Re: [DDR] webwml://security/2002/dsa-20[5|6|7].wml
Le Fri, 13 Dec 2002 08:31:02 +0100
Pierre Machard <pmachard@tuxfamily.org> a tapoté sur son clavier :
> Bonjour à tous,
> voici les traductions des fichiers :
Salut ! Voici mes relectures :
dsa-205.wml : gtetrinet
-<p>Steve Kemp et James Antill ont découvert plusieurs débordements de tampon
+<p>Steve Kemp et James Antill ont découvert plusieurs débordements de tampons
À mon avis, il faut mettre tampon au pluriel.
dans le paquet gtetrinet (un jeu de tétris multi-joueurs) qui est fourni
dans la distribution Debian GNU/Linux 3.0 ; ce débordement
-peut être utilisé par un serveur mal veillant.</p>
+peut être utilisé par un serveur malveillant.</p>
À moins que le serveur ait des problèmes de mise en veille... ;-)
###################
dsa-206.wml : tpcdump
Pas de commentaire même si ça reste légèrement abscons pour moi...
###################
dsa-207.wml : tetex-bin
-la bibliothèque kpathse (libkpathsea), bibliothèque utilisée par xdvi et
+la bibliothèque kpathsea (libkpathsea), bibliothèque utilisée par xdvi et
dvips. Ces deux programmes appellent la fonction system() de façon
non-sécurisée, ce qui permet à un assaillant distant de faire exécuter
-des commandes arbitrairement via des fichiers DVI formatés d'une certaine
-façon.</p>
+des commandes arbitrairement via des fichiers DVI malicieusement fabriqués.</p>
Je trouve que ceci rend mieux le "cleverly crafted" original même si
le crafted suggère en plus qu'on est allé trifouiller le dvi.
<p>Si dvips est utilisé dans un filtre d'impression, cela permet
à un assaillant local ou distant, qui possède le droit d'imprimer, de faire
-exécuter un code arbitraire par l'utilisateur de l'imprimante (généralement
+exécuter un code arbitraire par l'utilisateur faisant tourner le serveur d'impression (généralement
lp).</p>
« Utilisateur de l'imprimante » est ambiguë. Il est néanmoins vrai que
celui qui lit les DSA doit s'y connaître un minimum...
Fichiers diff en Pj.
Yannick
--
Un système est dit « sûr » quand il est éteint, débranché, blindé par
une carapace de titane, coulé dans du béton, et entouré à la fois de
gaz de combat et de gardes armés bêtes et méchants. (adaptation de
Gene Spafford)
--- dsa-205.wml 2002-12-13 14:16:27.000000000 +0100
+++ dsa-205.relu.wml 2002-12-13 14:22:54.000000000 +0100
@@ -1,10 +1,10 @@
#use wml::debian::translation-check translation="1.1" maintainer="Pierre Machard"
<define-tag description>Débordement de tampon</define-tag>
<define-tag moreinfo>
-<p>Steve Kemp et James Antill ont découvert plusieurs débordements de tampon
+<p>Steve Kemp et James Antill ont découvert plusieurs débordements de tampons
dans le paquet gtetrinet (un jeu de tétris multi-joueurs) qui est fourni
dans la distribution Debian GNU/Linux 3.0 ; ce débordement
-peut être utilisé par un serveur mal veillant.</p>
+peut être utilisé par un serveur malveillant.</p>
<p>Ce problème a été corrigé dans la version 0.4.4 des sources
et publié dans la version 0.4.1-9woody1.1 du paquet Debian.</p>
--- dsa-207.wml 2002-12-13 14:16:54.000000000 +0100
+++ dsa-207.relu.wml 2002-12-13 14:35:23.000000000 +0100
@@ -2,15 +2,14 @@
<define-tag description>Exécution de commandes arbitraires</define-tag>
<define-tag moreinfo>
<p>L'équipe en charge de la sécurité de SuSE a découvert une faille dans
-la bibliothèque kpathse (libkpathsea), bibliothèque utilisée par xdvi et
+la bibliothèque kpathsea (libkpathsea), bibliothèque utilisée par xdvi et
dvips. Ces deux programmes appellent la fonction system() de façon
non-sécurisée, ce qui permet à un assaillant distant de faire exécuter
-des commandes arbitrairement via des fichiers DVI formatés d'une certaine
-façon.</p>
+des commandes arbitrairement via des fichiers DVI malicieusement fabriqués.</p>
<p>Si dvips est utilisé dans un filtre d'impression, cela permet
à un assaillant local ou distant, qui possède le droit d'imprimer, de faire
-exécuter un code arbitraire par l'utilisateur de l'imprimante (généralement
+exécuter un code arbitraire par l'utilisateur faisant tourner le serveur d'impression (généralement
lp).</p>
<p>Ce problème a été corrigé dans la version 1.0.7+20011202-7.1
Reply to: