Bonjour, On 12/10/2013 22:21, Baptiste Jammet wrote: > Quelques typos. Merci Baptiste, j'ai tout pris sauf ta suggestion pour dsa-2776 puisque « résultant » est un participe présent. Amicalement, Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Augmentation de droits/déni de service</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans le noyau FreeBSD qui pourraient conduire à un déni de service ou à une augmentation de droits. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-5691";>CVE-2013-5691</a> <p>Loganaden Velvindron et Gleb Smirnoff ont découvert que les requêtes ioctl SIOCSIFADDR, SIOCSIFBRDADDR, SIOCSIFDSTADDR et SIOCSIFNETMASK ne réalisent pas d'entrée de validation et ne vérifient pas l'identité de l'appelant. Un utilisateur sans droit ayant la capacité de lancer du code arbitraire pourrait forcer toute interface réseau du système à réaliser les actions de liens de couches associées avec les requêtes ioctl mentionnées ou déclencher un <q>kernel panic</q> en passant une structure d'adresse contrefaite pour l'occasion causant un déréférencement de pointeur invalide par un pilote d'interface réseau.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-5710";>CVE-2013-5710</a> <p>Konstantin Belousov a découvert que l'implémentation nullfs(5) de l'opération VFS VOP_LINK(9) ne vérifie pas si la source et la cible du lien sont dans la même instance nullfs. Il est donc possible de créer un lien d'un emplacement dans une instance nullfs vers un fichier dans une autre instance, tant que le système de fichiers sous-jacent est le même. Si de multiples vues nullfs dans le même système de fichiers sont montées à différents emplacements, un utilisateur pourrait obtenir accès à des fichiers dans un système de fichier en lecture seule.</p></li> </ul> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 9.0-10+deb70.4.</p> <p>Nous vous recommandons de mettre à jour vos paquets kfreebsd-9.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2769.data" # $Id: dsa-2769.wml,v 1.2 2013/10/14 14:17:43 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Contournement d'authentification</define-tag> <define-tag moreinfo> <p>John Fitzpatrick de MWR InfoSecurity a découvert une vulnérabilité de contournement d'authentification dans torque, un système de file d'attente de traitement par lot dérivé de PBS.</p> <p>Le modèle d'authentification de torque repose sur l'utilisation de ports privilégiés. Si une requête n'est pas faite depuis un port privilégié, alors elle est considérée non fiable et non authentifiée. Il a été découvert que pbs_mom ne réalise pas de vérification pour assurer que les connexions soient établies depuis un port privilégié.</p> <p>Un utilisateur pouvant lancer des tâches ou se connecter à un nÅ?ud exécutant pbs_server ou pbs_mom peut exploiter cette vulnérabilité exécuter du code à distance en tant que superutilisateur sur la grappe en soumettant une commande directement à un démon pbs_mom pour ajouter une tâche à la file et l'exécuter.</p> <p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 2.4.8+dfsg-9squeeze2.</p> <p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.4.16+dfsg-1+deb7u1.</p> <p>Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets torque.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2770.data" # $Id: dsa-2770.wml,v 1.2 2013/10/14 14:17:43 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités ont été découvertes dans GnuPG (« GNU privacy guard »), un remplacement libre de PGP. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4351";>CVE-2013-4351</a> <p>Lorsqu'une clé ou une sous-clé a tous les flags de son sous-ensemble <q>key flags</q> désactivés, GnuPG traite actuellement la clé comme s'ils étaient tous activés. Cela signifie que quand le détenteur n'autorise aucun usage, GnuPG l'interprète comme si tous les usages étaient permis. De telles clés sont rares et ne sont utilisées qu'en des circonstances très spéciales.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4402";>CVE-2013-4402</a> <p>Une récursion infinie dans l'analyseur de paquet compressé était possible avec une donnée d'entrée contrefaite, ce qui pourrait être utilisé pour provoquer un déni de service.</p></li> </ul> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.4.10-4+squeeze3.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.12-7+deb7u2.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.4.15-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets gnupg.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2773.data" # $Id: dsa-2773.wml,v 1.2 2013/10/14 14:17:43 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités ont été découvertes dans GnuPG (« GNU privacy guard »), un remplacement libre de PGP. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4351";>CVE-2013-4351</a> <p>Lorsqu'une clé ou une sous-clé a tous les flags de son sous-ensemble <q>key flags</q> désactivés, GnuPG traite actuellement la clé comme s'ils étaient tous activés. Cela signifie que quand le détenteur n'autorise aucun usage, GnuPG l'interprète comme si tous les usages étaient permis. De telles clés sont rares et ne sont utilisées qu'en des circonstances très spéciales.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4402";>CVE-2013-4402</a> <p>Une récursion infinie dans l'analyseur de paquet compressé était possible avec une donnée d'entrée contrefaite, ce qui pourrait être utilisé pour provoquer un déni de service.</p></li> </ul> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 2.0.14-2+squeeze2.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.0.19-2+deb7u1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.0.22-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets gnupg2.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2774.data" # $Id: dsa-2774.wml,v 1.2 2013/10/14 14:17:43 tvincent-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature