Le 20/09/2011 14:41, JP Guillonneau a écrit : > Bonsoir, > suggestion : > dsa-2305 : > s/connections/connexions/ Merci, j'ai corrigé cinq autres occurrences sur de plus vieilles pages. Par avance merci pour vos dernières remarques. Amicalement David
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p> Deux problèmes de sécurité concernant vsftpd, un serveur FTP léger et efficace écrit pour la sécurité, ont été découverts. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2189";>CVE-2011-2189</a> <p> Les noyaux Linux antérieurs à la version 2.6.35 s'avèrent considérablement plus lents à libérer qu'à créer des espaces de noms réseau. Par conséquent, puisque vsftpd utilise cette fonctionnalité pour améliorer la sécurité en fournissant un isolement du réseau pour les connexions, des conditions de déni de service à cause d'un excès d'allocations mémoire par le noyau sont réalisables. Techniquement, ce n'est pas un défaut de vsftpd, mais un problème de noyau. Cependant, cette fonctionnalité a des cas d'utilisation légitimes et le rétroportage du correctif de noyau spécifique est trop intrusif. De plus, un attaquant local a besoin des droits CAP_SYS_ADMIN pour abuser de cette fonctionnalité. Par conséquent, pour corriger ce problème, une vérification de la version du noyau a été ajoutée à vsftpd afin de désactiver cette fonctionnalité pour les noyaux antérieurs à 2.6.35. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0762";>CVE-2011-0762</a> <p> Maksymilian Arciemowicz a découvert que vsftpd ne traite pas correctement certaines expressions de joker dans les commandes STAT. Cela permet à un attaquant distant authentifié de réaliser des attaques par déni de service (excès d'utilisation de microprocesseur et épuisement d'espace de processus) à l'aide de commandes STAT contrefaites. </p></li> </ul> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2.0.7-1+lenny1.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.3.2-3+squeeze2. Veuillez remarquer que <a href="http://security-tracker.debian.org/tracker/CVE-2011-2189";>CVE-2011-2189</a> ne concerne pas la version Lenny. </p> <p>Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.3.4-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets vsftpd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2305.data" # $Id: dsa-2305.wml,v 1.4 2011-09-20 18:52:40 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Wesley Miaw a découvert que libcurl, une bibliothèque multiprotocole de transfert de fichiers, est prédisposée à un débordement de mémoire tampon à l'aide de la fonction de rappel quand une application compte sur libcurl pour décompresser les données automatiquement. Remarquez que cela ne concerne que les applications qui font confiance à la limite maximale de libcurl pour une taille de tampon donnée et ne réalisent pas de vérifications d'intégrité elles-mêmes. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 7.18.2-8lenny4.</p> <p> � cause d'un problème avec le logiciel de l'archive, les paquets n'ont pas pu être publiés en même temps pour toutes les architectures. Les binaires pour les architectures hppa, ia64, mips, mipsel et s390 seront fournis dès qu'ils seront disponibles. </p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème a été corrigé dans la version 7.20.0-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets curl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2023.data" # $Id: dsa-2023.wml,v 1.1 2011-09-19 16:05:26 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Vérification d'entrée manquante</define-tag> <define-tag moreinfo> <p> tDiary, un système de blog agréable pour la communication, s'avère prédisposé à une vulnérabilité de script intersite à cause d'une vérification d'entrée manquante dans le greffon de transmission TrackBack. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.2.1-1+lenny1.</p> <p>Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.2.1-1.1.</p> <p>Nous vous recommandons de mettre à jour vos paquets tdiary.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2009.data" # $Id: dsa-2009.wml,v 1.1 2011-09-19 16:05:26 taffit Exp $
#use wml::debian::translation-check translation="1.4" maintainer="David Prévot" <define-tag description>Augmentation de droits, déni de service, fuite de mémoire sensible</define-tag> <define-tag moreinfo> <p> Remarque : cette mise à jour du noyau marque la fin prévue des mises à jour de sécurité du noyau 2.6.24 de Debian <q>Etch</q>. Bien que le suivi en sécurité d'<q>Etch</q> se soit officiellement terminé le 15 février 2010, cette mise à jour était déjà en préparation avant cette date. </p> <p> Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à un déni de service, une fuite de mémoire sensible ou une augmentation de droits. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2691";>CVE-2009-2691</a> <p> Steve Beattie et Kees Cook ont signalé une fuite d'informations depuis les fichier maps et smaps du répertoire /proc. Des utilisateurs locaux pourraient lire ces données pour des processus setuid alors que le binaire ELF est en cours de chargement. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2695";>CVE-2009-2695</a> <p> Eric Paris a fourni plusieurs correctifs pour augmenter la protection fournie par le mmap_min_addr réglable contre les vulnérabilités de déréférencement de pointeur NULL. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3080";>CVE-2009-3080</a> <p> Dave Jones a signalé un problème dans le pilote SCSI gdth SCSI. Un manque de vérification des index négatifs lors d'un appel ioctl pourrait être exploité par des utilisateurs locaux pour créer un déni de service ou éventuellement augmenter leurs droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3726";>CVE-2009-3726</a> <p> Trond Myklebust a signalé un problème où un serveur NFS malveillant pourrait provoquer une condition de déni de service sur ses clients en renvoyant des attributs incorrects lors d'un appel ouvert. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3889";>CVE-2009-3889</a> <p> Joe Malicki a découvert un problème dans le pilote megaraid_sas. Des droits insuffisants sur l'interface dbg_lvl de Sysfs permet aux utilisateurs locaux de modifier le comportement de journalisation de débogage. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4005";>CVE-2009-4005</a> <p> Roel Kluin a découvert un problème dans le pilote hfc_usb, un pilote ISDN pour les puces USB HFC-S Colognechip. Un éventuel dépassement de lecture existe, ce qui pourrait permettre aux utilisateurs distants de provoquer une condition de déni de service (oops). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4020";>CVE-2009-4020</a> <p> Amerigo Wang a découvert un problème dans le système de fichiers HFS qui pourrait permettre un déni de service par un utilisateur local avec suffisamment de droits pour monter un système de fichiers contrefait pour l'occasion. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4021";>CVE-2009-4021</a> <p> Anana V. Avati a découvert un problème dans le sous-système fuse. Si le système est suffisamment bas en mémoire, un utilisateur local peut forcer le noyau à déréférencer un pointeur non valable, avec pour conséquence un déni de service (oops) et éventuellement une augmentation de droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4138";>CVE-2009-4138</a> <p> Jay Fenlason a découvert un problème dans la pile firewire qui permet aux utilisateurs locaux de provoquer un déni de service (oops ou plantage) en faisant un appel ioctl contrefait pour l'occasion. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4308";>CVE-2009-4308</a> <p> Ted Ts'o a découvert un problème dans le système de fichiers ext4 qui permet aux utilisateurs locaux de provoquer un déni de service (déréférencement de pointeur NULL). Pour que cela puisse être faisable, l'utilisateur local doit avoir suffisamment de droits pour monter un système de fichiers. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4536";>CVE-2009-4536</a> <a href="http://security-tracker.debian.org/tracker/CVE-2009-4538";>CVE-2009-4538</a> <p> Fabian Yamaguchi a signalé des problèmes dans les pilotes e1000 et e1000e pour les adaptateurs réseau Intel Gigabit qui permettent aux utilisateurs distants de contourner les filtres de paquets en utilisant des trames Ethernet contrefaites pour l'occasion. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0003";>CVE-2010-0003</a> <p> Andi Kleen a signalé un défaut qui permet aux utilisateurs locaux d'obtenir le droit de lire la mémoire accessible par le noyau lorsque l'option print-fatal-signals est activée. Cette option est désactivée par défaut. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0007";>CVE-2010-0007</a> <p> Florian Westphal a signalé un manque de vérification de capacité dans le sous-système Netfilter ebtables. Si le module ebtables est chargé, des utilisateurs locaux peuvent ajouter et modifier les règles ebtables. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0291";>CVE-2010-0291</a> <p> Al Viro a signalé plusieurs problèmes avec les appels système mmap et mremap qui permettent aux utilisateurs locaux de provoquer un déni de service (panique du système) ou d'augmenter leurs droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0410";>CVE-2010-0410</a> <p> Sebastian Krahmer a découvert un problème dans le sous-système connector de netlink qui permet aux utilisateurs locaux d'allouer une grande partie de mémoire système, avec pour conséquence un déni de service (plus de mémoire). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0415";>CVE-2010-0415</a> <p> Ramon de Carvalho Valle a découvert un problème dans l'interface sys_move_pages, limité aux architectures amd64, ia64 et powerpc64 de Debian. Des utilisateurs locaux peuvent exploiter ce problème et provoquer un déni de service (plantage du système) ou accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0622";>CVE-2010-0622</a> <p> Jerome Marchand a signalé un problème dans le sous-système futex qui permet à un utilisateur local de forcer un état futex non valable avec pour conséquence un déni de service (oops). </p></li> </ul> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 2.6.24-6~etchnhalf.9etch3.</p> <p>Nous vous recommandons de mettre à jour vos paquets linux-2.6.24.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2005.data" # $Id: dsa-2005.wml,v 1.2 2011-09-20 15:49:03 taffit Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Augmentation de droits, déni de service</define-tag> <define-tag moreinfo> <p> Remarque : cette mise à jour du noyau marque la fin prévue des mises à jour de sécurité du noyau 2.6.18 de Debian <q>Etch</q>. Bien que le suivi en sécurité d'<q>Etch</q> se soit officiellement terminé le 15 février 2010, cette mise à jour était déjà en préparation avant cette date. Une dernière mise à jour comprenant les correctifs de ces problèmes pour le noyau 2.6.24 est aussi en préparation et sera bientôt publiée. </p> <p> Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à un déni de service ou une augmentation de droits. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3080";>CVE-2009-3080</a> <p> Dave Jones a signalé un problème dans le pilote SCSI gdth SCSI. Un manque de vérification des index négatifs lors d'un appel ioctl pourrait être exploité par des utilisateurs locaux pour créer un déni de service ou éventuellement augmenter leurs droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3726";>CVE-2009-3726</a> <p> Trond Myklebust a signalé un problème où un serveur NFS malveillant pourrait provoquer une condition de déni de service sur ses clients en renvoyant des attributs incorrects lors d'un appel ouvert. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4005";>CVE-2009-4005</a> <p> Roel Kluin a découvert un problème dans le pilote hfc_usb, un pilote ISDN pour les puces USB HFC-S Colognechip. Un éventuel dépassement de lecture existe, ce qui pourrait permettre aux utilisateurs distants de provoquer une condition de déni de service (oops). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4020";>CVE-2009-4020</a> <p> Amerigo Wang a découvert un problème dans le système de fichiers HFS qui pourrait permettre un déni de service par un utilisateur local avec suffisamment de droits pour monter un système de fichiers contrefait pour l'occasion. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4021";>CVE-2009-4021</a> <p> Anana V. Avati a découvert un problème dans le sous-système fuse. Si le système est suffisamment bas en mémoire, un utilisateur local peut forcer le noyau à déréférencer un pointeur non valable, avec pour conséquence un déni de service (oops) et éventuellement une augmentation de droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4536";>CVE-2009-4536</a> <p> Fabian Yamaguchi a signalé un problème dans le pilote e1000 pour les adaptateurs réseau Intel Gigabit qui permet aux utilisateurs distants de contourner les filtres de paquets en utilisant des trames Ethernet contrefaites pour l'occasion. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0007";>CVE-2010-0007</a> <p> Florian Westphal a signalé un manque de vérification de capacité dans le sous-système Netfilter ebtables. Si le module ebtables est chargé, des utilisateurs locaux peuvent ajouter et modifier les règles ebtables. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0410";>CVE-2010-0410</a> <p> Sebastian Krahmer a découvert un problème dans le sous-système connector de netlink qui permet aux utilisateurs locaux d'allouer une grande partie de mémoire système, avec pour conséquence un déni de service (plus de mémoire). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0415";>CVE-2010-0415</a> <p> Ramon de Carvalho Valle a découvert un problème dans l'interface sys_move_pages, limité aux architectures amd64, ia64 et powerpc64 de Debian. Des utilisateurs locaux peuvent exploiter ce problème et provoquer un déni de service (plantage du système) ou accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0622";>CVE-2010-0622</a> <p> Jerome Marchand a signalé un problème dans le sous-système futex qui permet à un utilisateur local de forcer un état futex non valable avec pour conséquence un déni de service (oops). </p></li> </ul> <p> Cette mise à jour corrige aussi une régression introduite lors d'une mise à jour de sécurité précédente qui provoquait des problèmes d'amorçage sur certains systèmes s390. </p> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 2.6.18.dfsg.1-26etch2.</p> <p>Nous vous recommandons de mettre à jour vos paquets linux-2.6, fai-kernels et user-mode-linux.</p> <p>Le tableau suivant liste les paquets supplémentaires qui ont été reconstruits à des fins de compatibilité ou pour tirer parti de cette mise à jour :</p> <div class="centerdiv"><table cellspacing="0" cellpadding="2"> <tr><th> </th> <th>Debian 4.0 (Etch)</th></tr> <tr><td>fai-kernels</td><td>1.17+etch.26etch2</td></tr> <tr><td>user-mode-linux</td><td>2.6.18-1um-2etch.26etch2</td></tr> </table></div> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2003.data" # $Id: dsa-2003.wml,v 1.2 2011-09-20 15:49:03 taffit Exp $
