NdM : le CERT a également émis une note sur le sujet.
![[en]](../images/en.png)
News sur CNET (477 hits)-
CERT (536 hits)
-
Package sur RedHat (431 hits)
> Lire la dépêche (40 commentaires, moyenne: 1,9).
Vous avez demandé le commentaire #102086.
Run by 
Cette page a été générée par Templeet en 0.0614s (dont 0.0061 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
CNET, garant de votre sécurité
Maintenant c'est CNET qui divulgue les vulnérabilités ? Ben on est pas dans la merde connaissant leur compétences en sécurité informatique.
C'est pas très malin de repomper /. bêtement, faudrait pas que linuxfr devienne comme eux.
[^]Re: CNET, garant de votre sécurité
Hello,
ouais enfin c'etait aussi sur zdnet et sur un autre site linux donc ...
Il n'y a pas que CNET (heureusement ;p)
Debian a deja sorti des packages.
[^]Re: CNET, garant de votre sécurité
Debian a deja sorti des packages
Encore faut-il que les gens mettent une ligne debian-security dans leur sources.list! Y'a pas si longtemps, le programme d'install ne le demandait pas, et il fallait le deviner!
[^]Re: CNET, garant de votre sécurité
Encore faut-il que les gens mettent une ligne debian-security dans leur sources.list! Y'a pas si longtemps, le programme d'install ne le demandait pas, et il fallait le deviner!
La ligne y est, il suffit de la décommenter en meme temps que les 2 autres (serveurs principaux US et non-US). Ces 3 lignes sont consécutives, sans meme une ligne vide pour les séparer... Je parle d'une install avec la 2.2r0 (ie aout 2000)... le "y a pas si longtemps" remonte à Debian 2.1 ou bien tu parles d'une installation un peu particulière ? Quoiqu'il en soit la ligne n'est pas à "deviner", mais au pire à décommenter...
[^]Re: CNET, garant de votre sécurité
Je ne suis pas top fier d'avoir pompe ca sur /. mais j'ai considere qu'un avis sur un buffer overflow devait passer sur linuxfr. Il vaut mieux une redite que d'ignorer le probleme.
Laurent
[+] [^]Re: CNET, garant de votre sécurité
Je ne critique pas la news, mais la source de la news... Par exemple tu aurais pu donner le lien principal : http://www.gzip.org/zlib/advisory-2002-03-11.txt(...) au lieu de faire de la pub pour CNET. (j'aime pas CNET)
[^]Re: CNET, garant de votre sécurité
Ce n'est même pas le pb de CNET ou d'un autre, mais dans tous les cas il faut citer la source la plus directe, ça fait moins téléphone arabe. Combien de fois ils font des erreurs en traduisant ou en résumant...
[^]Re: CNET, garant de votre sécurité
Ca tombe bien car si tu lit bien l'advisory de Zlib ( http://www.gzip.org/zlib/advisory-2002-03-11.txt(...) ), tu te rendra compte que ce n'est pas du tout un buffer overflow, cette vulnerabilite est simplement un double-free (un pointeur free() deux foix), qui provoque simplement un segfault.
Dans tous les cas il n'y a aucuns debordements de buffer, ensuite.. la seule chose que certaines personnent peuvent en tirer est un simple DoS qui pourrait par exemple faire tomber un service ou planter un navigateur (qui utiliserait la libpng, qui elle meme utilise zlib).
Ce n'est donc pas si critique, il n'y a pas vraiment a s'alarmer :)
[^]Re: CNET, garant de votre sécurité
apres reflexion, ca peut etre exploitable.... mais ce n'est pas un buffer overflow :)