Bonjour, Dixit JP Guillonneau, le 22/01/2020 : >ces (anciennes) annonces de sécurité ont été publiées. Propositions. Baptiste
--- 0000024b.dla-841.wml 2020-01-27 09:24:35.849685849 +0100 +++ ./0000024b.dla-841-bj.wml 2020-01-27 09:26:00.219182146 +0100 @@ -5,14 +5,14 @@ dâ??analyse de lâ??en-tête.</p> <p>David Dennerline, de X-Force Researchers pour la sécurité dâ??IBM, et Régis -Leroy ont découvert des problèmes dans la manière dont Apache gère un grand -modèle de modèles dâ??espaces blancs inhabituels dans les requêtes HTTP. Dans +Leroy ont découvert des problèmes dans la manière dont Apache gère un ensemble +de motifs dâ??espaces blancs inhabituels dans les requêtes HTTP. Dans quelques configurations, cela pourrait conduire à des vulnérabilités de découpage de réponse ou de pollution de cache. Pour corriger ces problèmes, cette mise à jour rend httpd dâ??Apache plus strict dans la façon dont les requêtes HTTP sont acceptées.</p> -<p>Si cela cause des problèmes dans des clients non conformes, quelques +<p>Si cela cause des problèmes avec des clients non conformes, quelques vérifications peuvent être assouplies en ajoutant la nouvelle directive <q>HttpProtocolOptions unsafe</q> à la configuration. Plus dâ??informations sont disponibles sur</p>
--- 0000024e.dla-842.wml 2020-01-27 09:26:09.971075662 +0100 +++ ./0000024e.dla-842-bj.wml 2020-01-27 09:31:46.659710537 +0100 @@ -3,7 +3,7 @@ <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans qemu-kvm, une solution -complète de virtualisation solution pour des fenêtres Linux sur du matériel x86 +complète de virtualisation pour des hôtes Linux sur du matériel x86 avec des clients x86.</p> <ul> @@ -17,7 +17,7 @@ <p>Un utilisateur privilégié dans le client pourrait utiliser ce défaut pour planter le processus de Qemu, aboutissant à un déni de service ou, éventuellement, à une exécution de code arbitraire sur lâ??hôte avec les -privilèges du processus de Qemu sur lâ??hôte.</p></li> +privilèges du processus de Qemu.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-2620";>CVE-2017-2620</a> @@ -28,14 +28,13 @@ <p>Un utilisateur privilégié dans le client pourrait utiliser ce défaut pour planter le processus de Qemu, aboutissant à un déni de service ou, éventuellement, à une exécution de code arbitraire sur lâ??hôte avec les -privilèges du processus de Qemu sur lâ??hôte.</p></li> +privilèges du processus de Qemu.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5898";>CVE-2017-5898</a> <p>La prise en charge de lâ??émulateur de périphérique pour carte CCID est vulnérable à un défaut de dépassement d'entier. Il pourrait se produire lors du -passage de message à lâ??aide de paquets commande et réponse de et à partir de -lâ??hôte.</p> +passage de message à lâ??aide de paquets commande et réponse, dans les deux sens.</p> <p>Un utilisateur privilégié dans le client pourrait utiliser ce défaut pour planter le processus de Qemu sur lâ??hôte, aboutissant à un déni de service.</p>
--- 00000254.dla-845.wml 2020-01-27 09:32:44.503078940 +0100 +++ ./00000254.dla-845-bj.wml 2020-01-27 09:34:00.669718037 +0100 @@ -16,7 +16,7 @@ <p>Un utilisateur privilégié dans le client pourrait utiliser ce défaut pour planter le processus de Qemu, aboutissant à un déni de service ou, éventuellement, à une exécution de code arbitraire sur lâ??hôte avec les -privilèges du processus de Qemu sur lâ??hôte.</p></li> +privilèges du processus de Qemu.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-2620";>CVE-2017-2620</a> @@ -27,14 +27,13 @@ <p>Un utilisateur privilégié dans le client pourrait utiliser ce défaut pour planter le processus de Qemu, aboutissant à un déni de service ou, éventuellement, à une exécution de code arbitraire sur lâ??hôte avec les -privilèges du processus de Qemu sur lâ??hôte.</p></li> +privilèges du processus de Qemu.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5898";>CVE-2017-5898</a> <p>La prise en charge de lâ??émulateur de périphérique pour carte CCID est vulnérable à un défaut de dépassement d'entier. Il pourrait se produire lors du -passage de message à lâ??aide de paquets commande et réponse de et à partir de -lâ??hôte.</p> +passage de message à lâ??aide de paquets commande et réponse, dans les deux sens.</p> <p>Un utilisateur privilégié dans le client pourrait utiliser ce défaut pour planter le processus de Qemu sur lâ??hôte, aboutissant à un déni de service.</p>
Attachment:
pgp8aMBc7HygS.pgp
Description: Signature digitale OpenPGP