Le 04/04/2011 13:45, JP Guillonneau a écrit : > Bonsoir, Salut, > suggestions. Intégrées, merci, et par avance merci pour vos dernières remarques. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans la bibliothèque de manipulation et conversion de TIFF : </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0191";>CVE-2011-0191</a> <p> Un débordement de mémoire tampon permet d'exécuter du code arbitraire ou de provoquer un déni de service à l'aide d'une image TIFF trafiquée avec un encodage JPEG. Ce problème ne concerne que le paquet de Debian 5.0 Lenny. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0192";>CVE-2011-0192</a> <p> Un débordement de mémoire tampon permet d'exécuter du code arbitraire ou de provoquer un déni de service à l'aide d'un fichier image TIFF Internet Fax trafiqué qui a été compressé avec un encodage CCITT du groupe 4. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1167";>CVE-2011-1167</a> <p> Un débordement de mémoire tampon basé sur le tas dans le décodeur thunder (ThunderScan) permet d'exécuter du code arbitraire à l'aide d'un fichier TIFF ayant une valeur BitsPerSample inattendue. </p></li> </ul> <p>Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 3.8.2-11.4.</p> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.9.4-5+squeeze1.</p> <p> Pour la distribution testing, les deux premiers problèmes ont été corrigés dans la version 3.9.4-8, le dernier problème sera corrigé prochainement. </p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.9.4-9.</p> <p>Nous vous recommandons de mettre à jour vos paquets tiff.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2210.data" # $Id: dsa-2210.wml,v 1.1 2011-04-03 12:54:38 taffit-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Déni de service et augmentation de droits</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux. Cela peut mener à un déni de service ou une augmentation de droits. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-3527";>CVE-2008-3527</a> <p> Tavis Ormandy a signalé un déni de service local et une potentielle augmentation de droits dans l'implémentation VDSO (<q>Virtual Dynamic Shared Objects</q>). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-3528";>CVE-2008-3528</a> <p> Eugene Teo a signalé un problème de déni de service local dans les systèmes de fichiers ext2 et ext3. Les utilisateurs locaux qui disposent des droits nécessaires pour monter un système de fichiers pourraient mettre au point un système de fichiers corrompu à cause duquel le noyau produirait des message d'erreurs dans une boucle infinie. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-4554";>CVE-2008-4554</a> <p> Milos Szeredi a signalé que l'utilisation de splice() sur des fichiers ouverts avec O_APPEND permet aux utilisateurs d'écrire dans le fichier à des positions arbitraires, ce qui permet d'outrepasser des sémantiques considérées possibles de l'option O_APPEND. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-4576";>CVE-2008-4576</a> <p> Vlad Yasevich a signalé un problème dans le sous-système SCTP qui peut permettre aux utilisateurs distants de provoquer un déni de service local en déclenchant un oops du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-4933";>CVE-2008-4933</a> <p> Eric Sesterhenn a signalé un problème de déni de service local dans le système de fichiers HFS+. Les utilisateurs locaux qui disposent des droits nécessaires pour monter un système de fichiers pourraient mettre au point un système de fichiers corrompu à cause duquel le noyau dépasserait un tampon de mémoire, provoquant un oops du système ou une corruption de mémoire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-4934";>CVE-2008-4934</a> <p> Eric Sesterhenn a signalé un problème de déni de service local dans le système de fichiers HFS+. Les utilisateurs locaux qui disposent des droits nécessaires pour monter un système de fichiers pourraient mettre au point un système de fichiers corrompu, provoquant un oops du noyau à cause d'une valeur renvoyée non vérifiée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-5025";>CVE-2008-5025</a> <p> Eric Sesterhenn a signalé un problème de déni de service local dans le système de fichiers HFS. Les utilisateurs locaux qui disposent des droits nécessaires pour monter un système de fichiers pourraient mettre au point un système de fichiers avec une longueur de nom de catalogue corrompue, provoquant un oops du système ou une corruption de mémoire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-5029";>CVE-2008-5029</a> <p> Andrea Bittau a signalé un problème de déni de service dans le sous-système de socket UNIX permettant à un utilisateur local de provoquer une corruption de mémoire et ainsi une panique du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-5079";>CVE-2008-5079</a> <p> Hugo Dias a signalé une condition de déni de service dans le sous-système ATM qui peut être déclenchée par un utilisateur local en appelant la fonction svc_listen deux fois sur la même socket puis en lisant /proc/net/atm/*vc. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-5182";>CVE-2008-5182</a> <p> Al Viro a signalé des situations de compétition dans le sous-système inotify qui pourraient permettre aux utilisateurs locaux d'augmenter leurs droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-5300";>CVE-2008-5300</a> <p> Dann Frazier a signalé une condition de déni de service permettant aux utilisateurs locaux de pousser le gestionnaire de manque de mémoire à tuer des processus privilégiés ou de déclencher des verrous à cause du problème de manque dans le sous-système de socket UNIX. </p></li> </ul> <p>Pour la distribution stable (Etch), ce problème a été corrigé dans la version 2.6.18.dfsg.1-23etch1.</p> <p>Nous vous recommandons de mettre à jour vos paquets linux-2.6, fai-kernels et user-mode-linux.</p> <p> Remarque : Debian Etch contient des paquets de noyau basés à la fois sur les version de Linux 2.6.18 et 2.6.24. Tous les problèmes de sécurité connus sont soigneusement suivis pour les deux paquets qui recevront des mises à jour de sécurité jusqu'à la fin de la prise en charge de Debian Etch. Cependant, en raison de la fréquence importante à laquelle des problèmes de sécurité de faible importance sont découverts dans le noyau et les ressources nécessaires pour réaliser une mise à jour, les mises à jour de faible importance pour 2.6.18 et 2.6.24 seront généralement publiées de façon échelonnée ou à <q>saute-mouton</q>. </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2008/dsa-1687.data" # $Id: dsa-1687.wml,v 1.2 2011-04-04 18:21:22 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature