On Tue, Oct 25, 2005 at 12:08:58PM +0200, Simon Paillard wrote : > Bonjour, > > Voici la traduction de l'annonce de sécurité 870 touchant sudo.
Bonjour, Certaines lignes étaient dupliquées. Voici une rustine corrigeant cela, ainsi que quelques détails. -- Charles
--- dsa-870.wml 2005-10-25 19:12:43.000000000 +0900 +++ dsa-870.wml.charles 2005-10-25 19:19:23.007087992 +0900 @@ -3,13 +3,11 @@ <define-tag moreinfo> <p>Tavis Ormandy a remarqu� que sudo, un programme qui fournit des droits limit�s du superutilisateur � des utilisateurs sp�cifiques, ne nettoyait pas -suffisamment l'environnement. Les variables SHELLOPTS et PS4 sont dangereuses -et sont pourtant encore transmises au programme s'ex�cutant avec les droits -d'un utilisateur privil�gi�. sont dangereuses et sont pourtant encore -transmises au programme s'ex�cutant avec les droits d'un utilisateur -privil�gi�. Ainsi, lors de l'ex�cution d'un script bash, des commandes +suffisamment les variables d'environnement. Les variables SHELLOPTS et PS4 sont dangereuses +et �taient pourtant transmises au programme s'ex�cutant avec les droits +du superutilisateur. Ainsi, lors de l'ex�cution d'un script bash, des commandes arbitraires pouvaient �tre ex�cut�es avec les droits d'un utilisateur -privil�gi�. Ces vuln�rabilit�s pouvaient �tre exploit�es uniquement par les +privil�gi�. Ces vuln�rabilit�s ne pouvaient �tre exploit�es que par les utilisateurs disposant de droits limit�s du superutilisateur.</p> <p>Pour l'ancienne distribution stable (<em>Woody</em>), ce probl�me a �t