Re: [RFR] wml://security/2015/dsa-328{0,1,2,3}.wml
Bonjour,
relectures.
Amicalement.
--
Jean-Paul
--- 00000009.dsa-3282.wml 2015-06-22 06:50:15.645325984 +0200
+++ - 2015-06-22 06:58:38.611386257 +0200
@@ -8,10 +8,10 @@
client s'identifie lui-même au serveur en utilisant une clé pré-partagée ou
EAP, les contraintes sur le certificat du serveur ne sont appliquées par le
client qu'après que toutes les étapes d'authentification se sont achevées avec
-succès. Un serveur véreux qui peut s'identifier avec un certificat valide
-délivrée par une autorité de confiance du client pourrait piéger l'utilisateur
+succès. Un serveur véreux qui peut s'identifier avec un certificat valable
+délivré par une autorité de confiance du client pourrait piéger l'utilisateur
en le faisant poursuivre l'authentification, révélant le nom d'utilisateur
-et le mot de passe <q>digest</q> (pour EAP) ou même le mot de passe en clair
+et le mot de passe chiffré (pour EAP) ou même le mot de passe en clair
(si le mode EAP-GTC est accepté).</p>
<p>Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 4.5.2-1.5+deb7u7.</p>
Reply to: