Salut, Quelques mises à jour de sécurité ont été mises en ligne, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans KVM, un système de virtualisation complet pour matériel x86, Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-2652";>CVE-2012-2652</a>: <p> Le mode instantané (« snapshot ») de QEMU (-snapshot) ne traite pas correctement les fichiers temporaires utilisés pour garder les états en cours, le rendant vulnérable aux attaques de lien symbolique (y compris l'écrasement de fichier arbitraire et la divulgation d'informations du client) à cause d'une situation de compétition. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-3515";>CVE-2012-3515</a>: <p> QEMU ne traite pas correctement les suites d'échappement VT100 lors de l'émulation de certains périphériques avec un moteur de console virtuelle. Un attaquant dans un client ayant accès à la console virtuelle vulnérable pourrait écraser la mémoire de QEMU et augmenter ses droits à ceux du processus qemu. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 0.12.5+dfsg-5+squeeze9.</p> <p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes seront corrigés prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2542.data" # $Id: dsa-2542.wml,v 1.1 2012-09-08 22:55:30 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans xen-qemu-dm-4.0, l'émulateur matériel de machine virtuelle de Xen QEMU Device Model. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-3515";>CVE-2012-3515</a>: <p> Le modèle de périphérique pour les domaines HVM ne traite pas correctement les suites d'échappement VT100 lors de l'émulation de certains périphériques avec un moteur de console virtuelle. Un attaquant dans un client ayant accès à la console virtuelle vulnérable pourrait écraser la mémoire de QEMU et augmenter ses droits à ceux du processus de modèle de périphérique. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4411";>CVE-2012-4411</a>: <p> Le moniteur QEMU a été activé par défaut, permettant aux administrateurs d'un client d'accéder aux ressources de l'hôte, d'augmenter éventuellement leurs droits ou d'accéder aux ressources appartenant à un autre client. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 4.0.1-2+squeeze2.</p> <p>La distribution testing (Wheezy) et la distribution unstable (Sid) ne contiennent pas ce paquet.</p> <p>Nous vous recommandons de mettre à jour vos paquets xen-qemu-dm-4.0.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2543.data" # $Id: dsa-2543.wml,v 1.1 2012-09-08 22:55:30 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités de déni de service ont été découvertes dans Xen, un hyperviseur. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-3494";>CVE-2012-3494</a>: <p> set_debugreg permet des écritures sur les bits réservés du registre de contrôle de débogage DR7 sur les hôtes amd64 (x86-64) paravirtualisés, permettant à un client de planter l'hôte. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-3496";>CVE-2012-3496</a>: <p> Matthew Daley a découvert que dans XENMEM_populate_physmap, quand il est appelé avec le paramètre MEMF_populate_on_demand activé, un bogue (routine de détection) peut être déclenché si un mode de pagination de traduction n'est pas utilisé, permettant à un client de planter l'hôte. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 4.0.1-5.4.</p> <p>Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.1.3-2.</p> <p>Nous vous recommandons de mettre à jour vos paquets xen.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2544.data" # $Id: dsa-2544.wml,v 1.1 2012-09-08 22:55:30 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans QEMU, un émulateur de processeur rapide. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-2652";>CVE-2012-2652</a>: <p> Le mode instantané (« snapshot ») de QEMU (-snapshot) ne traite pas correctement les fichiers temporaires utilisés pour garder les états en cours, le rendant vulnérable aux attaques de lien symbolique (y compris l'écrasement de fichier arbitraire et la divulgation d'informations du client) à cause d'une situation de compétition. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-3515";>CVE-2012-3515</a>: <p> QEMU ne traite pas correctement les suites d'échappement VT100 lors de l'émulation de certains périphériques avec un moteur de console virtuelle. Un attaquant dans un client ayant accès à la console virtuelle vulnérable pourrait écraser la mémoire de QEMU et augmenter ses droits à ceux du processus qemu. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 0.12.5+dfsg-3squeeze2.</p> <p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes seront corrigés prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2545.data" # $Id: dsa-2545.wml,v 1.1 2012-09-08 22:55:30 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature