[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2021/dla-271{2,3,3-2,4,5}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="9196ab2fe6d75237e0e5ac47741ce145569a9cef" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Qualys Research Labs a découvert qu’une allocation contrôlée par l’attaquant
utilisant la fonction alloca() pourrait aboutir à une corruption de mémoire,
permettant de planter systemd et par conséquent le système d’exploitation en
entier.</p>

<p>Plus de détails peuvent être trouvés dans l’annonce de Qualys sur
<a href="https://www.qualys.com/2021/07/20/cve-2021-33910/déni de service-systemd.txt">https://www.qualys.com/2021/07/20/cve-2021-33910/denial-of-service-systemd.txt</a>.</p>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 232-25+deb9u13.</p>

<p>Nous vous recommandons de mettre à jour vos paquets systemd.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de systemd, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/systemd";>\
https://security-tracker.debian.org/tracker/systemd</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2715.data"
# $Id: $

#use wml::debian::translation-check translation="7feda280e03c75f0fc6b2380a750bce08b2f9d0d" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Brève description</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3609";>CVE-2021-3609</a>

<p>Norbert Slusarek a signalé une vulnérabilité de situation de compétition
dans la gestion de réseau de protocole CAN de BCM, permettant à un attaquant
local d’augmenter ses privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-21781";>CVE-2021-21781</a>

<p>« Lilith >_> » de Cisco Talos a découvert que le code d’initialisation
d’Arm n’initialise pas complètement le <q>sigpage</q> qui est mappé dans les
processus de l’espace utilisateur pour la gestion des signaux. Cela peut
aboutir à une fuite d’informations sensibles, particulièrement quand le
système est redémarré.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-33909";>CVE-2021-33909</a>

<p>Qualys Research Labs a découvert une vulnérabilité de conversion
<q>size_t vers int</q> dans la couche système de fichiers du noyau Linux. Un
attaquant local non privilégié capable de créer, monter puis supprimer une
structure profonde de répertoires dont la longueur total du chemin dépasse
1 Go, peut tirer avantage de ce défaut pour une élévation de privilèges.</p>

<p>Vous trouverez plus de détails dans l'annonce de Qualys à l'adresse
<a href="https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-une élévation des privilèges-linux.txt">https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-une élévation des privilèges-linux.txt</a>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-34693";>CVE-2021-34693</a>

<p>Norbert Slusarek a signalé une fuite d’informations dans la gestion de
réseau de protocole CAN de BCM. Un attaquant local peut tirer avantage de
défaut pour obtenir des informations sensibles à partir de la mémoire de pile
du noyau.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 4.9.272-2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets linux.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de linux, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/linux";>\
https://security-tracker.debian.org/tracker/linux</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2713.data"
# $Id: $

#use wml::debian::translation-check translation="7feda280e03c75f0fc6b2380a750bce08b2f9d0d" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans lea noyau Linux qui pourrait conduire à une élévation des privilèges, déni de service ou une fuite d'informations.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3609";>CVE-2021-3609</a>

<p>Norbert Slusarek a signalé une vulnérabilité de situation de compétition
dans la gestion de réseau de protocole CAN de BCM, permettant à un attaquant
local d’augmenter ses privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-21781";>CVE-2021-21781</a>

<p>« Lilith >_> » de Cisco Talos a découvert que le code d’initialisation
d’Arm n’initialise pas complètement le <q>sigpage</q> qui est mappé dans les
processus de l’espace utilisateur pour la gestion des signaux. Cela peut
aboutir à une fuite d’informations sensibles, particulièrement quand le
système est redémarré.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-33909";>CVE-2021-33909</a>

<p>Qualys Research Labs a découvert une vulnérabilité de conversion
<q>size_t vers int</q> dans la couche système de fichiers du noyau Linux. Un
attaquant local non privilégié capable de créer, monter puis supprimer une
structure profonde de répertoires dont la longueur total du chemin dépasse
1 Go, peut tirer avantage de ce défaut pour une élévation de privilèges.</p>

