zikzak (./26278) :Le numéro de version n'indique pas que la vulnérabilité n'est pas corrigée. Un correctif peut être backporté. L'alerte de sécurité officielle de Mozilla (cf. mon lien) dit que c'est corrigé dans Firefox OS 2.2. À mon avis, c'est une source fiable.Kevin Kofler (./26275) :Corrigé en 39 mais malgré ma vérification l'image communautaire de FFOS2.2 est toujours en 37. L'image FFOS 3.0 est datée de juillet donc pas corrigée non plus.zikzak (./26272) :Firefox OS 2.2 corrige cette vulnérabilité.
Mais FirefoxOS n'est pas encore en 39. FirefoxOS 2.2 est en 37.
http://builds.firefoxos.mozfr.org/openc/
zikzak (./26282) :Bah non, c'est le contraire. Si Mozilla indique que Firefox OS 2.2 corrige la vulnérabilité, ça veut dire que le correctif y a été appliqué. Le numéro de version de Gecko n'a aucune importance. Un tel correctif peut être facilement backporté.
La version de FirefoxOS non, mais la version de Gecko devrait.
zikzak (./26284) :La vulnérabilité a certainement été connue par Mozilla bien avant sa publication.
Certainement mais a moins de voyager dans le temps si tu regardes la date du fichier image de Firefox 2.2 je vois mal comment il a pu être mis à jour.
Writing mysteries is a lot more fun than the other type of writing I’ve been doing. Recently, I have seen a large-ish uptick in customers reverse engineering our code to attempt to find security vulnerabilities in it. <Insert big sigh here.> This is why I’ve been writing a lot of letters to customers that start with “hi, howzit, aloha” but end with “please comply with your license agreement and stop reverse engineering our code, already.”
Alert 68 attempts to fix some security holes in some
triggers; the flaws could allow a low privileged user to gain SYS privileges
- in other words gain full control of the database server. The example
exploit I sent to Oracle contained a space in it. Oracle's fix was to ignorethe user's request if the input had a space.
GoldenCrystal (./26290) :Effectivement, PostgreSQL, MariaDB, SQLite, il y a le choix.
Ou tout simplement à une solution moins chère. (En matériel, en license, et en personnel)
Kevin Kofler (./26295) :c'est marrant j'en vois pas beaucoup de celles-ci en entreprise...
Il y a des situations où SQLite convient mieux qu'une BDD énorme, pour les autres, il y a PostgreSQL ou MariaDB.
Kevin Kofler (./26295) :Ça tombe bien, on parle des produits Oracle, qui ne sont pas tellement le genre de BDD qui s'utilisent quand ça tient dans un SQLite…
Il y a des situations où SQLite convient mieux qu'une BDD énorme, pour les autres, il y a PostgreSQL ou MariaDB.
manoloben (./26298) :MariaDB est un fork de MySQL, réalisé pour pallier à des problèmes de sécurité et des failles de sécurité importantes que l'équipe de MySQL refusai.... MOUAHAHAH non je déconne, les gars ont fait un fork uniquement pour avoir un MySQL estampé ForeverFree® suite au rachat par Sun.
(bon ok, j'ai déjà entendu le mot PostgreSQL, mais MariaDB jamais)
Pen^2 (./26296) :
Et surtout Microsoft SQL Server!
squalyl (./26286) :Ma première impression est un tl;dr, surtout sur du texte brut. Ça vaut vraiment la lecture ?
Oracle est en train de s'en prendre plein la gueule sur twitter a cause de ce post de blog qu'ils ont viré depuis.
http://pastebin.com/raw.php?i=urN8Vyv1
Meowcate (./26301) :Suite au rachat de Sun (et donc MySQL) par Oracle, surtout.manoloben (./26298) :MariaDB est un fork de MySQL, réalisé pour pallier à des problèmes de sécurité et des failles de sécurité importantes que l'équipe de MySQL refusai.... MOUAHAHAH non je déconne, les gars ont fait un fork uniquement pour avoir un MySQL estampé ForeverFree® suite au rachat par Sun.
(bon ok, j'ai déjà entendu le mot PostgreSQL, mais MariaDB jamais)
Ce qui n'empêche donc pas d'utiliser MariaDB, surtout si on est un petit libriste aigri comme Kevin puisque Fedora a retiré MySQL de ses dépôts au profit de MariaDB. À côté d'autres distributions ont préféré laisser le choix à l'utilisateur.Si je n'ai pas mis MySQL dans ma liste, c'est parce que proposer en alternative aux bases de données d'Oracle une base de données qui appartient à… Oracle (!), bah, ça ne le ferait pas.
Meowcate (./26305) :Oué je ne vois pas trop le problème ?
Très franchement, à part l'évidence non-installation sur Linux, je n'ai rien à reprocher à SQL Server.
