• [^] # Re: C'est mon choix

    Posté par . En réponse au journal Debian: libxml2 de la correction de bug de sécurité et des incidences. Évalué à 7.

    Oui mais non. Résumons.

    La faille a les conséquences suivantes : une application susceptible de parser du code XML qui n'est pas de confiance (l'exemple qui vient à l'esprit est celui du navigateur web), si elle rencontre un code XML malicieux, va freezer et bouffer toutes les ressources CPU et RAM.

    Mais le système ne va pas devenir inutilisable. Un seul processus ne peut pas à lui tout seul mettre à genoux le système entier, sinon c'est que tu as un problème beaucoup plus gros que celui qu'on traite ici...

    Donc si le navigateur web se fait attaquer, il suffit à l'utilisateur de le killer, puis de le relancer en prenant soin de ne pas revenir à l'endroit où il y a ce code XML malveillant (même Madame Michu peut arriver à la conclusion "ce site fait planter mon navigateur"). Au final, la gêne est minime. D'autant plus que ça m'étonnerait que beaucoup de gens se fassent attaquer : un DoS limité sur un navigateur, à part des blagues puériles, ça a un intérêt discutable pour l'attaquant...

    A l'opposé, si tu mets à jour libxml, tu t'exposes un autre bug nettement plus grave en comparaison, parce qu'il est systématique et qu'il empêche le fonctionnement de certaines applications, voire du bureau Gnome dans son intégralité dans certaines conditions. Là, madame Michu ne sait pas quoi faire, et l'utilisateur averti va au moins être passablement énervé.

    Donc je persiste, il est plus avantageux de revenir à la version vulnérable que de rester avec la version patchée mais buggée.