<p>Vous trouverez plus de détails dans l'annonce de Qualys à l'adresse
<a href="https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-une élévation des privilèges-linux.txt">https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-une élévation des privilèges-linux.txt</a>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-34693";>CVE-2021-34693</a>

<p>Norbert Slusarek a signalé une fuite d’informations dans la gestion de
réseau de protocole CAN de BCM. Un attaquant local peut tirer avantage de
défaut pour obtenir des informations sensibles à partir de la mémoire de pile
du noyau.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 4.9.272-2. De plus cette annonce corrige une régression dans la
précédente mise à jour (<a href="https://bugs.debian.org/990072";>n° 990072</a>)
qui affecte LXC.</p>

<p>Nous vous recommandons de mettre à jour vos paquets linux.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de linux, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/linux";>\
https://security-tracker.debian.org/tracker/linux</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2713-2.data"
# $Id: $

#use wml::debian::translation-check translation="7feda280e03c75f0fc6b2380a750bce08b2f9d0d" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une élévation des privilèges, un déni de service ou une
fuite d'informations.</p>

<p>Cette mise à jour n’est pas encore disponible pour l’architecture armhf
(ARM EABI hard-float).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-36311";>CVE-2020-36311</a>

<p>Un défaut a été découvert dans le sous-système KVM pour les processeurs AMD,
permettant à un attaquant de provoquer un déni de service en déclenchant une
destruction de VM SEV.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3609";>CVE-2021-3609</a>

<p>Norbert Slusarek a signalé une vulnérabilité de situation de compétition
dans la gestion de réseau de protocole CAN de BCM, permettant à un attaquant
local d’augmenter ses privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-33909";>CVE-2021-33909</a>

<p>Qualys Research Labs a découvert une vulnérabilité de conversion
<q>size_t vers int</q> dans la couche système de fichiers du noyau Linux. Un
attaquant local non privilégié capable de créer, monter puis supprimer une
structure profonde de répertoires dont la longueur total du chemin dépasse
1 Go, peut tirer avantage de ce défaut pour une élévation de privilèges.</p>

<p>Vous trouverez plus de détails dans l'annonce de Qualys à l'adresse
<a href="https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-une élévation des privilèges-linux.txt">https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-une élévation des privilèges-linux.txt</a>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-34693";>CVE-2021-34693</a>

<p>Norbert Slusarek a signalé une fuite d’informations dans la gestion de
réseau de protocole CAN de BCM. Un attaquant local peut tirer avantage de
défaut pour obtenir des informations sensibles à partir de la mémoire de pile
du noyau.</p></li>
</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la
version 4.19.194-3~deb9u1. De plus cette annonce corrige une régression dans la
précédente mise à jour (<a href="https://bugs.debian.org/990072";>n° 990072</a>)
qui affecte LXC.</p>


<p>Nous vous recommandons de mettre à jour vos paquets linux-4.19.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de linux-4.19, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/linux-4.19";>\
https://security-tracker.debian.org/tracker/linux-4.19</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2714.data"
# $Id: $

#use wml::debian::translation-check translation="d2e2dde58ae5a448da927999a379aab71465b6a7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>
Il a été découvert qu’il existait un problème potentiel d’expansion d’entité
dans libjdom1-java, une bibliothèque rapide et légère pour l’utilisation
d’XML. Des attaquants pourraient causer un déni de service à l'aide d'une
requête HTTP contrefaite pour l'occasion.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-33813";>CVE-2021-33813</a>

<p>Un problème d’expansion d’entité dans SAXBuilder dans JDOM jusqu’à la
version 2.0.6 permet à des attaquants de provoquer un déni de service à l'aide
d'un requête HTTP contrefaite.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1.1.3-1+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libjdom1-java.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2712.data"
# $Id: $
Reply to: