Non, simplement que les failles en questions ont été relayées à grand
renfort d'info limite intox par certains sites d'informations, qui
m'avaient foutu un brin les nerfs en pelotes...
Non, simplement que les failles en questions ont été relayées à grand
renfort d'info limite intox par certains sites d'informations, qui
m'avaient foutu un brin les nerfs en pelotes...
Non, simplement que les failles en questions ont été relayées à grand
renfort d'info limite intox par certains sites d'informations, qui
m'avaient foutu un brin les nerfs en pelotes...
Le bug 367428 ? Exact, risque faible. Heureusement :)
Le bug 367428 ? Exact, risque faible. Heureusement :)
Le bug 367428 ? Exact, risque faible. Heureusement :)
Le 14/06/2007 14:28, Frederic Bezies disait:Non, simplement que les failles en questions ont été relayées à grand
renfort d'info limite intox par certains sites d'informations, qui
m'avaient foutu un brin les nerfs en pelotes...
OK. On respire un bon coup... et on oublie tout :)
Revenons à ce que je disais au début de mon fil, qui n'a rien à voir:
divulgation AVANT patch, et c'est (il me semble, de mémoire) une
première pour FF. Même si la faille est minime.
Pour ce qui est de l'intox (???), nous ne devons pas avoir les mêmes
lectures, me limitant aux sites du type FrSIRT, CERTA..., et quelques
autres équivalents (et souvent plus pointus et en avance) en EN.
Le 14/06/2007 14:28, Frederic Bezies disait:
Non, simplement que les failles en questions ont été relayées à grand
renfort d'info limite intox par certains sites d'informations, qui
m'avaient foutu un brin les nerfs en pelotes...
OK. On respire un bon coup... et on oublie tout :)
Revenons à ce que je disais au début de mon fil, qui n'a rien à voir:
divulgation AVANT patch, et c'est (il me semble, de mémoire) une
première pour FF. Même si la faille est minime.
Pour ce qui est de l'intox (???), nous ne devons pas avoir les mêmes
lectures, me limitant aux sites du type FrSIRT, CERTA..., et quelques
autres équivalents (et souvent plus pointus et en avance) en EN.
Le 14/06/2007 14:28, Frederic Bezies disait:Non, simplement que les failles en questions ont été relayées à grand
renfort d'info limite intox par certains sites d'informations, qui
m'avaient foutu un brin les nerfs en pelotes...
OK. On respire un bon coup... et on oublie tout :)
Revenons à ce que je disais au début de mon fil, qui n'a rien à voir:
divulgation AVANT patch, et c'est (il me semble, de mémoire) une
première pour FF. Même si la faille est minime.
Pour ce qui est de l'intox (???), nous ne devons pas avoir les mêmes
lectures, me limitant aux sites du type FrSIRT, CERTA..., et quelques
autres équivalents (et souvent plus pointus et en avance) en EN.
Dans l'article <467010c4$0$27805$,
Steph écrit:Le bug 367428 ? Exact, risque faible. Heureusement :)
Comme faille sérieuse et dont personne ne semble parler:
https://bugzilla.mozilla.org/show_bug.cgi?id#0606
En résumé, n'ouvrez jamais un fichier HTML sauvé localement: celui-ci
peut lire n'importe quelle donnée que l'utilisateur peut lire (il faut
connaître le nom du fichier, mais certains ont des noms plus ou moins
fixés, genre ~/.ssh/id_rsa) et la renvoyer sur le web.
Dans l'article <467010c4$0$27805$426a74cc@news.free.fr>,
Steph <steph@lavillerose.com.adressebidon.invalid> écrit:
Le bug 367428 ? Exact, risque faible. Heureusement :)
Comme faille sérieuse et dont personne ne semble parler:
https://bugzilla.mozilla.org/show_bug.cgi?id#0606
En résumé, n'ouvrez jamais un fichier HTML sauvé localement: celui-ci
peut lire n'importe quelle donnée que l'utilisateur peut lire (il faut
connaître le nom du fichier, mais certains ont des noms plus ou moins
fixés, genre ~/.ssh/id_rsa) et la renvoyer sur le web.
Dans l'article <467010c4$0$27805$,
Steph écrit:Le bug 367428 ? Exact, risque faible. Heureusement :)
Comme faille sérieuse et dont personne ne semble parler:
https://bugzilla.mozilla.org/show_bug.cgi?id#0606
En résumé, n'ouvrez jamais un fichier HTML sauvé localement: celui-ci
peut lire n'importe quelle donnée que l'utilisateur peut lire (il faut
connaître le nom du fichier, mais certains ont des noms plus ou moins
fixés, genre ~/.ssh/id_rsa) et la renvoyer sur le web.
Le 15/06/2007 01:28, Vincent Lefevre a écrit :
> https://bugzilla.mozilla.org/show_bug.cgi?id#0606
Surtout que les preuves de faisabilité sont assez récente, datant de
2007, pour un bug ouvert en... 2004 !
https://bugzilla.mozilla.org/show_bug.cgi?id#0606#c43
Donc, faille sérieuse surement. Exploitable facilement ? J'en sais rien,
et on verra bien combien de temps elle restera encore ouverte ;)
Enfin, si elle était hyperdangereuse, elle ne serait pas aussi
facilement disponible, quand on connait la politique de la Fondation
Mozilla sur ce plan précis.
Le 15/06/2007 01:28, Vincent Lefevre a écrit :
> https://bugzilla.mozilla.org/show_bug.cgi?id#0606
Surtout que les preuves de faisabilité sont assez récente, datant de
2007, pour un bug ouvert en... 2004 !
https://bugzilla.mozilla.org/show_bug.cgi?id#0606#c43
Donc, faille sérieuse surement. Exploitable facilement ? J'en sais rien,
et on verra bien combien de temps elle restera encore ouverte ;)
Enfin, si elle était hyperdangereuse, elle ne serait pas aussi
facilement disponible, quand on connait la politique de la Fondation
Mozilla sur ce plan précis.
Le 15/06/2007 01:28, Vincent Lefevre a écrit :
> https://bugzilla.mozilla.org/show_bug.cgi?id#0606
Surtout que les preuves de faisabilité sont assez récente, datant de
2007, pour un bug ouvert en... 2004 !
https://bugzilla.mozilla.org/show_bug.cgi?id#0606#c43
Donc, faille sérieuse surement. Exploitable facilement ? J'en sais rien,
et on verra bien combien de temps elle restera encore ouverte ;)
Enfin, si elle était hyperdangereuse, elle ne serait pas aussi
facilement disponible, quand on connait la politique de la Fondation
Mozilla sur ce plan précis.
Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
n'a été fait:
https://bugzilla.mozilla.org/show_bug.cgi?id$6524
Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
n'a été fait:
https://bugzilla.mozilla.org/show_bug.cgi?id$6524
Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
n'a été fait:
https://bugzilla.mozilla.org/show_bug.cgi?id$6524
Vincent Lefevre wrote:
> Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
> n'a été fait:
>
> https://bugzilla.mozilla.org/show_bug.cgi?id$6524
Et pourquoi ne proposerais-tu pas un patch ? Si tu fais, je peux
aider à pousser le bug pour qu'il soit pris en compte.
Vincent Lefevre wrote:
> Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
> n'a été fait:
>
> https://bugzilla.mozilla.org/show_bug.cgi?id$6524
Et pourquoi ne proposerais-tu pas un patch ? Si tu fais, je peux
aider à pousser le bug pour qu'il soit pris en compte.
Vincent Lefevre wrote:
> Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
> n'a été fait:
>
> https://bugzilla.mozilla.org/show_bug.cgi?id$6524
Et pourquoi ne proposerais-tu pas un patch ? Si tu fais, je peux
aider à pousser le bug pour qu'il soit pris en compte.
Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
n'a été fait:
https://bugzilla.mozilla.org/show_bug.cgi?id$6524
Et pourquoi ne proposerais-tu pas un patch ? Si tu fais, je peux aider à
pousser le bug pour qu'il soit pris en compte.
Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
n'a été fait:
https://bugzilla.mozilla.org/show_bug.cgi?id$6524
Et pourquoi ne proposerais-tu pas un patch ? Si tu fais, je peux aider à
pousser le bug pour qu'il soit pris en compte.
Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
n'a été fait:
https://bugzilla.mozilla.org/show_bug.cgi?id$6524
Et pourquoi ne proposerais-tu pas un patch ? Si tu fais, je peux aider à
pousser le bug pour qu'il soit pris en compte.
Jean-Marc Desperrier wrote:Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
n'a été fait:
https://bugzilla.mozilla.org/show_bug.cgi?id$6524
Et pourquoi ne proposerais-tu pas un patch ? Si tu fais, je peux aider
à pousser le bug pour qu'il soit pris en compte.
C'est la réponse universelle que l'on lit dès que quelqu'un remonte un
prb et s'impatiente que personne ne s'en occupe. Répondre "vous n'avez
qu'à vous occuper de la correction" me parait d'une cuistrerie incroyable !
Rappelons que Mozilla Firefox n'est pas le seul navigateur gratuit du
marché. [...] le jour où la balance ne
penchera plus au profit de Firefox, il y a des utilisateurs qui
partiront chez un éditeur qui corrige les bugs sans que l'on s'entende
dire "un prb ? plutôt que de râler, si vous faisiez le travail vous-même ?"
Jean-Marc Desperrier wrote:
Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
n'a été fait:
https://bugzilla.mozilla.org/show_bug.cgi?id$6524
Et pourquoi ne proposerais-tu pas un patch ? Si tu fais, je peux aider
à pousser le bug pour qu'il soit pris en compte.
C'est la réponse universelle que l'on lit dès que quelqu'un remonte un
prb et s'impatiente que personne ne s'en occupe. Répondre "vous n'avez
qu'à vous occuper de la correction" me parait d'une cuistrerie incroyable !
Rappelons que Mozilla Firefox n'est pas le seul navigateur gratuit du
marché. [...] le jour où la balance ne
penchera plus au profit de Firefox, il y a des utilisateurs qui
partiront chez un éditeur qui corrige les bugs sans que l'on s'entende
dire "un prb ? plutôt que de râler, si vous faisiez le travail vous-même ?"
Jean-Marc Desperrier wrote:Il y a aussi le bug suivant que j'avais rapporté et pour lequel rien
n'a été fait:
https://bugzilla.mozilla.org/show_bug.cgi?id$6524
Et pourquoi ne proposerais-tu pas un patch ? Si tu fais, je peux aider
à pousser le bug pour qu'il soit pris en compte.
C'est la réponse universelle que l'on lit dès que quelqu'un remonte un
prb et s'impatiente que personne ne s'en occupe. Répondre "vous n'avez
qu'à vous occuper de la correction" me parait d'une cuistrerie incroyable !
Rappelons que Mozilla Firefox n'est pas le seul navigateur gratuit du
marché. [...] le jour où la balance ne
penchera plus au profit de Firefox, il y a des utilisateurs qui
partiront chez un éditeur qui corrige les bugs sans que l'on s'entende
dire "un prb ? plutôt que de râler, si vous faisiez le travail vous-même ?"
J'ai peut-être fait l'erreur de ne pas le préciser initialement, alors
faisons le maintenant : Il y a, il me semble, de bonnes raisons pour
lesquelles ce problème qu'a signalé Vincent me paraît beaucoup plus
accessible que la plupart.
C'est essentiellement parceque le problème ici n'est pas dans le code de
Mozilla, juste dans un script en language shell entièrement extérieur au
produit.
Quelquepart dans ce script il y a un endroit où les arguments passé
à la commande sont évalués au lieu d'être passé en brut à
l'exécutable. Vincent l'a signalé, il y a une autre version du
script qui n'a pas le problème, celle dans Debian. Alors c'est
peut-être un peu naïf, mais ça ne parait pas totalement idiot, il y
a probablement moyen simplement en comparant les deux scripts, de
trouver ce qu'il faudrait changer exactement dans la version Mozilla
d'origine du script pour éviter le problème comme dans le script
Debian.
J'ai peut-être fait l'erreur de ne pas le préciser initialement, alors
faisons le maintenant : Il y a, il me semble, de bonnes raisons pour
lesquelles ce problème qu'a signalé Vincent me paraît beaucoup plus
accessible que la plupart.
C'est essentiellement parceque le problème ici n'est pas dans le code de
Mozilla, juste dans un script en language shell entièrement extérieur au
produit.
Quelquepart dans ce script il y a un endroit où les arguments passé
à la commande sont évalués au lieu d'être passé en brut à
l'exécutable. Vincent l'a signalé, il y a une autre version du
script qui n'a pas le problème, celle dans Debian. Alors c'est
peut-être un peu naïf, mais ça ne parait pas totalement idiot, il y
a probablement moyen simplement en comparant les deux scripts, de
trouver ce qu'il faudrait changer exactement dans la version Mozilla
d'origine du script pour éviter le problème comme dans le script
Debian.
J'ai peut-être fait l'erreur de ne pas le préciser initialement, alors
faisons le maintenant : Il y a, il me semble, de bonnes raisons pour
lesquelles ce problème qu'a signalé Vincent me paraît beaucoup plus
accessible que la plupart.
C'est essentiellement parceque le problème ici n'est pas dans le code de
Mozilla, juste dans un script en language shell entièrement extérieur au
produit.
Quelquepart dans ce script il y a un endroit où les arguments passé
à la commande sont évalués au lieu d'être passé en brut à
l'exécutable. Vincent l'a signalé, il y a une autre version du
script qui n'a pas le problème, celle dans Debian. Alors c'est
peut-être un peu naïf, mais ça ne parait pas totalement idiot, il y
a probablement moyen simplement en comparant les deux scripts, de
trouver ce qu'il faudrait changer exactement dans la version Mozilla
d'origine du script pour éviter le problème comme dans le script
Debian.