Re: [RFR] wml://lts/security/2022/dla-304{5,7}.wml
> Bonjour,
Bonjour,
détail , suggestion (ou bien pourrait ne pas être)
amicalement, bubu
--- dla-3047.wml 2022-06-08 10:49:46.040975107 +0200
+++ dla-3047.relu.wml 2022-06-08 10:52:14.634485818 +0200
@@ -5,19 +5,19 @@
Discovery</q>, exécutait le script avahi-daemon-check-dns.sh avec les
privilèges du superutilisateur ce qui pouvait permettre à un attaquant
local de provoquer un déni de service ou de créer des fichiers vides
-arbitraires à l'aide d'une par lien symbolique sur des fichiers sous
+arbitraires à l'aide d'un lien symbolique sur des fichiers sous
/var/run/avahi-daemon. Le script est maintenant exécuté avec les privilèges
de l'utilisateur et du groupe avahi et requiert sudo afin de réaliser cela.</p>
<p>Le script susmentionné a été retiré à partir de Debian 10 <q>Buster</q>.
-Le palliatif ne pourrait pas être implémenté pour Debian 9 <q>Stretch</q>
+Le palliatif ne peut pas être implémenté pour Debian 9 <q>Stretch</q>
parce que libnss-mdns 0.10 ne fournit pas la fonction requise pour le
remplacer.</p>
<p>En outre, il a été découvert
(<a href="https://security-tracker.debian.org/tracker/CVE-2021-3468">CVE-2021-3468</a>)
que l'événement utilisé pour signaler l'interruption de la connexion du
-client sur le socket Unix d'avahi n'est pas correctement géré correctement
+client sur le socket Unix d'avahi n'est pas géré correctement
dans la fonction client_work, permettant à un attaquant local de déclencher
une boucle infinie.</p>
Reply to: