Re: [RFR4] wml://lts/security/2020/dla-23{85,89,90,91,92}.wml

[daniel.malgorn@laposte.net]

On 05/10/2020 10:25, JP Guillonneau wrote:
> Bonjour,
> 
> le dimanche 04 octobre 12:42, Baptiste Jammet a écrit :
> 
>> Reformulation pour la dla-2385. Si je comprend bien
>> https://www.kernel.org/doc/html/latest/admin-guide/mm/hugetlbpage.html
>> (« a (pseudo) filesystem of type hugetlbfs ») et
>> https://www.kernel.org/doc/html/latest/admin-guide/cgroup-v1/hugetlb.html
>> hugetlb peut être considéré comme un (pseudo) système de fichier.
>>
> Merci Baptiste, erreur corrigée.
> 
> Les fichiers sont aussi ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml
> 
> Autre chance de commentaire.
> 
> Amicalement.
> 
> --
> Jean-Paul
> 
Bonjour JP,

amicales suggestions pour bien démarrer la semaine .....

--- dla-2385A.wml	2020-10-05 11:46:03.837050913 +0400
+++ dla-2385.wml	2020-10-05 11:58:51.991702721 +0400
@@ -11,17 +11,17 @@
 
 <p>Les tampons du noyau alloués par le protocole réseau SCTP n’étaient pas
 limités par le contrôleur de mémoire cgroup. Un utilisateur local pouvait
-éventuellement utiliser cela pour contourner les limites de mémoire de conteneur
+éventuellement utiliser cela pour contourner les limites de mémoire du conteneur
 et provoquer un déni de service (utilisation excessive de mémoire).</p></li>
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-19448";>CVE-2019-19448</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2019-19813";>CVE-2019-19813</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2019-19816";>CVE-2019-19816</a>
 
 <p><q>Team bobfuzzer</q> a signalé des bogues dans Btrfs qui pourraient conduire
 à une utilisation de mémoire après libération ou à un dépassement de tampon de
-tas, et qui pourraient être déclenchés par des images contrefaites de système de
+tas;ils pourraient être déclenchés par des images contrefaites de systèmes de
 fichiers. Un utilisateur autorisé à monter et accéder à des systèmes de fichiers
 arbitraires pouvait utiliser cela pour provoquer un déni de service (plantage
-ou corruption de mémoire) ou, éventuellement, pour une élévation des privilèges.</p></li>
+ou corruption de mémoire) ou, éventuellement, une élévation des privilèges.</p></li>
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-10781";>CVE-2020-10781</a>
 
@@ -34,7 +34,7 @@
 
 <p>Il a été découvert que le pilote PCIe Virtual Function I/O (vfio-pci)
 permettait aux utilisateurs de désactiver un espace mémoire de périphérique
-encore mapper dans un processus. Sur certaines plateformes matérielles, des
+encore mappé dans un processus. Sur certaines plateformes matérielles, des
 utilisateurs locaux ou des machines virtuelles clientes autorisés à accéder
 à des fonctions virtuelles PCIe pouvaient utiliser cela pour provoquer un déni
 de service (erreur de matériel et plantage).</p></li>
@@ -43,7 +43,7 @@
 
 <p>Un bogue a été découvert dans le système de fichiers ext4 qui pouvait
 conduire à une lecture hors limites. Un utilisateur local autorisé à monter et
-accéder à des images arbitraires de système de fichiers pouvait utiliser cela
+accéder à des images arbitraires de systèmes de fichiers pouvait utiliser cela
 pour provoquer un déni de service (plantage).</p></li>
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14331";>CVE-2020-14331</a>
@@ -58,15 +58,15 @@
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14356";>CVE-2020-14356</a>
 
 <p>Un bogue a été découvert dans le traitement de références cgroup de socket
-de sous-système cgroup. Dans certaines configurations cgroup, cela pouvait
+du sous-système cgroup. Dans certaines configurations cgroup, cela pouvait
 conduire à une utilisation de mémoire après libération. Un utilisateur local
 pouvait utiliser cela pour provoquer un déni de service (plantage ou corruption
 de mémoire) ou, éventuellement, pour une élévation des privilèges.</p></li>
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14385";>CVE-2020-14385</a>
 
-<p>Un bogue a été découvert dans XFS qui pouvait conduire à un attribut étendu
-(xattr) d’être faussement détecté comme non valable. Un utilisateur local avec
+<p>Un bogue a été découvert dans XFS qui pouvait conduire un attribut étendu
+(xattr) à être faussement détecté comme non valable. Un utilisateur local avec
 accès à un système de fichiers XFS pouvait utiliser cela pour provoquer un déni
 de service (shutdown pour un système de fichiers).</p></li>
 
@@ -81,7 +81,7 @@
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14390";>CVE-2020-14390</a>
 
-<p>Minh Yuan a découvert un bogue dans la fonction scrollback de pilote de
+<p>Minh Yuan a découvert un bogue dans la fonction scrollback du pilote de
 console de tampon de trame qui pouvait conduire à un dépassement de tampon de
 tas. Sur un système utilisant les consoles de tampon de trame, un utilisateur
 local avec accès à une console pouvait utiliser cela pour provoquer un déni de
@@ -93,11 +93,11 @@
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-16166";>CVE-2020-16166</a>
 
-<p>Amit Klein a signalé que le générateur de nombre aléatoire utilisé par la
+<p>Amit Klein a signalé que le générateur de nombres aléatoires utilisé par la
 pile réseau pouvait n’être pas réinitialisé (changement de graine) pour de
-longues périodes, rendant par exemple les allocations de numéro de port plus
+longues périodes, rendant par exemple les allocations de numéros des ports plus
 prévisibles. Cela facilitait pour des attaquants distants certaines conduites
-d’attaque telles que l’empoisonnement de cache DNS ou le suivi de périphérique.</p></li>
+d’attaques telles que l’empoisonnement de cache DNS ou le suivi de périphériques.</p></li>
 
 <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-25212";>CVE-2020-25212</a>