Le Vendredi 16 Mai 2003 22:31, Thomas Marteau a écrit :
> Bonsoir,
>
> A peine parti en stage et hop, ils lâchent trois DSAs mais je veille.
> Comme j'ai eu un message d'encouragement et que ça fait beaucoup de bien
> au moral, j'en profite aussi.
>
> Je félicite tous ceux qui m'aide à rendre mon boulot encore meilleur. Je
> remercie aussi tous ceux qui comme moi pensent que Debian est
> universelle si elle sait parler aux hommes dans leur langue et qui font
> quelque chose pour que cela arrive ! Alors merci de votre travail !
>
> Ça fait du bien, non ?
> Merci de vos relectures, Thomas.
Comment elle s'appelle ? Tu nous la présenteras ? :-)
(non parce que ça se voir gros comme le nez au milieu de la figure, hein ;-)
Bon, les relectures sont jointes pour ne pas faire un mail inutile, quand
même :)
Guillaume.
--- dsa-303.wml 2003-05-16 23:10:51.000000000 +0200
+++ dsa-303.wml.new 2003-05-16 23:25:50.000000000 +0200
@@ -1,16 +1,16 @@
<define-tag description>Usurpation de droits</define-tag>
<define-tag moreinfo>
-<p>CAN-2003-0073 : Le paquet <i>mysql</i> contient un bogue qui libère
-plus d'une fois de la mémoire alouée dynamiquement. Il pouvait être
-déclenché délibéremment par un attaquant causant un plantage et par voie de
-conséquence un déni de service. Pour exploiter cette faille de sécurité, une
-combinaison valide d'un nom d'utilisateur et d'un mot de passe pour accéder
+<p>CAN-2003-0073 : Le paquet <i>mysql</i> contient un bogue à cause duquel
+de la mémoire allouée dynamiquement est libérée plusieurs fois. Il peut être
+déclenché délibérément par un attaquant, causant un plantage et par voie de
+conséquence un déni de service. Afin d'exploiter cette faille de sécurité, une
+combinaison valide d'un nom d'utilisateur et d'un mot de passe pour accéder
au serveur MySQL est nécessaire.</p>
-<p>CAN-2003-0150 : Le paquet mysql possède un bogue grâce auquel un
-utilisateur malveillant avec certaines permissions dans <i>mysql</i>,
-pouvait créer un fichier de configuration qui pourrait exécuter le serveur
-mysql en tant que <i>root</i> ou tout autre utilisateur plutôt que
+<p>CAN-2003-0150 : Le paquet mysql possède un bogue à cause duquel un
+utilisateur malveillant avec certaines permissions dans <i>mysql</i>
+peut créer un fichier de configuration provoquant l'exécution du serveur
+mysql en tant que <i>root</i> ou tout autre utilisateur que
l'utilisateur mysql.</p>
<p>Pour la distribution stable (<i>Woody</i>), les deux problèmes ont été
--- dsa-304.wml 2003-05-16 23:10:48.000000000 +0200
+++ dsa-304.wml.new 2003-05-16 23:20:18.000000000 +0200
@@ -1,8 +1,8 @@
<define-tag description>Usurpation de droits</define-tag>
<define-tag moreinfo>
<p>Leonard Stiles a découvert que <i>lv</i>, un visualisateur multilingue de
-fichier, lisait les options depuis un fichier de configuration dans le
-répertoire courant. Parce qu'un tel fichier pouvait être placé là par un
+fichiers, lisait les options depuis un fichier de configuration dans le
+répertoire courant. Vu qu'un tel fichier pouvait être placé là par un
utilisateur malveillant et que les options de configuration de <i>lv</i>
peuvent être utilisées pour exécuter des commandes, ceci représentait
une faille de sécurité. Un attaquant pouvait obtenir les privilèges de
--- dsa-305.wml 2003-05-16 23:10:44.000000000 +0200
+++ dsa-305.wml.new 2003-05-16 23:23:24.000000000 +0200
@@ -1,16 +1,16 @@
-<define-tag description>Fichiers temporaires non-sécurisés</define-tag>
+<define-tag description>Fichiers temporaires non sécurisés</define-tag>
<define-tag moreinfo>
<p>Paul Szabo a découvert des bogues dans trois scripts inclus dans le paquet
-<i>sendmail</i> où des fichiers temporaires sont créés de manière
-non-sécurisée (<code>expn</code>, <code>checksendmail</code> et
+<i>sendmail</i> où des fichiers temporaires étaient créés de manière
+non sécurisée (<code>expn</code>, <code>checksendmail</code> et
<code>doublebounce.pl</code>). Ces bogues pouvaient permettre à un attaquant
-d'obtenir les privilèges d'un utilisateur invoquant l'un des scripts (incluant
+d'obtenir les privilèges d'un utilisateur invoquant l'un des scripts (y compris
<i>root</i>).</p>
<p>Pour la distribution stable (<i>Woody</i>), ces problèmes ont été corrigés
dans la version 8.12.3-6.4.</p>
-<p>Pour l'ancienne distribution stable (<i>Potato</i>), ces problèmes ont été
+<p>Pour l'ancienne distribution stable (<i>Potato</i>), ces problèmes ont été
corrigés dans la version 8.9.3-26.1.</p>
<p>>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés
