Re: [DDR] webwml://security/2002/dsa-212.wml

To: Debian french l10n list <debian-l10n-french@lists.debian.org>
Subject: Re: [DDR] webwml://security/2002/dsa-212.wml
From: Pierre Machard <pmachard@tuxfamily.org>
Date: Wed, 18 Dec 2002 07:57:55 +0100
Message-id: <[🔎] 20021218065755.GD5898@twinette.migus.eu.org>
Mail-followup-to: Pierre Machard <pmachard@tuxfamily.org>, Debian french l10n list <debian-l10n-french@lists.debian.org>
In-reply-to: <[🔎] 20021217213756.GA10651@twinette.migus.eu.org>
References: <[🔎] 20021217213756.GA10651@twinette.migus.eu.org>

Bonjour,

avec la traduction c'est mieux :-)

merci par avance pour les relectures,
a+
-- 
                                Pierre Machard
<pmachard@tuxfamily.org>                                  TuxFamily.org
<pmachard@techmag.net>                                     techmag.info
+33(0)668 178 365                    http://migus.tuxfamily.org/gpg.txt
GPG: 1024D/23706F87 : B906 A53F 84E0 49B6 6CF7 82C2 B3A0 2D66 2370 6F87

#use wml::debian::translation-check translation="1.2" maintainer="Pierre Machard"
<define-tag description>multiples problèmes</define-tag>
<define-tag moreinfo>
<p>En effectuant un audit de MySQL, e-matters a découvert plusieurs 
problèmes&nbsp;:</p>

<ul>
<li> Problème sur les entiers signés/non-signés dans COM_TABLE_DUMP
  Les entiers signés pouvaient prendre deux tailles différentes lors
  d'une requête, il y avait ensuite un trans-typage qui en faisait des entiers 
  non-signés sans qu'il y ait de vérification sur les nombres
  négatifs. Étant donné que les nombres obtenus étaient utilisés pour
  une opération de memcpy(), cela pouvait provoquer une corruption de la
  mémoire.</li>

<li> La longueur du mot de passe dans COM_CHANGE_USER
  Lorsqu'un utilisateur se ré-identifiait sous un autre nom, MySQL ne
  procédait pas à tous les tests de vérification comme il le fait
  lors de l'identification initiale. Cela pouvait engendrer deux 
  problèmes&nbsp;:
  <ul>
  <li> cela permettait de massivement tester chacune des lettres du mot de 
       passe (cette faille avait été corrigée en février 2000 pour 
       l'identification initiale) avec comme conséquence qu'un utilisateur
       normal pouvait obtenir les privilèges de super-utilisateur sur
       la base de données&nbsp;;</li>
  <li> Il était possible de faire déborder le tampon qui contient le mot
       de passe et de forcer le serveur à exécuter un code arbitraire.</li>
  </ul></li>

<li> read_rows() déborde dans libmysqlclient
  Lorsque l'on travaille sur les lignes qui sont renvoyées par le serveur
  SQL, on ne contrôlait pas les lignes de tailles gigantesques ou celles qui 
  se terminaient par des caractères NUL. Ceci pouvait être utiliser pour
  exploiter les clients SQL s'ils se connectaient sur un serveur Mysql 
  corrompu.</li>

<li> read_one_row() déborde dans libmysqlclient
  Lorsque l'on travaille sur les lignes qui sont renvoyées par le serveur
  SQL, la taille des champs retournés n'était pas testée. Cela pouvait
  être utilisé pour exploiter les clients SQL qui se connectaient
  sur un serveur MySQL corrompu.</li>
</ul>

<p>Pour la version&nbsp;3.0/woody de Debian GNU/Linux, ces failles ont été
corrigées dans la version&nbsp;3.23.49-8.2 et dans pour la 
version&nbsp;2.2/potato de Debian GNU/Linux dans la 
version&nbsp;3.22.32-6.3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mysql aussi rapidement
que possible.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-212.data"

Reply to:

Follow-Ups:
- Re: [DDR] webwml://security/2002/dsa-212.wml
  - From: Yannick Roehlly <yannick.roehlly@free.fr>

References:
- [DDR] webwml://security/2002/dsa-212.wml
  - From: Pierre Machard <pmachard@tuxfamily.org>

Prev by Date: Debian WWW CVS commit by pmachard: webwml/french/News/weekly/2002/49 index.wml
Next by Date: [DDR] webwml://News/weekly/2002/49/index.wml
Previous by thread: [DDR] webwml://security/2002/dsa-212.wml
Next by thread: Re: [DDR] webwml://security/2002/dsa-212.wml
Index(es):
- Date
- Thread