Faille Mozilla du 6 Juin

Steph

14/06/2007 à 21:12

Le 14/06/2007 14:28, Frederic Bezies disait:

Non, simplement que les failles en questions ont été relayées à grand
renfort d'info limite intox par certains sites d'informations, qui
m'avaient foutu un brin les nerfs en pelotes...

OK. On respire un bon coup... et on oublie tout :)

Revenons à ce que je disais au début de mon fil, qui n'a rien à voir:
divulgation AVANT patch, et c'est (il me semble, de mémoire) une
première pour FF. Même si la faille est minime.

Pour ce qui est de l'intox (???), nous ne devons pas avoir les mêmes
lectures, me limitant aux sites du type FrSIRT, CERTA..., et quelques
autres équivalents (et souvent plus pointus et en avance) en EN.

--
Steph
Enlever l'.adressebidon.invalid pour m'écrire en privé

Vincent Lefevre

15/06/2007 à 01:28

Dans l'article <467010c4$0$27805$,
Steph écrit:

Le bug 367428 ? Exact, risque faible. Heureusement :)

Comme faille sérieuse et dont personne ne semble parler:

https://bugzilla.mozilla.org/show_bug.cgi?id#0606

En résumé, n'ouvrez jamais un fichier HTML sauvé localement: celui-ci
peut lire n'importe quelle donnée que l'utilisateur peut lire (il faut
connaître le nom du fichier, mais certains ont des noms plus ou moins
fixés, genre ~/.ssh/id_rsa) et la renvoyer sur le web.

--
Vincent Lefèvre - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

Frederic Bezies

15/06/2007 à 08:17

Le 14/06/2007 21:12, Steph a écrit :

Le 14/06/2007 14:28, Frederic Bezies disait:
Non, simplement que les failles en questions ont été relayées à grand
renfort d'info limite intox par certains sites d'informations, qui
m'avaient foutu un brin les nerfs en pelotes...

OK. On respire un bon coup... et on oublie tout :)

Non ? ;)

Revenons à ce que je disais au début de mon fil, qui n'a rien à voir:
divulgation AVANT patch, et c'est (il me semble, de mémoire) une
première pour FF. Même si la faille est minime.

Une première en effet. Mais vu l'impact des dites failles ;)

Pour ce qui est de l'intox (???), nous ne devons pas avoir les mêmes
lectures, me limitant aux sites du type FrSIRT, CERTA..., et quelques
autres équivalents (et souvent plus pointus et en avance) en EN.

Le problème est qu'il n'y avait aucune référence à des bugs ouverts /
enregistré sur bugzilla...

Sinon, rien à redire, dans l'absolu.

--
Frederic Bezies -
Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://frederic.bezies.free.fr/blog/
Forum : http://frederic.bezies.free.fr/forum/

Frederic Bezies

15/06/2007 à 08:21

Le 15/06/2007 01:28, Vincent Lefevre a écrit :

Dans l'article <467010c4$0$27805$,
Steph écrit:

Le bug 367428 ? Exact, risque faible. Heureusement :)

Comme faille sérieuse et dont personne ne semble parler:

https://bugzilla.mozilla.org/show_bug.cgi?id#0606

Elle est un peu vieille en effet.

En résumé, n'ouvrez jamais un fichier HTML sauvé localement: celui-ci
peut lire n'importe quelle donnée que l'utilisateur peut lire (il faut
connaître le nom du fichier, mais certains ont des noms plus ou moins
fixés, genre ~/.ssh/id_rsa) et la renvoyer sur le web.

Surtout que les preuves de faisabilité sont assez récente, datant de
2007, pour un bug ouvert en... 2004 !

https://bugzilla.mozilla.org/show_bug.cgi?id#0606#c43

Donc, faille sérieuse surement. Exploitable facilement ? J'en sais rien,
et on verra bien combien de temps elle restera encore ouverte ;)

Enfin, si elle était hyperdangereuse, elle ne serait pas aussi
facilement disponible, quand on connait la politique de la Fondation
Mozilla sur ce plan précis.

--
Frederic Bezies -
Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://frederic.bezies.free.fr/blog/
Forum : http://frederic.bezies.free.fr/forum/

Vincent Lefevre

15/06/2007 à 12:28

Dans l'article <46722f97$0$25947$,
Frederic Bezies écrit:

Le 15/06/2007 01:28, Vincent Lefevre a écrit :

> https://bugzilla.mozilla.org/show_bug.cgi?id#0606

[...]

Surtout que les preuves de faisabilité sont assez récente, datant de
2007, pour un bug ouvert en... 2004 !

2007? Cf les duplicates. Un exemple explicite a été donné en 2004 ici:

https://bugzilla.mozilla.org/show_bug.cgi?id'3419

https://bugzilla.mozilla.org/show_bug.cgi?id 9234 indique que cela
affecte aussi les attachements en HTML dans Thunderbird, car ils sont
sauvés dans un fichier temporaire avant d'être affichés.

https://bugzilla.mozilla.org/show_bug.cgi?id#0606#c43

Donc, faille sérieuse surement. Exploitable facilement ? J'en sais rien,
et on verra bien combien de temps elle restera encore ouverte ;)

Vu que de nos jours, il est courant d'avoir des attachements en HTML
dans les mails, ça me semble suffisamment sérieux. Rien ne prouve
que ce bug n'a pas déjà été exploité: en effet, il ne laisse aucune
trace.

Enfin, si elle était hyperdangereuse, elle ne serait pas aussi
facilement disponible, quand on connait la politique de la Fondation
Mozilla sur ce plan précis.

Quand le bug ne concerne pas l'utilisateur lambda sous Windows qui
n'utilise rien d'autre que Firefox, je ne les trouve pas très stricts.

Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
n'a été fait:

https://bugzilla.mozilla.org/show_bug.cgi?id$6524

--
Vincent Lefèvre - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

Jean-Marc Desperrier

15/06/2007 à 14:44

Vincent Lefevre wrote:

Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
n'a été fait:

https://bugzilla.mozilla.org/show_bug.cgi?id$6524

Et pourquoi ne proposerais-tu pas un patch ? Si tu fais, je peux aider à
pousser le bug pour qu'il soit pris en compte.

Vincent Lefevre

15/06/2007 à 16:50

Dans l'article <f4tvq8$ce0$,
Jean-Marc Desperrier écrit:

Vincent Lefevre wrote:
> Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
> n'a été fait:
>
> https://bugzilla.mozilla.org/show_bug.cgi?id$6524

Et pourquoi ne proposerais-tu pas un patch ? Si tu fais, je peux
aider à pousser le bug pour qu'il soit pris en compte.

Je ne sais pas comment faire sans lire un grand nombre de doc sur les
mécanismes internes de Mozilla et je n'ai pas le temps.

--
Vincent Lefèvre - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

Pierre Goiffon

15/06/2007 à 17:21

Jean-Marc Desperrier wrote:

Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
n'a été fait:

https://bugzilla.mozilla.org/show_bug.cgi?id$6524

Et pourquoi ne proposerais-tu pas un patch ? Si tu fais, je peux aider à
pousser le bug pour qu'il soit pris en compte.

C'est la réponse universelle que l'on lit dès que quelqu'un remonte un
prb et s'impatiente que personne ne s'en occupe. Répondre "vous n'avez
qu'à vous occuper de la correction" me parait d'une cuistrerie incroyable !

Rappelons que Mozilla Firefox n'est pas le seul navigateur gratuit du
marché. D'autre part, c'est un fait qu'il existe sur Firefox un grand
nombre de petits ou grand bugs plus ou moins gênants suivant les
catégories d'utilisateurs - on peut citer le bon client qu'est la
consultation de pages "hors connexion". Ces bugs sont là, restent une
éternité (1 an, 2 ans, 3 ans, 4 ans...) sans que personne ne s'en
occupe. Ce n'est pas ce qui enlève les très nombreuses qualités du
navigateur de Mozilla ! Mais cette attente sans autre réponse que celle
du genre à laquelle je répond (que j'ai plutôt entendu souffler par la
communauté d'utilisateurs que par des développeurs...) apporte de
l'exaspération chez les utilisateurs. Et le jour où la balance ne
penchera plus au profit de Firefox, il y a des utilisateurs qui
partiront chez un éditeur qui corrige les bugs sans que l'on s'entende
dire "un prb ? plutôt que de râler, si vous faisiez le travail vous-même ?"

Soyez donc gentil d'arrêter de m'énerver avec ce genre de réponse :)

Jean-Marc Desperrier

15/06/2007 à 20:20

Pierre Goiffon wrote:

Jean-Marc Desperrier wrote:
Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
n'a été fait:

https://bugzilla.mozilla.org/show_bug.cgi?id$6524

Et pourquoi ne proposerais-tu pas un patch ? Si tu fais, je peux aider
à pousser le bug pour qu'il soit pris en compte.

C'est la réponse universelle que l'on lit dès que quelqu'un remonte un
prb et s'impatiente que personne ne s'en occupe. Répondre "vous n'avez
qu'à vous occuper de la correction" me parait d'une cuistrerie incroyable !

Franchement je ne peux pas accepter cette remarque qui me paraît
totalement inadapté à la manière dont je peux réagir à ceux qui ont une
remarque sur un bug de Mozilla, en général aussi bien que dans ce cas
particulier.

Je ne fais *pas* partie des gens qui envoient balader quelqu'un qui a
une critique sur Mozilla avec un "t'as qu'à contribuer pour corriger",
"le source est là, vas-zy code" et ne cherchent en fait qu'à interdire
la critique.

Ici, il s'agisaitt juste poliment, en essayant d'être encourageant,
contrairement à ceux précipités qui ont juste pour objectif de clouer le
bec violemment à quelqu'un, de faire une invitation à Vincent.

Et la raison pour laquelle exceptionnellement je faisais cette
invitation, alors que j'ai bien conscience des multiples raisons pour
lesquelles en fait il n'est pas réaliste d'imaginer quelqu'un
d'extérieur se lancer dans l'investissement en temps et en apprentissage
nécessaire pour se plonger au coeur de ce code juste pour corriger un
point tient à la nature du problème signalé par Vincent.

J'ai peut-être fait l'erreur de ne pas le préciser initialement, alors
faisons le maintenant : Il y a, il me semble, de bonnes raisons pour
lesquelles ce problème qu'a signalé Vincent me paraît beaucoup plus
accessible que la plupart.
C'est essentiellement parceque le problème ici n'est pas dans le code de
Mozilla, juste dans un script en language shell entièrement extérieur au
produit. Quelquepart dans ce script il y a un endroit où les arguments
passé à la commande sont évalués au lieu d'être passé en brut à
l'exécutable. Vincent l'a signalé, il y a une autre version du script
qui n'a pas le problème, celle dans Debian. Alors c'est peut-être un peu
naïf, mais ça ne parait pas totalement idiot, il y a probablement moyen
simplement en comparant les deux scripts, de trouver ce qu'il faudrait
changer exactement dans la version Mozilla d'origine du script pour
éviter le problème comme dans le script Debian. Et dans tous ceci,
inutile d'investir en temps pour maîtriser le code Mozilla, il suffit de
bien connaître les commandes shell type bash.

Alors certes ça peut demander quand même du temps, parceque ce genre de
script a une tendance à faire beaucoup de lignes assez ou même
franchement illisibles, que la version Debian a peut-être beaucoup
évoluée par rapport à celle Mozilla, et que la comparaison directe n'est
donc peut-être pas du tout utilisable.

Je comprends donc tout à fait que Vincent n'ait pas la disponibilité
pour le faire, comme il l'a répondu. Mais il y avait cette fois-ci pour
moi d'assez bonne raisons pour tenter un coup de sonde, à titre
exceptionnel.

Rappelons que Mozilla Firefox n'est pas le seul navigateur gratuit du
marché. [...] le jour où la balance ne
penchera plus au profit de Firefox, il y a des utilisateurs qui
partiront chez un éditeur qui corrige les bugs sans que l'on s'entende
dire "un prb ? plutôt que de râler, si vous faisiez le travail vous-même ?"

J'ai aussi envie de réagir là-dessus, pas dispo maintenant, mais je
pense le faire cette nuit.

Pierre Goiffon wrote:

Jean-Marc Desperrier wrote:

Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
n'a été fait:

https://bugzilla.mozilla.org/show_bug.cgi?id$6524

Et pourquoi ne proposerais-tu pas un patch ? Si tu fais, je peux aider
à pousser le bug pour qu'il soit pris en compte.

C'est la réponse universelle que l'on lit dès que quelqu'un remonte un
prb et s'impatiente que personne ne s'en occupe. Répondre "vous n'avez
qu'à vous occuper de la correction" me parait d'une cuistrerie incroyable !

Franchement je ne peux pas accepter cette remarque qui me paraît
totalement inadapté à la manière dont je peux réagir à ceux qui ont une
remarque sur un bug de Mozilla, en général aussi bien que dans ce cas
particulier.

Je ne fais *pas* partie des gens qui envoient balader quelqu'un qui a
une critique sur Mozilla avec un "t'as qu'à contribuer pour corriger",
"le source est là, vas-zy code" et ne cherchent en fait qu'à interdire
la critique.

Ici, il s'agisaitt juste poliment, en essayant d'être encourageant,
contrairement à ceux précipités qui ont juste pour objectif de clouer le
bec violemment à quelqu'un, de faire une invitation à Vincent.

Et la raison pour laquelle exceptionnellement je faisais cette
invitation, alors que j'ai bien conscience des multiples raisons pour
lesquelles en fait il n'est pas réaliste d'imaginer quelqu'un
d'extérieur se lancer dans l'investissement en temps et en apprentissage
nécessaire pour se plonger au coeur de ce code juste pour corriger un
point tient à la nature du problème signalé par Vincent.

J'ai peut-être fait l'erreur de ne pas le préciser initialement, alors
faisons le maintenant : Il y a, il me semble, de bonnes raisons pour
lesquelles ce problème qu'a signalé Vincent me paraît beaucoup plus
accessible que la plupart.
C'est essentiellement parceque le problème ici n'est pas dans le code de
Mozilla, juste dans un script en language shell entièrement extérieur au
produit. Quelquepart dans ce script il y a un endroit où les arguments
passé à la commande sont évalués au lieu d'être passé en brut à
l'exécutable. Vincent l'a signalé, il y a une autre version du script
qui n'a pas le problème, celle dans Debian. Alors c'est peut-être un peu
naïf, mais ça ne parait pas totalement idiot, il y a probablement moyen
simplement en comparant les deux scripts, de trouver ce qu'il faudrait
changer exactement dans la version Mozilla d'origine du script pour
éviter le problème comme dans le script Debian. Et dans tous ceci,
inutile d'investir en temps pour maîtriser le code Mozilla, il suffit de
bien connaître les commandes shell type bash.

Alors certes ça peut demander quand même du temps, parceque ce genre de
script a une tendance à faire beaucoup de lignes assez ou même
franchement illisibles, que la version Debian a peut-être beaucoup
évoluée par rapport à celle Mozilla, et que la comparaison directe n'est
donc peut-être pas du tout utilisable.

Je comprends donc tout à fait que Vincent n'ait pas la disponibilité
pour le faire, comme il l'a répondu. Mais il y avait cette fois-ci pour
moi d'assez bonne raisons pour tenter un coup de sonde, à titre
exceptionnel.

Rappelons que Mozilla Firefox n'est pas le seul navigateur gratuit du
marché. [...] le jour où la balance ne
penchera plus au profit de Firefox, il y a des utilisateurs qui
partiront chez un éditeur qui corrige les bugs sans que l'on s'entende
dire "un prb ? plutôt que de râler, si vous faisiez le travail vous-même ?"

J'ai aussi envie de réagir là-dessus, pas dispo maintenant, mais je
pense le faire cette nuit.

Vous avez filtré cet utilisateur ! Consultez son message

Pierre Goiffon wrote:

Jean-Marc Desperrier wrote:
Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
n'a été fait:

https://bugzilla.mozilla.org/show_bug.cgi?id$6524

Et pourquoi ne proposerais-tu pas un patch ? Si tu fais, je peux aider
à pousser le bug pour qu'il soit pris en compte.

C'est la réponse universelle que l'on lit dès que quelqu'un remonte un
prb et s'impatiente que personne ne s'en occupe. Répondre "vous n'avez
qu'à vous occuper de la correction" me parait d'une cuistrerie incroyable !

Franchement je ne peux pas accepter cette remarque qui me paraît
totalement inadapté à la manière dont je peux réagir à ceux qui ont une
remarque sur un bug de Mozilla, en général aussi bien que dans ce cas
particulier.

Je ne fais *pas* partie des gens qui envoient balader quelqu'un qui a
une critique sur Mozilla avec un "t'as qu'à contribuer pour corriger",
"le source est là, vas-zy code" et ne cherchent en fait qu'à interdire
la critique.

Ici, il s'agisaitt juste poliment, en essayant d'être encourageant,
contrairement à ceux précipités qui ont juste pour objectif de clouer le
bec violemment à quelqu'un, de faire une invitation à Vincent.

Et la raison pour laquelle exceptionnellement je faisais cette
invitation, alors que j'ai bien conscience des multiples raisons pour
lesquelles en fait il n'est pas réaliste d'imaginer quelqu'un
d'extérieur se lancer dans l'investissement en temps et en apprentissage
nécessaire pour se plonger au coeur de ce code juste pour corriger un
point tient à la nature du problème signalé par Vincent.

J'ai peut-être fait l'erreur de ne pas le préciser initialement, alors
faisons le maintenant : Il y a, il me semble, de bonnes raisons pour
lesquelles ce problème qu'a signalé Vincent me paraît beaucoup plus
accessible que la plupart.
C'est essentiellement parceque le problème ici n'est pas dans le code de
Mozilla, juste dans un script en language shell entièrement extérieur au
produit. Quelquepart dans ce script il y a un endroit où les arguments
passé à la commande sont évalués au lieu d'être passé en brut à
l'exécutable. Vincent l'a signalé, il y a une autre version du script
qui n'a pas le problème, celle dans Debian. Alors c'est peut-être un peu
naïf, mais ça ne parait pas totalement idiot, il y a probablement moyen
simplement en comparant les deux scripts, de trouver ce qu'il faudrait
changer exactement dans la version Mozilla d'origine du script pour
éviter le problème comme dans le script Debian. Et dans tous ceci,
inutile d'investir en temps pour maîtriser le code Mozilla, il suffit de
bien connaître les commandes shell type bash.

Alors certes ça peut demander quand même du temps, parceque ce genre de
script a une tendance à faire beaucoup de lignes assez ou même
franchement illisibles, que la version Debian a peut-être beaucoup
évoluée par rapport à celle Mozilla, et que la comparaison directe n'est
donc peut-être pas du tout utilisable.

Je comprends donc tout à fait que Vincent n'ait pas la disponibilité
pour le faire, comme il l'a répondu. Mais il y avait cette fois-ci pour
moi d'assez bonne raisons pour tenter un coup de sonde, à titre
exceptionnel.

Rappelons que Mozilla Firefox n'est pas le seul navigateur gratuit du
marché. [...] le jour où la balance ne
penchera plus au profit de Firefox, il y a des utilisateurs qui
partiront chez un éditeur qui corrige les bugs sans que l'on s'entende
dire "un prb ? plutôt que de râler, si vous faisiez le travail vous-même ?"

J'ai aussi envie de réagir là-dessus, pas dispo maintenant, mais je
pense le faire cette nuit.

Vincent Lefevre

16/06/2007 à 01:41

Dans l'article <f4ujgk$eob$,
Jean-Marc Desperrier écrit:

J'ai peut-être fait l'erreur de ne pas le préciser initialement, alors
faisons le maintenant : Il y a, il me semble, de bonnes raisons pour
lesquelles ce problème qu'a signalé Vincent me paraît beaucoup plus
accessible que la plupart.
C'est essentiellement parceque le problème ici n'est pas dans le code de
Mozilla, juste dans un script en language shell entièrement extérieur au
produit.

Ah, je n'avais pas fait attention que c'était ce bug pour lequel tu
avais fait cette suggestion. Il y a une bonne raison pour laquelle
je n'ai pas proposé de patch, même si j'étais capable d'en écrire un
dans ce cas particulier: le bug avait déjà été corrigé au niveau de
Debian, et je l'ai fait remarquer en commentaire 1. Cela a été répété
en commentaire 5. Aucun développeur de Mozilla n'a répondu à ces deux
commentaires. C'est un très gros manque de sérieux... En plus, cela
décourage de rapporter des bugs.

Note: si un développeur de Mozilla m'avait demandé plus d'information
(e.g. script utilisé par Debian, les différences éventuelles, etc.),
je l'aurais fait. Idem s'ils avaient dit qu'ils ne voulaient pas du
script de Debian et qu'ils voulaient un patch pour corriger ce problème
uniquement.

Quelquepart dans ce script il y a un endroit où les arguments passé
à la commande sont évalués au lieu d'être passé en brut à
l'exécutable. Vincent l'a signalé, il y a une autre version du
script qui n'a pas le problème, celle dans Debian. Alors c'est
peut-être un peu naïf, mais ça ne parait pas totalement idiot, il y
a probablement moyen simplement en comparant les deux scripts, de
trouver ce qu'il faudrait changer exactement dans la version Mozilla
d'origine du script pour éviter le problème comme dans le script
Debian.

Mozilla aurait pu utiliser le script de Debian (après vérification des
licences utilisées), qui avait peut-être d'autres qualités. Je pense
que des développeurs de Mozilla auraient pu se mettre en contact avec
les mainteneurs du script en question...

--
Vincent Lefèvre - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

Dans l'article <f4ujgk$eob$1@reader1.imaginet.fr>,
Jean-Marc Desperrier <jmdesp@alussinan.org> écrit:

J'ai peut-être fait l'erreur de ne pas le préciser initialement, alors
faisons le maintenant : Il y a, il me semble, de bonnes raisons pour
lesquelles ce problème qu'a signalé Vincent me paraît beaucoup plus
accessible que la plupart.
C'est essentiellement parceque le problème ici n'est pas dans le code de
Mozilla, juste dans un script en language shell entièrement extérieur au
produit.

Ah, je n'avais pas fait attention que c'était ce bug pour lequel tu
avais fait cette suggestion. Il y a une bonne raison pour laquelle
je n'ai pas proposé de patch, même si j'étais capable d'en écrire un
dans ce cas particulier: le bug avait déjà été corrigé au niveau de
Debian, et je l'ai fait remarquer en commentaire 1. Cela a été répété
en commentaire 5. Aucun développeur de Mozilla n'a répondu à ces deux
commentaires. C'est un très gros manque de sérieux... En plus, cela
décourage de rapporter des bugs.

Note: si un développeur de Mozilla m'avait demandé plus d'information
(e.g. script utilisé par Debian, les différences éventuelles, etc.),
je l'aurais fait. Idem s'ils avaient dit qu'ils ne voulaient pas du
script de Debian et qu'ils voulaient un patch pour corriger ce problème
uniquement.

Quelquepart dans ce script il y a un endroit où les arguments passé
à la commande sont évalués au lieu d'être passé en brut à
l'exécutable. Vincent l'a signalé, il y a une autre version du
script qui n'a pas le problème, celle dans Debian. Alors c'est
peut-être un peu naïf, mais ça ne parait pas totalement idiot, il y
a probablement moyen simplement en comparant les deux scripts, de
trouver ce qu'il faudrait changer exactement dans la version Mozilla
d'origine du script pour éviter le problème comme dans le script
Debian.

Mozilla aurait pu utiliser le script de Debian (après vérification des
licences utilisées), qui avait peut-être d'autres qualités. Je pense
que des développeurs de Mozilla auraient pu se mettre en contact avec
les mainteneurs du script en question...

--
Vincent Lefèvre <vincent@vinc17.org> - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

Vous avez filtré cet utilisateur ! Consultez son message

Dans l'article <f4ujgk$eob$,
Jean-Marc Desperrier écrit:

J'ai peut-être fait l'erreur de ne pas le préciser initialement, alors
faisons le maintenant : Il y a, il me semble, de bonnes raisons pour
lesquelles ce problème qu'a signalé Vincent me paraît beaucoup plus
accessible que la plupart.
C'est essentiellement parceque le problème ici n'est pas dans le code de
Mozilla, juste dans un script en language shell entièrement extérieur au
produit.

Ah, je n'avais pas fait attention que c'était ce bug pour lequel tu
avais fait cette suggestion. Il y a une bonne raison pour laquelle
je n'ai pas proposé de patch, même si j'étais capable d'en écrire un
dans ce cas particulier: le bug avait déjà été corrigé au niveau de
Debian, et je l'ai fait remarquer en commentaire 1. Cela a été répété
en commentaire 5. Aucun développeur de Mozilla n'a répondu à ces deux
commentaires. C'est un très gros manque de sérieux... En plus, cela
décourage de rapporter des bugs.

Note: si un développeur de Mozilla m'avait demandé plus d'information
(e.g. script utilisé par Debian, les différences éventuelles, etc.),
je l'aurais fait. Idem s'ils avaient dit qu'ils ne voulaient pas du
script de Debian et qu'ils voulaient un patch pour corriger ce problème
uniquement.

Quelquepart dans ce script il y a un endroit où les arguments passé
à la commande sont évalués au lieu d'être passé en brut à
l'exécutable. Vincent l'a signalé, il y a une autre version du
script qui n'a pas le problème, celle dans Debian. Alors c'est
peut-être un peu naïf, mais ça ne parait pas totalement idiot, il y
a probablement moyen simplement en comparant les deux scripts, de
trouver ce qu'il faudrait changer exactement dans la version Mozilla
d'origine du script pour éviter le problème comme dans le script
Debian.

Mozilla aurait pu utiliser le script de Debian (après vérification des
licences utilisées), qui avait peut-être d'autres qualités. Je pense
que des développeurs de Mozilla auraient pu se mettre en contact avec
les mainteneurs du script en question...

--
Vincent Lefèvre - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

Faille Mozilla du 6 Juin

10 réponses

Veuillez sélectionner un problème