Salut, Une annonce de sécurité a été publiée, et j'en ai traduit une plus ancienne, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Augmentation de droits, déni de service</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans le noyau Linux, qui pourraient conduire à un déni de service ou une augmentation de droits. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-4086";>CVE-2011-4086</a> <p> Eric Sandeen a signalé un problème dans la couche de journalisation des systèmes de fichiers ext4 (jbd2). Des utilisateurs locaux peuvent forcer des accès aux tampons après qu'ils aient été détruits, provoquant un déni de service (DoS) à cause d'un plantage système. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0879";>CVE-2012-0879</a> <p> Louis Rilling a signalé deux problèmes de comptage de référence dans la fonctionnalité CLONE_IO du noyau. Des utilisateurs locaux peuvent empêcher les structures en contexte io d'être libérées, avec pour conséquence un déni de service. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-1601";>CVE-2012-1601</a> <p> Michael Ellerman a signalé un problème dans le sous-système KVM. Des utilisateurs locaux pourraient provoquer un déni de service (déréférencement de pointeur NULL) en créant des processeurs virtuels avant un appel à KVM_CREATE_IRQCHIP. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-2123";>CVE-2012-2123</a> <p> Steve Grubb a signalé un problème dans fcaps, un système de capacités basé sur un système de fichiers. Les drapeaux de personnalité définis en utilisant ce mécanisme, comme la désactivation des attributions aléatoires de l'espace d'adresse, peuvent persister entre les appels SUID. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-2133";>CVE-2012-2133</a> <p> Shachar Raindel a découvert un bogue d'utilisation de mémoire après libération dans l'implémentation de quota des pages immenses. Des utilisateurs locaux ayant le droit d'utiliser des pages immenses à l'aide de l'implémentation hugetlbfs pourraient être capables de provoquer un déni de service (plantage du système). </p></li> </ul> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.6.32-44. Les mises à jour ne sont actuellement disponibles que pour les portages amd64, i386 et sparc. </p> <p> <strong>Remarque</strong> : les paquets linux-2.6 mis à jour seront aussi disponibles avec la publication de Debian 6.0.5, prévue le weekend du 12 mai. Cette mise à jour en attente aura pour version 2.6.32-45, et fournira un correctif supplémentaire pour les échecs de construction sur certaines architectures. Les utilisateurs pour lesquels cette mise à jour n'est pas critique, et qui préfèrent éviter plusieurs redémarrages, peuvent attendre la publication de la version 6.0.5 avant de mettre à jour, ou installer la version 2.6.32-45 en avance à partir de proposed-updates. </p> <p>Le tableau suivant indique la liste des paquets supplémentaires qui ont été reconstruits à des fins de compatibilité ou pour tirer parti de cette mise à jour :</p> <div class="centerdiv"> <table cellspacing="0" cellpadding="2"> <tr> <th> </th> <th>Debian 6.0 (Squeeze)</th> </tr> <tr> <td>user-mode-linux</td> <td>2.6.32-1um-4+44</td> </tr> </table> </div> <p>Nous vous recommandons de mettre à jour vos paquets linux-2.6 et user-mode-linux.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2469.data" # $Id: dsa-2469.wml,v 1.1 2012-05-10 17:02:24 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Validation des entrées insuffisante</define-tag> <define-tag moreinfo> <p> cURL, un client et une bibliothèque pour obtenir des fichiers depuis un serveur HTTP, HTTPS ou FTP, est vulnérable aux attaques de préfixe NULL sur les certificats SSL et TLS (<q>Null Prefix Attacks Against SSL/TLS Certificates</q>) publiées récemment lors de la conférence Blackhat. Cela permet à un attaquant de réaliser des attaques non détectées en homme au milieu à l'aide d'un certificat X.509 ITU-T contrefait contenant un octet NULL injecté dans le champ Common Name. </p> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 7.15.5-1etch3.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 7.18.2-8lenny3.</p> <p>Pour les distributions testing (Squeeze) et unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets curl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1869.data" # $Id: dsa-1869.wml,v 1.1 2009-08-19 23:56:30 spaillard Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature