Bonjour, Dixit JP Guillonneau, le 17/03/2021 : >Merci d’avance pour vos relectures. Relecture : - newusers est une commande du paquet passwd (src:shadow) (https://packages.debian.org/bullseye/amd64/passwd/filelist ou https://manpages.debian.org/newusers) ; - notably est un faux ami. Baptiste
--- 00000503.dla-2596.wml 2021-03-17 20:59:20.737718848 +0100 +++ ./00000503.dla-2596-bj.wml 2021-03-17 21:01:32.924228102 +0100 @@ -10,10 +10,10 @@ <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-20002";>CVE-2017-20002</a> <p>Shadow liste de manière incorrecte pts/0 et pts/1 comme des terminaux -physiques dans /etc/securetty. Cela permet à des utilisateurs locaux pour se +physiques dans /etc/securetty. Cela permet à des utilisateurs locaux de se connecter comme utilisateurs sans mot de passe sâ??ils sont connectés par des moyens non matériels tels que SSH (par conséquent en contournant nullok_secure -de la configuration PAM). Cela affecte notablement les environnements tels que +de la configuration PAM). Cela affecte notamment les environnements tels que des machines virtuelles générées automatiquement avec un mot de passe administrateur vierge, permettant à des utilisateurs locaux dâ??augmenter leurs privilèges. Il est à noter cependant que /etc/securetty sera supprimé dans @@ -21,7 +21,7 @@ <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12424";>CVE-2017-12424</a> -<p>Lâ??outil de nouvel utilisateur pourrait être construit pour manipuler des +<p>Lâ??outil <q>newusers</q> pourrait être utilisé pour manipuler des structures de données internes dâ??une matière inattendue par leurs auteurs. Une entrée mal formée peut conduire à des plantages (avec un dépassement de tampon ou une autre corruption de mémoire) ou dâ??autres comportements non précisés. Cela
Attachment:
pgpGyOJNId49X.pgp
Description: Signature digitale OpenPGP