subject:"Re\: \[RFR\] wml\:\/\/lts\/security\/2019\/dla\-1874.wml"

Re: [RFR] wml://lts/security/2019/dla-1874.wml

2019-08-12 Par sujet JP Guillonneau

Bonjour,

le dimanche 11 août 16:21, Grégoire Scano a écrit :
>quelques reformulations et suggestions.

Merci Grégoire → patch + (s/sont correctif/son correctif/)
 
Autre chance de commentaire.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="8d0f3f513643db311367760f031cb36332721444" maintainer="Jean-Paul Guillonneau"
Mise Ã  jour de sÃ©curitÃ© pour LTS

* https://security-tracker.debian.org/tracker/CVE-2019-10208;>CVE-2019-10208Â :
Â«Â TYPEÂ Â» dans Â«Â pg_tempÂ Â» exÃ©cute du SQL arbitraire lors de lâexÃ©cution de Â«Â SECURITY DEFINERÂ Â»

Versions affectÃ©esÂ :Â 9.4Â -Â 11

Ãtant donnÃ© une fonction Â«Â SECURITY DEFINERÂ Â» appropriÃ©e, un attaquant peut
exÃ©cuter du SQL arbitraire sous lâidentitÃ© du possesseur de la fonction.
Une attaque requiert la permission Â«Â EXECUTEÂ Â» pour la fonction qui doit elle-mÃªme
contenir un appel de fonction avec une correspondance inexacte du type
des arguments. Par exemple, elle est inexacte pour Â«Â length('foo'::varchar)Â Â» et Â«Â length('foo')Â Â»
tandis qu'elle est exacte pour Â«Â length('foo'::text)Â Â». Dans le cadre de lâexploitation de
cette vulnÃ©rabilitÃ©, lâattaquant utilise Â«Â CREATE DOMAINÂ Â» pour crÃ©er un type dans
un schÃ©ma Â«Â pg_tempÂ Â». Le schÃ©ma d'attaque et son correctif sont similaires Ã  ceux
de https://security-tracker.debian.org/tracker/CVE-2007-2138;>CVE-2007-2138.

LâÃ©criture de fonctions Â«Â SECURITY DEFINERÂ Â» continue dâexiger de suivre les
considÃ©rations notÃ©es dans la documentationÂ :

https://www.postgresql.org/docs/devel/sql-createfunction.html#SQL-CREATEFUNCTION-SECURITY

Le projet PostgreSQL remercie Tom Lane pour le signalement de ce problÃ¨me.

Pour DebianÂ 8 Jessie, ce problÃ¨me a Ã©tÃ© corrigÃ© dans
la versionÂ 9.4.24-0+deb8u1.
Nous vous recommandons de mettre Ã  jour vos paquets postgresql-9.4.

Plus dâinformations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1874.data"
# $Id: $

Re: [RFR] wml://lts/security/2019/dla-1874.wml

2019-08-11 Par sujet Grégoire Scano

Bonjour,

On 8/10/19 3:52 PM, JP Guillonneau wrote:
> Cet annonce de sécurité a été publiée.
> Les fichiers sont aussi disponibles ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-.wml
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-.wml

quelques reformulations et suggestions.

Bien cordialement,
Grégoire
--- dla-1874.wml2019-08-11 16:18:18.466036392 +0800
+++ gregoire.dla-1874.wml   2019-08-11 16:20:10.374754371 +0800
@@ -2,18 +2,18 @@
 Mise à jour de sécurité pour LTS
 
 * https://security-tracker.debian.org/tracker/CVE-2019-10208;>CVE-2019-10208
 :
-« TYPE » dans « pg_temp » exécute des SQL arbitraires lors de l’exécution de « 
SECURITY DEFINER »
+« TYPE » dans « pg_temp » exécute du SQL arbitraire lors de l’exécution de « 
SECURITY DEFINER »
 
 Versions affectées : 9.4 - 11
 
-Étant donné une fonction appropriée « SECURITY DEFINER », un attaquant peut
-exécuter des SQL arbitraires sous l’identité du possesseur de la fonction.
-Une attaque requiert la permission « EXECUTE » pour la fonction qui elle-même
-doit contenir un appel de fonction avec une correspondance inexacte d’arguments
-de type. Par exemple, « length('foo'::varchar) » et « length('foo') » est 
inexact
-tandis que « length('foo'::text) » est exact. Dans le cadre d’exploitation de
+Étant donné une fonction « SECURITY DEFINER » appropriée, un attaquant peut
+exécuter du SQL arbitraire sous l’identité du possesseur de la fonction.
+Une attaque requiert la permission « EXECUTE » pour la fonction qui doit 
elle-même
+contenir un appel de fonction avec une correspondance inexacte du type
+des arguments. Par exemple, elle est inexacte pour « length('foo'::varchar) » 
et « length('foo') »
+tandis qu'elle est exacte pour « length('foo'::text) ». Dans le cadre de 
l’exploitation de
 cette vulnérabilité, l’attaquant utilise « CREATE DOMAIN » pour créer un type 
dans
-un schéma « pg_temp ». Les modèle et correctif d’attaque sont similaires à ceux
+un schéma « pg_temp ». Le schéma d'attaque et sont correctif sont similaires à 
ceux
 de https://security-tracker.debian.org/tracker/CVE-2007-2138;>CVE-2007-2138.
 
 L’écriture de fonctions « SECURITY DEFINER » continue d’exiger de suivre les

Re: [RFR] wml://lts/security/2019/dla-1874.wml

Re: [RFR] wml://lts/security/2019/dla-1874.wml

2 matches

Site Navigation

Mail list logo

Footer information