[ddr] webwml:/security/2003/dsa-311,2,3,4,5,7.wml [URGENT]
Bonsoir,
Vite fait je veux pas creuser de décalage. Merci à Olivier pour sa
relecture.
Je me permets de répondre ici.
Les oops sont en fait un moyen de tracer les ratés du noyau mais la
machine meurt souvent apres un oops. Via ce mécanisme, et à cause du
trou de sécurité, tu peux les déclencher et faire planter la machine.
Merci pour vos relectures, Thomas.
<define-tag description>Déni de service</define-tag>
<define-tag moreinfo>
<p>Le serveur d'impression CUPS dans Debian est vulnérable à un déni de service
quand une requête HTTP est reçue sans être proprement terminée.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé
dans la version 1.1.14-5.</p>
<p>Pour l'ancienne distribution stable (<i>Potato</i>), ce problème a été
corrigé dans la version 1.0.4-12.2.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version 1.1.19final-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet cupsys.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-317.data"
# $Id: dsa-317.wml,v 1.2 2003/06/12 17:30:17 kaare Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Dépassements de tampon et déni de service</define-tag>
<define-tag moreinfo>
<p>Bas Wijnen a découvert que le serveur <i>gnocatan</i> est vulnérable à
plusieurs dépassements de tampon qui pouvaient être exploités pour exécuter
n'importe quel code sur le serveur.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé dans
la version 0.6.1-5woody2.</p>
<p>L'ancienne distribution stable (<i>Potato</i>) ne contient pas de paquet
gnocatan.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème sera bientôt
corrigé.</p>
<p>Nous vous recommandons de mettre à jour votre paquet gnocatan.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-315.data"
# $Id: dsa-315.wml,v 1.2 2003/06/12 17:30:48 kaare Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo></p>
<p>Rick Patel a découvert qu'<i>atftpd</i> est vulnérable à un dépassement de
tampon quand un nom de fichier long est envoyé au serveur. Un attaquant
pouvait exploiter ce bogue à distance pour exécuter n'importe quel code
sur le serveur.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé dans
la version 0.6.1.1.0woody1.</p>
<p>L'ancienne distribution stable (<i>Potato</i>) ne contient pas de paquet
atftp.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème sera bientôt
corrigé.</p>
<p>Nous vous recommandons de mettre à jour votre paquet atftp.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-314.data"
# $Id: dsa-314.wml,v 1.1 2003/06/12 05:35:19 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Dépassements de tampon et d'entier</define-tag>
<define-tag moreinfo>
<p>Timo Sirainen a découvert plusieurs failles de sécurité dans
<i>ethereal</i>, un analyseur de trafic réseau. Ces dépassements de tampon
sont basés sur l'inclusion d'un octet dans les traducteurs pour AIM, GIOP
Gryphon, OSPF, PPTP, Quake, Quake2, Quake3, Rsync, SMB, SMPP, et TSP, et pour
les dépassements d'entier, dans les traducteurs de Mount et PPP.</p>
<p>Pour la distribution stable (<i>Woody</i>), ces
problèmes ont été corrigés dans la version 0.9.4-1woody4.</p>
<p>L'ancienne distribution stable (<i>Potato</i>) n'est pas affectée par ce
problème.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés
dans la version 0.9.12-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet ethereal.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-313.data"
# $Id: dsa-313.wml,v 1.1 2003/06/12 05:35:19 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Plusieurs failles</define-tag>
<define-tag moreinfo>
<p>Un certain nombre de failles de sécurité a été découvert dans le noyau
Linux.</p>
<p>CVE-2002-0429 : Les routines iBCS dans arch/i386/noyau/traps.c pour
les noyaux Linux 2.4.18 et plus anciens pour les systèmes x86 permettent
à des utilisateurs locaux de tueur n'importe quel processus via un appel de
l'interface de compatibilité binaire (lcall).</p>
<p>CAN-2003-0001 : Certains pilotes de carte ethernet ou <i>Network
Interface Card</i> (NIC) ne gèrent pas les trames avec des octets nuls, ce
qui permet à des attaquants distants d'obtenir des informations sur
d'anciens paquets ou même à propos de la mémoire noyau en utilisant des
paquets malformés.</p>
<p>CAN-2003-0127 : Le chargeur de module dans le noyau permet à des
utilisateurs locaux d'obtenir les privilèges de <i>root</i> en utilisant
<i>ptrace</i> pour attacher un processus fils qui est créé par le noyau.</p>
<p>CAN-2003-0244 : L'implémentation du cache des routes dans
Linux 2.4 et le module Netfilter IP conntrack permettent à des
attaquants distants de causer un déni de service (par saturation processeur)
avec des paquets dont les adresses de source ont été calculées pour générer
de nombreuses collisions dans la table de hachage liée à la chaîne
<i>PREROUTING</i>.</p>
<p>CAN-2003-0246 : L'appel système <i>ioperm</i> dans les noyaux
Linux 2.4.20 et plus anciens ne restrient pas correctement les
privilèges, ce qui permet à certains utilisateurs de lire ou écrire sur
certains ports d'entrées/sorties.</p>
<p>CAN-2003-0247 : Une faille de sécurité dans la couche TTY du noyau
Linux 2.4 permet à des attaquants de causer un déni de service
(avec les <i>oops</i> noyau).</p>
<p>CAN-2003-0248 : Le code <i>mxcsr</i> dans le noyau Linux 2.4
permet à des attaquants de modifier l'état des registres du processeur
via une adresse erronée.</p>