#use wml::debian::translation-check translation="1.4" maintainer="David Prévot" <define-tag description>Augmentation de droits, déni de service, fuite de mémoire sensible</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à un déni de service, une fuite de mémoire sensible ou une augmentation de droits. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3939";>CVE-2009-3939</a> <p> Joseph Malicki a signalé que l'attribut dbg_lvl de Sysfs du pilote de périphérique megaraid_sas était accessible en écriture à tout le monde, permettant aux utilisateurs locaux de modifier les réglages de journalisation. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4027";>CVE-2009-4027</a> <p> Lennert Buytenhek a signalé une compétition dans le sous-système mac80211 qui pourrait permettre aux utilisateurs distants de provoquer un déni de service (plantage du système) sur un système connecté au même réseau sans fil. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4536";>CVE-2009-4536</a> <a href="http://security-tracker.debian.org/tracker/CVE-2009-4538";>CVE-2009-4538</a> <p> Fabian Yamaguchi a signalé des problèmes dans les pilotes e1000 et e1000e pour les adaptateurs réseau Intel Gigabit qui permettent aux utilisateurs distants de contourner les filtres de paquets en utilisant des trames Ethernet contrefaites pour l'occasion. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0003";>CVE-2010-0003</a> <p> Andi Kleen a signalé un défaut qui permet aux utilisateurs locaux d'obtenir le droit de lire la mémoire accessible par le noyau lorsque l'option print-fatal-signals est activée. Cette option est désactivée par défaut. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0007";>CVE-2010-0007</a> <p> Florian Westphal a signalé un manque de vérification de capacité dans le sous-système Netfilter ebtables. Si le module ebtables est chargé, des utilisateurs locaux peuvent ajouter et modifier les règles ebtables. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0291";>CVE-2010-0291</a> <p> Al Viro a signalé plusieurs problèmes avec les appels système mmap et mremap qui permettent aux utilisateurs locaux de provoquer un déni de service (panique du système) ou d'augmenter leurs droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0298";>CVE-2010-0298</a> <a href="http://security-tracker.debian.org/tracker/CVE-2010-0306";>CVE-2010-0306</a> <p> Gleb Natapov a découvert des problèmes dans le sous-système KVM où des vérifications de permission manquantes (CPL/IOPL) permettent à un utilisateur de système client de provoquer un déni de service de client (plantage du système) ou d'augmenter ses droits dans le client. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0307";>CVE-2010-0307</a> <p> Mathias Krause a signalé un problème avec le code load_elf_binary dans les noyaux de l'architecture amd64 qui permet aux utilisateurs locaux de provoquer un déni de service (plantage du système). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0309";>CVE-2010-0309</a> <p> Marcelo Tosatti a corrigé un problème dans le code d'émulation PIT du sous-système KVM permettant aux utilisateurs ayant des droits dans un système client de provoquer un déni de service (plantage) du système hôte. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0410";>CVE-2010-0410</a> <p> Sebastian Krahmer a découvert un problème dans le sous-système connector de netlink qui permet aux utilisateurs locaux d'allouer une grande partie de mémoire système, avec pour conséquence un déni de service (plus de mémoire). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0415";>CVE-2010-0415</a> <p> Ramon de Carvalho Valle a découvert un problème dans l'interface sys_move_pages, limité aux architectures amd64, ia64 et powerpc64 de Debian. Des utilisateurs locaux peuvent exploiter ce problème et provoquer un déni de service (plantage du système) ou accéder à la mémoire sensible du noyau. </p></li> </ul> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.6.26-21lenny3.</p> <p> Pour la distribution oldstable (Etch), ces problèmes, quand ils s'appliquaient, ont été corrigés dans les mises à jour de linux-2.6 et linux-2.6.24. </p> <p>Nous vous recommandons de mettre à jour vos paquets linux-2.6 et user-mode-linux.</p> <p> Remarque : Debian suit soigneusement tous les problèmes de sécurité connus concernant les noyaux Linux de toutes les distributions activement suivies en sécurité. Cependant, en raison de la fréquence importante à laquelle des problèmes de sécurité de faible importance sont découverts dans le noyau et les ressources nécessaires pour réaliser une mise à jour, les mises à jour de faible importance ne seront généralement pas publiées pour tous les noyaux en même temps. � la place, elles seront publiées de façon échelonnée ou à <q>saute-mouton</q>. </p> <p>Le tableau suivant liste les paquets supplémentaires qui ont été reconstruits à des fins de compatibilité ou pour tirer parti de cette mise à jour :</p> <div class="centerdiv"><table cellspacing="0" cellpadding="2"> <tr><th> </th> <th>stable/lenny</th></tr> <tr><td>user-mode-linux</td> <td>2.6.26-1um-2+21lenny3</td></tr> </table></div> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-1996.data" # $Id: dsa-1996.wml,v 1.3 2011-09-25 13:41:48 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature