[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[LCFC] wml://security/201{0/dsa-2083,0/dsa-2084,1/dsa-2310}.wml + doute sur « leap-frog » → « saute mouton »



Le 25/09/2011 06:37, Bastien Scher a écrit :

> Voilà deux petites choses.

Merci, j'ai même pu corriger quelques occurrences des mêmes erreurs dans
de plus vieux fichiers.

> Aussi, j'ai du mal à comprendre ce qu'est une publication « à
> saute-mouton » à la fin du dsa-2310. Je ne sais pas si les anglophones
> natifs comprennent plus facilement que moi en lisant "rather, they will
> be released in a staggered or 'leap-frog' fashion", mais qu'elle soit
> dans la vo ou dans la vf je pense qu'une clarification ne peut pas faire
> de mal.

Le contexte me parait suffisamment clair : cette expression n'est
utilisée que pour imager le « staggered […] fashion » (« façon
échelonnée »). S'il y a une proposition plus pertinente pour la version
française, je veux bien l'appliquer. Pour la version originale, il
faudrait en parler à l'équipe du noyau (et à celle de sécurité), de
préférence avec une proposition aussi, voire en incluant l'équipe de
localisation en anglais pour aider à faire une proposition pertinente.

Amicalement

David

#use wml::debian::translation-check translation="1.3" maintainer="David Prévot"
<define-tag description>Augmentation de droits, déni de service, fuite d'informations</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités découvertes dans le noyau Linux pourraient conduire
à une augmentation de droits, un déni de service ou une fuite d'informations.

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4067";>CVE-2009-4067</a>
<p>
Rafael Dominguez Vega de MWR InfoSecurity a signalé un problème
dans le module auerswald, un pilote pour les périphériques USB
d'autocommutateur (PBX) et système téléphonique Auerswald.

Les attaquants avec un accès physique aux ports USB du
système pourraient augmenter leurs droits en utilisant
un périphérique USB contrefait pour l'occasion.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0712";>CVE-2011-0712</a>
<p>
Rafael Dominguez Vega de MWR InfoSecurity a signalé un problème
dans le module caiaq, un pilote pour les périphériques USB
audio de Native Instruments.

Les attaquants avec un accès physique aux ports USB du
système pourraient augmenter leurs droits en utilisant
un périphérique USB contrefait pour l'occasion.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1020";>CVE-2011-1020</a>
<p>
Kees Cook a découvert un problème dans le système de fichiers /proc
qui permet aux utilisateurs locaux d'accéder aux informations
sensibles de processus après exécution d'un binaire setuid.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2209";>CVE-2011-2209</a>
<p>
Dan Rosenberg a découvert un problème dans l'appel
système osf_sysinfo() sur l'architecture alpha.

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2211";>CVE-2011-2211</a>
<p>
Dan Rosenberg a découvert un problème dans l'appel
système osf_wait4() sur l'architecture alpha permettant
aux utilisateurs locaux d'augmenter leurs droits.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2213";>CVE-2011-2213</a>
<p>
Dan Rosenberg a découvert un problème dans
l'interface de supervision de la socket INET.

Des utilisateurs locaux pourraient provoquer un déni de service en
injectant du code et en forçant le noyau à exécuter une boucle infinie.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2484";>CVE-2011-2484</a>
<p>
Vasiliy Kulikov d'Openwall a découvert que le nombre de
gestionnaires de sortie qu'un processus peut enregistrer n'est pas
restreint, avec pour conséquence un déni de service local à l'aide
d'un épuisement de ressources (temps de microprocesseur et mémoire).
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2491";>CVE-2011-2491</a>
<p>
Vasily Averin a découvert un problème avec
l'implémentation de verrouillage NFS.

Un serveur NFS malveillant peut forcer un client a être
suspendu indéfiniment dans un appel de déverrouillage.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2492";>CVE-2011-2492</a>
<p>
Marek Kroemeke et Filip Palian ont découvert que des éléments struct non
initialisés dans le sous-système Bluetooth pourraient conduire à une fuite
de mémoire sensible du noyau à l'aide d'une fuite de la pile mémoire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2495";>CVE-2011-2495</a>
<p>
Vasiliy Kulikov d'Openwall a découvert que tout le monde pouvait lire le
fichier io du répertoire proc d'un processus, avec pour conséquence une
divulgation d'informations locales comme les longueurs de mot de passe.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2496";>CVE-2011-2496</a>
<p>
Robert Swiecki a découvert que mremap() pourrait être utilisé pour
provoquer un déni de service local en déclenchant une assertion BUG_ON.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2497";>CVE-2011-2497</a>
<p>
Dan Rosenberg a découvert un débordement d'entier par le bas
dans le sous-système Bluetooth, ce qui pourrait conduire à
un déni de service ou une augmentation de droits.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2525";>CVE-2011-2525</a>
<p>
Ben Pfaff a signalé un problème dans le code d'ordonnancement du réseau.

Un utilisateur local pourrait provoquer un déni de service (déréférencement
de pointeur NULL) en envoyant un message netlink contrefait pour l'occasion.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2928";>CVE-2011-2928</a>
<p>
Timo Warns a découvert qu'une vérification insuffisante des images
de système de fichiers BFS pourrait conduire à un déni de service
local si une image de système de fichiers contrefaite est montée.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3188";>CVE-2011-3188</a>
<p>
Dan Kaminsky a signalé une faiblesse dans la création de
la suite de nombres de l'implémentation du protocole TCP.

Cela peut être utilisé par des attaquants distants
pour injecter des paquets dans une session active.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3191";>CVE-2011-3191</a>
<p>
Darren Lavender a signalé un problème dans le système de fichiers CIFS.

Un serveur de fichier malveillant pourrait provoquer une
corruption de mémoire entraînant un déni de service.
</p></li>

</ul>

<p>
Cette mise à jour contient aussi un correctif pour une régression
introduite dans le précédent correctif de sécurité pour <a
href="http://security-tracker.debian.org/tracker/CVE-2011-1768";>CVE-2011-1768</a>
(<a href="http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=633738";>\
bogue Debian nº 633738</a>).
</p>

<p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2.6.26-26lenny4.

Les mises à jour pour les architectures arm et alpha ne sont
pas encore disponibles, mais seront publiées dès que possible.

Les mises à jour pour les architectures hppa et ia64 seront
inclues à la mise à jour imminente de Debian 5.0.9.
</p>

<p>Le tableau suivant liste les paquets supplémentaires qui ont été reconstruits à des fins de compatibilité ou pour tirer parti de cette mise à jour :</p>

<div class="centerdiv"><table cellspacing="0" cellpadding="2">
<tr><th>&nbsp;</th> <th>Debian 5.0 (Lenny)</th></tr>
<tr><td>user-mode-linux</td><td>2.6.26-1um-2+26lenny4</td></tr>
</table></div>

<p>
Nous vous recommandons de mettre à jour vos paquets linux-2.6 et user-mode-linux.

Ces mises à jour ne deviendront actives qu'après le redémarrage du système.
</p>

<p>
Remarque : Debian suit soigneusement tous les problèmes
de sécurité connus concernant les noyaux Linux de toutes
les distributions activement suivies en sécurité.

Cependant, en raison de la fréquence importante à laquelle des
problèmes de sécurité de faible importance sont découverts
dans le noyau et les ressources nécessaires pour réaliser une
mise à jour, les mises à jour de faible importance ne seront
généralement pas publiées pour tous les noyaux en même temps.

� la place, elles seront publiées de façon échelonnée ou à <q>saute-mouton</q>.
</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2310.data"
# $Id: dsa-2310.wml,v 1.3 2011-09-25 13:41:49 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Débordements d'entier</define-tag>
<define-tag moreinfo>
<p>
Kevin Finisterre a découvert que plusieurs débordements d'entier dans la
bibliothèque TIFF pourraient conduire à l'exécution de code arbitraire.
</p>

<p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 3.8.2-11.3.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.9.4-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tiff.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2084.data"
# $Id: dsa-2084.wml,v 1.2 2011-09-25 13:41:49 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Absence de vérification des entrées</define-tag>
<define-tag moreinfo>
<p>
MoinMoin, un clone en Python de WikiWiki, ne vérifie pas assez
les paramètres en les transmettant à la fonction add_msg.

Cela permet aux attaquants distants de réaliser des attaques par
script intersite (XSS) par exemple à l'aide du paramètre template.
</p>


<p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.7.1-3+lenny5.</p>

<p>Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.9.3-1.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2083.data"
# $Id: dsa-2083.wml,v 1.1 2011-09-23 21:46:26 taffit Exp $

Attachment: signature.asc
Description: OpenPGP digital signature


Reply to: