Re: [LCFC] wml://lts/security/2020/dla-249{7,8,9}.wml
Bonjour,
On 12/22/20 4:27 PM, JP Guillonneau wrote:
> Dernière chance de commentaire.
suggestions de dernière minute.
Bien cordialement,
Grégoire
--- dla-2498.wml 2020-12-28 13:59:16.296505595 +0800
+++ gregoire.dla-2498.wml 2020-12-28 14:02:07.920006065 +0800
@@ -4,12 +4,12 @@
<p>Le National Cyber Security Centre (NCSC) du Royaume-Uni a découvert que
Xerces-C, une bibliothèque d’analyse pour la validation d’XML pour C++, contient
une erreur d’utilisation de mémoire après libération déclenchée lors de
-l’analyse d’un DTD externe. Un attaquant pourrait causer un déni de service
+l’analyse d’une DTD externe. Un attaquant pourrait causer un déni de service
et éventuellement réaliser une exécution de code à distance. Ce défaut n’a pas
été corrigé dans la version en cours de la bibliothèque et n’a pas de mitigation
-totale. Une première correction est faite par cette mise à jour qui fixe la
+totale. Une première correction est faite par cette mise à jour qui corrige la
vulnérabilité d’utilisation de mémoire après libération au détriment d’une fuite
-de mémoire. Une deuxième correction est de désactiver le traitement du DTD, ce
+de mémoire. Une deuxième correction est de désactiver le traitement de la DTD, ce
qui peut être réalisé à l’aide de DOM en utilisant une fonction d’analyse
standard ou à l’aide de SAX en utilisant la variable d’environnement
XERCES_DISABLE_DTD.</p>
Reply to: