Bonjour, Trois nouvelles annonces de sécurité (dont deux très ressemblantes) viennent d'être publiées. Merci d'avance pour vos relectures. Amicalement, Thomas
#use wml::debian::translation-check translation="1.3" maintainer="Thomas Vincent" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants. </p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2010-5298";>CVE-2010-5298</a> <p>Un tampon de lecture peut être libéré même s'il contient toujours des données qui seront utilisées plus tard, ce qui mène à une utilisation de mémoire après libération. Dans une sitation de compétition dans une application multiprocessus, cela pourrait permettre à un attaquant d'injecter des données d'une connexion dans une autre ou de causer un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0076";>CVE-2014-0076</a> <p>Les <q>nonces</q> ECDSA peuvent être récupérées grâce à l'attaque par canal auxiliaire Yarom/Benger FLUSH+RELOAD.</p></li> </ul> <p>Un troisième problème n'ayant pas d'identifiant CVE est l'absence de détection du drapeau <q>critique</q> pour l'utilisation de clé étendue TSA dans certains cas.</p> <p>De plus, cette mise à jour cherche plus de services qui pourraient avoir besoin d'être redémarrés après les mises à niveau de libssl, corrige la détection d'apache2 et postgresql et ajoute la prise en charge pour la configuration debconf 'bibliothèques/redémarrer dans demander'. Cela permet aux services d'être relancés lors des mises à niveau sans solicitation.</p> <p>La distribution oldstable (Squeeze) n'est pas concernée par <a href="https://security-tracker.debian.org/tracker/CVE-2010-5298";>CVE-2010-5298</a> et peut être mise à jour plus tard pour corriger les vulnérabilités restantes.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.0.1e-2+deb7u7.</p> <p>Pour la distribution testing (Jessie), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.1g-3.</p> <p>Nous vous recommandons de mettre à jour vos paquets openssl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dsa-2908.data" # $Id: dsa-2908.wml,v 1.1 2014/04/18 12:58:57 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Michael S. Tsirkin de Red Hat a découvert un défault de dépassement de tampon dans la façon dont qemu traite les requêtes de l'invité pour mettre à jour les tables d'adresses MAC.</p> <p>Un utilisateur invité privilégié pourrait utiliser ce défaut pour corrompre la mémoire du processus qemu sur l'hôte, ce qui pourrait éventuellement mener à l'exécution de code arbitraire sur l'hôte avec les droits du processus qemu.</p> <p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 0.12.5+dfsg-3squeeze4.</p> <p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.1.2+dfsg-6a+deb7u1.</p> <p>Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 1.7.0+dfsg-8.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.7.0+dfsg-8.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dsa-2909.data" # $Id: dsa-2909.wml,v 1.1 2014/04/18 12:58:57 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Michael S. Tsirkin de Red Hat a découvert un défault de dépassement de tampon dans la façon dont qemu traite les requêtes de l'invité pour mettre à jour les tables d'adresses MAC.</p> <p>Un utilisateur invité privilégié pourrait utiliser ce défaut pour corrompre la mémoire du processus qemu sur l'hôte, ce qui pourrait éventuellement mener à l'exécution de code arbitraire sur l'hôte avec les droits du processus qemu.</p> <p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 0.12.5+dfsg-5+squeeze11.</p> <p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.1.2+dfsg-6+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dsa-2910.data" # $Id: dsa-2910.wml,v 1.1 2014/04/18 12:58:57 tvincent-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature