From: Lucien Gentis Date: Sat, 1 Sep 2012 15:53:27 +0000 (+0000) Subject: Update. X-Git-Tag: 2.2.24~143 X-Git-Url: http://git.ipfire.org/cgi-bin/gitweb.cgi?a=commitdiff_plain;h=b102781658427d69691907a972d3b3780b27c0d7;p=thirdparty%2Fapache%2Fhttpd.git Update. git-svn-id: https://svn.apache.org/repos/asf/httpd/httpd/branches/2.2.x@1379778 13f79535-47bb-0310-9956-ffa450edef68 --- diff --git a/docs/manual/mod/mod_rewrite.xml.fr b/docs/manual/mod/mod_rewrite.xml.fr index f2c47aa48c2..0368d2c9eb1 100644 --- a/docs/manual/mod/mod_rewrite.xml.fr +++ b/docs/manual/mod/mod_rewrite.xml.fr @@ -1,7 +1,7 @@ - + @@ -202,8 +202,44 @@ la version version 2.1 after après les règles spécifiées dans le niveau enfant. + - + +
AllowAnyURI
+
+ +

A partir de la version 2.2.22 de httpd, lorsqu'une directive + RewriteRule est + utilisée dans un contexte de serveur virtuel ou de + serveur principal, mod_rewrite ne la traitera que + si l'URI de la requête correspond à un chemin d'URL. Ceci permet + d'éviter certains problèmes de sécurité où certaines règles + peuvent permettre l'expansion de modèles inattendus (voir CVE-2011-3368 + et CVE-2011-4317). + Pour lever cette restriction, on peut activer l'option + AllowAnyURI, et mod_rewrite va alors + appliquer le jeu de règles à tout URI de requête, sans vérifier si + la chaîne respecte la grammaire des chemins d'URL définie dans la + spécification HTTP.

+ + + Avertissement en matière de sécurité + +

L'activation de cette option expose le serveur à des + problèmes de sécurité si les règles de réécriture n'ont pas été + rédigées avec soin. Il est donc fortement + recommandé de ne pas utiliser cette option. En + particulier, prenez garde aux chaînes d'entrée contenant le + caractère '@' qui peut modifier l'interprétation de + l'URI transformé, comme indiqué dans les CVE ci-dessus.

+ +
+ + + @@ -245,7 +281,7 @@ des traitements du moteur de réécriture Adresse IP de l'hôte distant 192.168.200.166 -Nom de login distanten général "-" +Nom de login didtanten général "-" nom d'authentification de l'utilisateur HTTPnom d'utilisateur, ou "-" si non authentifié Date et heure de la requête[28/Aug/2009:13:09:09 --0400] @@ -1311,7 +1347,9 @@ substitution ! Substitution /www/file.html, cette dernière sera traitée comme un chemin d'URL à moins qu'un répertoire nommé www n'existe à la racine - de votre système de fichiers, auquel cas la chaîne de + de votre système de fichiers (ou dans le cas d'une + réécriture au sein d'un fichier .htaccess, + relativement à la racine des documents), auquel cas la chaîne de substitution sera traitée comme un chemin du système de fichiers. Si vous désirez que d'autres directives de correspondance d'URL (comme la directive