Re: [RFR] wml://security/2016/dsa-362{6,7}.wml
Bonjour,
suggestions.
Amicalement.
--
Jean-Paul
--- 00000003.dsa-3626.wml 2016-07-26 07:37:06.084119361 +0200
+++ - 2016-07-26 07:47:03.314710467 +0200
@@ -2,9 +2,9 @@
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Eddie Harari a signalé que le démon SSH OpenSSH permet une énumération
-d'utilisateur à travers une différence de temps lors de tentatives
-d'authentification d'utilisateurs. Quand sshd tente d'authentifier un
-utilisateur qui n'existe pas, il reprendra une structure fixée de faux mot
+d'utilisateurs à travers une différence de temps lors de tentatives
+d'authentification d'utilisateurs. Lorsque sshd tente d'authentifier un
+utilisateur qui n'existe pas, il reprend une structure fixe de faux mot
de passe avec un hachage basé sur l'algorithme Blowfish. Si des mots de
passe d'utilisateurs réels sont chiffrés avec SHA256 ou SHA512, alors, un
attaquant distant peut tirer avantage de ce défaut en envoyant de longs mots
--- 00000001.dsa-3627.wml 2016-07-26 07:16:04.888091573 +0200
+++ - 2016-07-26 07:36:53.426849324 +0200
@@ -10,7 +10,7 @@
<p>La fonction suggestPassword s'appuyait sur un générateur de nombres
aléatoires non sûr qui facilite pour des attaquants distants la découverte
-des mots passe générés à l'aide d'une approche par force brute.</p></li>
+des mots de passe générés à l'aide d'une approche par force brute.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2039";>CVE-2016-2039</a>
@@ -69,7 +69,7 @@
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5739";>CVE-2016-5739</a>
<p>Une Transformation contrefaite pour l'occasion pourrait divulguer des
-information dont un attaquant distant pourrait se servir pour réaliser
+informations dont un attaquant distant pourrait se servir pour réaliser des
contrefaçons de requête intersite.</p></li>
</ul>
Reply to: