[RFR] wml://security/2014/dsa-3060.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,

Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction.
Merci d'avance pour vos relectures.

Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourrait conduire à un déni de service :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3610";>CVE-2014-3610</a>

<p>Lars Bull de Google et Nadav Amit ont signalé un défaut dans la manière
dont KVM gérait les écritures non canoniques dans certains registres MSR.
Un utilisateur client privilégié peut exploiter ce défaut pour provoquer
un déni de service (<q>kernel panic</q>) sur l'hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3611";>CVE-2014-3611</a>

<p>Lars Bull de Google a signalé une situation de compétition dans le code
d'émulation PIT de KVM. Un utilisateur client local disposant d'un accès
aux ports d'entrées/sorties de PIT pourrait exploiter ce défaut pour
provoquer un déni de service (plantage) sur l'hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3645";>CVE-2014-3645</a>

/ <a href="https://security-tracker.debian.org/tracker/CVE-2014-3646";>CVE-2014-3646</a>

<p>L'équipe Advanced Threat Research d'Intel Security a découvert que le
sous-système KVM ne gérait pas de matière élégante les sorties de machines
virtuelles pour les instructions invept (traductions invalides dérivées
d'EPT) et invvpid (traductions invalides basées sur VPID). Sur un hôte
avec un processeur Intel et la prise en charge de sorties invept/invppid
de machines virtuelles, un utilisateur client non privilégié pourrait
utiliser ces instructions pour planter le client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3647";>CVE-2014-3647</a>

<p>Nadav Amit a signalé que KVM faisait des erreurs de manipulation des
adresses non canoniques lors de l'émulation d'instructions qui changent le
registre rip, provoquant éventuellement l'échec d'une entrée de machine
virtuelle. Un utilisateur client disposant d'un accès aux entrées/sorties
ou aux entrées et sorties de projection en mémoire (<q>MMIO</q>) peut
utiliser ce défaut pour provoquer un déni de service (plantage du système)
du client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3673";>CVE-2014-3673</a>

<p>Liu Wei de Red Hat a découvert un défaut dans net/core/skbuff.c menant à 
un <q>kernel panic</q> lors de la réception de morceaux ASCONF (<q>Address
Configuration Change Chunk</q> mal formés. Un attaquant distant pourrait
utiliser ce défaut pour planter le système.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3687";>CVE-2014-3687</a>

<p>Un défaut dans la pile SCTP a été découverte menant à un <q>kernel panic</q>
lors de la réception de morceaux ASCONF dupliqués. Un attaquant distant
pourrait utiliser ce défaut pour planter le système.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3688";>CVE-2014-3688</a>

<p>Il a été découvert que la pile SCTP est prédisposée à un problème de
manque de mémoire déclenché à distance causé par une mise en file d'attente
excessive. Un attaquant distant pourrait utiliser ce défaut pour provoquer
des conditions de déni de service sur le système.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3690";>CVE-2014-3690</a>

<p>Andy Lutomirski a découvert qu'un traitement incorrect de registre dans
KVM pourrait conduire à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7207";>CVE-2014-7207</a>

<p>Plusieurs développeurs Debian ont signalé un problème dans le
sous-système réseau IPv6. Un utilisateur local disposant d'un accès à des
périphériques <q>tun</q> ou macvtap, ou une machine virtuelle connectée à 
un périphérique de ce type, peut causer un déni de service (plantage du
système).</p>

<p>Cette mise à jour inclut une correction de bogue lié à <a
href="https://security-tracker.debian.org/tracker/CVE-2014-7207";>CVE-2014-7207</a>
qui désactive l'UFO (<q>UDP Fragmentation Offload</q>) dans les pilotes
macvtap, tun et virtio_net. Cela fera que la migration d'une machine
virtuelle active d'un hôte fonctionnant avec une version plus ancienne du
noyau vers un hôte fonctionnant avec cette version du noyau échouera,
si la machine virtuelle a été assignée à un périphérique réseau virtio.
Afin de migrer une telle machine virtuelle, il faut d'abord l'arrêter.</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.2.63-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets linux.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3060.data"
# $Id: dsa-3060.wml,v 1.1 2014/10/31 22:48:08 jipege1-guest Exp $