 2021-04-05 12:00:00 +0000
+lang: fr
+---
+
+Ruby 2.6.7 est disponible.
+
+Cette version contient des corrections concernant des problèmes de sécurité.
+Merci de regarder les sujets suivants pour plus de détails.
+
+- [CVE-2020-25613: Potential HTTP Request Smuggling Vulnerability in WEBrick]({%link en/news/_posts/2020-09-29-http-request-smuggling-cve-2020-25613.md %})
+- [CVE-2021-28965: XML round-trip vulnerability in REXML]({% link en/news/_posts/2021-04-05-xml-round-trip-vulnerability-in-rexml-cve-2021-28965.md %})
+
+Voir les [logs de commit](https://github.com/ruby/ruby/compare/v2_6_6...v2_6_7) pour de plus amples informations.
+
+A partir de cette version, nous terminons la phase de maintenance standard de la branche 2.6 et entrons dans la phase de maintenance de sécurité.
+Cela signifie qu'il n'y aura plus de _backports_ de correctifs pour Ruby 2.6 sauf pour ceux concernant la sécurité.
+Cette phase de maintenance réduite se terminera dans un an. La branche 2.6 de Ruby ne sera alors plus officiellement supportée.
+Nous vous recommandons donc passer vers Ruby 2.7 ou 3.0.
+
+## Téléchargement
+
+{% assign release = site.data.releases | where: "version", "2.6.7" | first %}
+
+- <{{ release.url.bz2 }}>
+
+      SIZE: {{ release.size.bz2 }}
+      SHA1: {{ release.sha1.bz2 }}
+      SHA256: {{ release.sha256.bz2 }}
+      SHA512: {{ release.sha512.bz2 }}
+
+- <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+- <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+- <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## Commentaire de version
+
+Merci aux contributeurs, développeurs et utilisateurs qui, en reportant les bugs, nous ont permis de faire cette version.
+
+La maintenance de Ruby 2.6, incluant cette version, est basée sur l' "Agreement for the Ruby stable version" de la Ruby Association.

fr/news/_posts/2021-04-05-ruby-2-7-3-released.md

@@ -0,0 +1,54 @@
+---
+layout: news_post
+title: "Ruby 2.7.3 est disponible"
+author: "nagachika"
+translator: "Manaleak2d"
+date: 2021-04-05 12:00:00 +0000
+lang: fr
+---
+
+Ruby 2.7.3 est disponible.
+
+Cette version contient des corrections concernant des problèmes de sécurité.
+Merci de regarder les sujets suivants pour plus de détails.
+
+- [CVE-2021-28965: XML round-trip vulnerability in REXML]({% link en/news/_posts/2021-04-05-xml-round-trip-vulnerability-in-rexml-cve-2021-28965.md %})
+- [CVE-2021-28966: Path traversal in Tempfile on Windows]({% link en/news/_posts/2021-04-05-tempfile-path-traversal-on-windows-cve-2021-28966.md %})
+
+Voir les [logs de commit](https://github.com/ruby/ruby/compare/v2_7_2...v2_7_3) pour de plus amples informations.
+
+## Téléchargement
+
+{% assign release = site.data.releases | where: "version", "2.7.3" | first %}
+
+- <{{ release.url.bz2 }}>
+
+      SIZE: {{ release.size.bz2 }}
+      SHA1: {{ release.sha1.bz2 }}
+      SHA256: {{ release.sha256.bz2 }}
+      SHA512: {{ release.sha512.bz2 }}
+
+- <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+- <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+- <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## Commentaire de version
+
+Merci aux contributeurs, développeurs et utilisateurs qui, en reportant les bugs, nous ont permis de faire cette version.

fr/news/_posts/2021-04-05-ruby-3-0-1-released.md

@@ -0,0 +1,47 @@
+---
+layout: news_post
+title: "Ruby 3.0.1 est disponible"
+author: "naruse"
+translator: "Manaleak2d"
+date: 2021-04-05 12:00:00 +0000
+lang: fr
+---
+
+Ruby 3.0.1 est disponible.
+
+Cette version contient des corrections concernant des problèmes de sécurité.
+Merci de regarder les sujets suivants pour plus de détails.
+
+- [CVE-2021-28965: XML round-trip vulnerability in REXML]({% link en/news/_posts/2021-04-05-xml-round-trip-vulnerability-in-rexml-cve-2021-28965.md %})
+- [CVE-2021-28966: Path traversal in Tempfile on Windows]({% link en/news/_posts/2021-04-05-tempfile-path-traversal-on-windows-cve-2021-28966.md %})
+
+Voir les [logs de commit](https://github.com/ruby/ruby/compare/v3_0_0...v3_0_1) pour de plus amples informations.
+
+## Téléchargement
+
+{% assign release = site.data.releases | where: "version", "3.0.1" | first %}
+
+- <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+- <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+- <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## Commentaire de version
+
+Merci aux contributeurs, développeurs et utilisateurs qui, en reportant les bugs, nous ont permis de faire cette version.

fr/news/_posts/2021-04-05-tempfile-path-traversal-on-windows-cve-2021-28966.md

@@ -0,0 +1,32 @@
+---
+layout: news_post
+title: "CVE-2021-28966: Path traversal dans Tempfile sur Windows"
+author: "mame"
+translator: "Manaleak2d"
+date: 2021-04-05 12:00:00 +0000
+tags: security
+lang: fr
+---
+
+Il y a une vulnérabilité involontaire dans la création de répertoire dans la bibliothèque tmpdir inclue dans Ruby sur Windows. Il y a aussi une vulnérabilité involontaire dans la création de fichier dans la bibliothèque tempfile inclue dans Ruby sur Windows, car elle utilise tmpdir en interne. Cette vulnérabilité possède l'identifiant CVE [CVE-2021-28966](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28966).
+
+## Détails
+
+La méthode `Dir.mktmpdir` introduite dans la bibliothèque tmpdir accepte le préfixe et le suffixe du répertoire créé comme premier paramètre. Le préfixe peut contenir des spécificateurs de répertoires relatifs `"..\\"`, donc cette méthode peut être utilisée pour atteindre n'importe quel répertoire. Par conséquent, si un script accepte une entrée externe comme préfixe et que le répertoire cible n'a pas les permissions appropriées ou que le processus ruby possède des privilèges inappropriés, l'attaquant peut créer un répertoire ou un fichier dans n'importe quel répertoire.
+
+C'est le même problème que [CVE-2018-6914](https://www.ruby-lang.org/en/news/2018/03/28/unintentional-file-and-directory-creation-with-directory-traversal-cve-2018-6914/), mais le correctif précédent était incomplet sur Windows.
+
+Tous les utilisateurs qui possède une version concernée devraient faire la mise à jour immédiatement.
+
+## Versions concernées
+
+- Ruby 2.7.2 ou inférieure
+- Ruby 3.0.0
+
+## Crédits
+
+Merci à [Bugdiscloseguys](https://hackerone.com/bugdiscloseguys) pour la découverte de ce problème.
+
+## Historique
+
+- Paru initialement le 2021-04-05 12:00:00 (UTC)

fr/news/_posts/2021-04-05-xml-round-trip-vulnerability-in-rexml-cve-2021-28965.md

@@ -0,0 +1,44 @@
+---
+layout: news_post
+title: "CVE-2021-28965: Vulnérabilité XML round-trip dans REXML"
+author: "mame"
+translator: "Manaleak2d"
+date: 2021-04-05 12:00:00 +0000
+tags: security
+lang: fr
+---
+
+Il y a une vulnérabilité _XML round-trip_ dans la gemme REXML inclue dans Ruby. Cette vulnérabilité possède l'identifiant CVE [CVE-2021-28965](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28965). Nous vous recommandons fortement de faire la mise à jour de la gemme REXML.
+
+## Détails
+
+Lors de l'analyse et de la sérialisation d'un document XML spécialement conçu, la gemme REXML (y compris celle fournie avec Ruby) peut créer un mauvais document XML dont la structure est différente de l'original. L'impact de ce problème dépend fortement du contexte, mais il peut conduire à une vulnérabilité dans certains programmes qui utilisent REXML.
+
+Veuillez mettre à jour la gemme REXML vers la version 3.2.5 ou supérieure.
+
+Si vous utilisez Ruby 2.6 ou supérieure :
+
+- Veuillez utiliser Ruby 2.6.7, 2.7.3, ou 3.0.1.
+- Vous pouvez également utiliser `gem update rexml` pour la mettre à jour. Si vous utilisez bundler, veuillez ajouter `gem "rexml", ">= 3.2.5"` à votre `Gemfile`
+
+Si vous utilisez Ruby 2.5.8 ou inférieure :
+
+- Veuillez utiliser Ruby 2.5.9.
+- <strong>Vous ne pouvez pas utiliser `gem update rexml` pour Ruby 2.5.8 ou inférieure.</strong>
+- Notez que la branche 2.5 de Ruby n'est plus officiellement supportée. Veuillez mettre à jour Ruby vers la version 2.6.7 ou supérieure dès que possible.
+
+## Versions concernées
+
+- Ruby 2.5.8 ou inférieure (vous <strong>NE POUVEZ PAS</strong> utiliser `gem upgrade rexml` pour ces versions.)
+- Ruby 2.6.7 ou inférieure
+- Ruby 2.7.2 ou inférieure
+- Ruby 3.0.1 ou inférieure
+- REXML gem 3.2.4 ou inférieure
+
+## Crédits
+
+Merci à [Juho Nurminen](https://hackerone.com/jupenur) pour la découverte de ce problème.
+
+## Historique
+
+- Paru initialement le 2021-04-05 12:00:00 (UTC)