<p>CAN-2003-0364 : La gestion de réassemblage des fragments TCP/IP dans
le noyau Linux 2.4 permet à des attaquants distants de causer un déni de
service (par saturation processeur) avec certains paquets qui génère un
grand nombre de collisions dans la table de hachage.</p>
<p>Cette annonce couvre seulement l'architecture powerpc. D'autres
architectures seront traitées dans des annonces séparées.</p>
<p>Pour la distribution stable (<i>Woody</i>) sur l'architecture powerpc, ces
problèmes ont été corrigés dans la version 2.4.18-1woody1.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés
dans la version 2.4.20-2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets kernel.</p>
<p>NOTE : Un redémarrage du système est nécessaire immédiatement après
la mise à jour pour remplacer le noyau opérationnel. N'oubliez pas de lire
attentivement et de suivre les instructions données durant le processus de
mise à jour du noyau.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-312.data"
# $Id: dsa-312.wml,v 1.2 2003/06/10 09:57:25 kaare Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Plusieurs failles</define-tag>
<define-tag moreinfo>
<p>Un certain nombre de failles de sécurité a été découvert dans le noyau
Linux.</p>
<p>CVE-2002-0429 : Les routines iBCS dans arch/i386/noyau/traps.c pour
les noyaux Linux 2.4.18 et plus anciens pour les systèmes x86 permettent
à des utilisateurs locaux de tueur n'importe quel processus via un appel de
l'interface de compatibilité binaire (lcall).</p>
<p>CAN-2003-0001 : Certains pilotes de carte ethernet ou <i>Network
Interface Card</i> (NIC) ne gèrent pas les trames avec des octets nuls, ce
qui permet à des attaquants distants d'obtenir des informations sur
d'anciens paquets ou même à propos de la mémoire noyau en utilisant des
paquets malformés.</p>
<p>CAN-2003-0127 : Le chargeur de module dans le noyau permet à des
utilisateurs locaux d'obtenir les privilèges de <i>root</i> en utilisant
<i>ptrace</i> pour attacher un processus fils qui est créé par le noyau.</p>
<p>CAN-2003-0244 : L'implémentation du cache des routes dans
Linux 2.4 et le module Netfilter IP conntrack permettent à des
attaquants distants de causer un déni de service (par saturation processeur)
avec des paquets dont les adresses de source ont été calculées pour générer
de nombreuses collisions dans la table de hachage liée à la chaîne
<i>PREROUTING</i>.</p>
<p>CAN-2003-0246 : L'appel système <i>ioperm</i> dans les noyaux
Linux 2.4.20 et plus anciens ne restrient pas correctement les
privilèges, ce qui permet à certains utilisateurs de lire ou écrire sur
certains ports d'entrées/sorties.</p>
<p>CAN-2003-0247 : Une faille de sécurité dans la couche TTY du noyau
Linux 2.4 permet à des attaquants de causer un déni de service
(avec les <i>oops</i> noyau).</p>
<p>CAN-2003-0248 : Le code <i>mxcsr</i> dans le noyau Linux 2.4
permet à des attaquants de modifier l'état des registres du processeur
via une adresse erronée.</p>
<p>CAN-2003-0364 : La gestion de réassemblage des fragments TCP/IP dans
le noyau Linux 2.4 permet à des attaquants distants de causer un déni de
service (par saturation processeur) avec certains paquets qui génère un
grand nombre de collisions dans la table de hachage.</p>
<p>Cette annonce couvre seulement les architectures i386 (Intel IA32).
D'autres architectures seront traitées dans des annonces séparées.</p>
<p>Pour la distribution stable (<i>Woody</i>) sur l'architecture i386, ces
problèmes ont été corrigés dans kernel-source-2.4.18 version 2.4.18-9,
kernel-image-2.4.18-1-i386 version 2.4.18-8 et
kernel-image-2.4.18-i386bf version 2.4.18-5woody1.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés
dans les noyaux de la série 2.4.20 sur la base des sources Debian.</p>
<p>Nous vous recommandons de mettre à jour vos paquets kernel.</p>
<p>Si vous utilisez le noyau installé par le système d'installation quand
l'option <i>bf24</i> est active (pour avoir un noyau 2.4.x), vous devrez
installer le paquet kernel-image-2.4.18-bf2.4. Si vous avez installé un paquet
kernel-image différent après l'installation, vous devrez installer le
noyau 2.4.18-1 correspondant. Vous pourriez avoir besoin de la table
ci-dessous comme guide.</p>
<pre>
| Si "uname -r" montre : | Installer le paquet :
| 2.4.18-bf2.4 | kernel-image-2.4.18-bf2.4
| 2.4.18-386 | kernel-image-2.4.18-1-386
| 2.4.18-586tsc | kernel-image-2.4.18-1-586tsc
| 2.4.18-686 | kernel-image-2.4.18-1-686
| 2.4.18-686-smp | kernel-image-2.4.18-1-686-smp
| 2.4.18-k6 | kernel-image-2.4.18-1-k6
| 2.4.18-k7 | kernel-image-2.4.18-1-k7
</pre>
<p>NOTE : Cette version de noyau n'est pas compatible avec le format
binaire de la précédente version. Pour cette raison, le noyau a un numéro de
version différent et il ne sera pas installé automatiquement comme une partie
d'une mise à jour classique. Tout module propre à votre noyau devra être
reconstruit pour fonctionner avec cette nouvelle version. Les nouveaux
modules PCMCIA sont fournis pour tous les noyaux cités ci-dessus.</p>
<p>NOTE : Un redémarrage du système est nécessaire immédiatement après
la mise à jour pour remplacer le noyau opérationnel. N'oubliez pas de lire
attentivement et de suivre les instructions données durant le processus de
mise à jour du noyau.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-311.data"
# $Id: dsa-311.wml,v 1.2 2003/06/10 05:32:58 kaare Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
Reply to: