Re: [ddr] webwml:/security/2003/dsa-292,293,294.wml
Le Mercredi 23 Avril 2003 23:01, Thomas Marteau a écrit :
> Bonsoir,
>
> Voici les dernières DSAs. La dsa-294 a été très dure malgré l'aide de
> Jean Philippe Gaulier.
--- dsa-293.wml Thu Apr 24 00:15:59 2003
+++ dsa-293.wml.rev Thu Apr 24 00:18:56 2003
-et PDF. Un attaquant pouvait fournir un fichier PostScript ou PDF via
courriel
-ou par leur site web. Il serait conçu pour permettre d'exécuter n'importe
+et PDF. Un attaquant pouvait fournir un fichier PostScript ou PDF par
courriel
+ou par un site web. Il serait conçu pour permettre d'exécuter n'importe
on a sinon l'impression que c'est KDE qui fournit le fichier malsain sur son
site :-)
--- dsa-294.wml.orig Thu Apr 24 00:14:52 2003
+++ dsa-294.wml Thu Apr 24 00:13:48 2003
-<i>gkrellm-newsticker</i>, un ajout logiciel pour le programme moniteur
système
+<i>gkrellm-newsticker</i>, un ajout logiciel pour le programme de
supervision du système
Cette tournure me semble moins mot à mot
-gkrellm, qui fournit un encadré de nouvelles en se basant sur les fichiers
+gkrellm, qui fournit un fil de nouvelles en se basant sur les fichiers
là, le truc m'a fait penser au fil de dépêche des agences du type AFP ou
Reuters
--- dsa-294.wml.orig Thu Apr 24 00:14:52 2003
+++ dsa-294.wml Thu Apr 24 00:13:48 2003
@@ -1,19 +1,19 @@
<define-tag description>Apostrophes manquantes et analyseur incomplet</define-tag>
<define-tag moreinfo>
<p>Brian Campbell a découvert deux problèmes de sécurité dans
-<i>gkrellm-newsticker</i>, un ajout logiciel pour le programme moniteur système
-gkrellm, qui fournit un encadré de nouvelles en se basant sur les fichiers
-RDF. Le projet <i>Common Vulnerabilities and Exposures</i> identifie les
+<i>gkrellm-newsticker</i>, un ajout logiciel pour le programme de supervision du système
+gkrellm, qui fournit un fil de nouvelles en se basant sur les fichiers
+RDF. Le projet <i>Common Vulnerabilities and Exposures</i> a identifié les
problèmes suivants :</p>
<dl>
<dt><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0205">CAN-2003-0205</a></dt>
<dd>
Il peut démarrer un navigateur web du choix de l'utilisateur quand le
- titre de la nouvelle est sélectionné en utilisant le URI donné par le RDF.
+ titre d'une nouvelle est sélectionné en utilisant le URI donné par le RDF.
Cependant, des caractères shell spéciaux ne sont pas correctement échappés
permettant à un serveur de RDF malveillant d'exécuter n'importe quelle
- commande shell sur les machines clientes </dd>
+ commande shell sur les machines clientes ;</dd>
<dt><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0206">CAN-2003-0206</a></dt>
<dd>
--- dsa-293.wml Thu Apr 24 00:15:59 2003
+++ dsa-293.wml.rev Thu Apr 24 00:18:56 2003
@@ -2,8 +2,8 @@
<define-tag moreinfo>
<p>L'équipe KDE a découvert une faille de sécurité dans la façon dont KDE
utilise le logiciel <i>Ghostscript</i> pour lire les fichiers PostScript (PS)
-et PDF. Un attaquant pouvait fournir un fichier PostScript ou PDF via courriel
-ou par leur site web. Il serait conçu pour permettre d'exécuter n'importe
+et PDF. Un attaquant pouvait fournir un fichier PostScript ou PDF par courriel
+ou par un site web. Il serait conçu pour permettre d'exécuter n'importe
quelle commande sous les privilèges de l'utilisateur visualisant le fichier
ou quand le navigateur génère le listing du répertoire avec les
mini-aperçus.</p>
--- dsa-292.wml Thu Apr 24 00:20:57 2003
+++ dsa-292.wml.rev Thu Apr 24 00:27:01 2003
@@ -1,9 +1,9 @@
<define-tag description>Création non-sécurisée de fichiers temporaires</define-tag>
<define-tag moreinfo>
<p>Colin Phipps a découvert plusieurs problèmes dans <i>mime-support</i>, qui
-conteint les programmes offrant les fonctionnalités pour le contrôle de
+contient les programmes offrant les fonctionnalités pour le contrôle de
fichiers MIME comme <i>mime.types</i> et <i>mailcap</i>. Quand un
-fichier temporaire doit être utilisé, il est céé de manière non-sécurisée,
+fichier temporaire doit être utilisé, il est créé de manière non-sécurisée,
permettant à un attaquant d'écraser n'importe quel fichier avec l'identité de
l'utilisateur utilisant <i>run-mailcap</i>. De plus, le programme n'échappe
pas proprement les caractères d'échappements shell quand on exécute une
Reply to: