[RFR2] wml://security/2015/dsa-334{7,8,9}.wml
Bonjour,
Le 03/09/2015 11:56, Baptiste Jammet a écrit :
> Bonjour,
> Le 03/09/2015 09:22, jean-pierre giraud a écrit :
>> trois nouvelles annonces de sécurité viennent d'être publiées. En voici
>> une traduction.
>> Merci d'avance pour vos relectures.
> Dans la dsa-3348 :
> s/Alibaba Inc/Alibaba Inc./
> RàS sinon.
> Baptiste
Corrections appliquées. Merci d'avance de vos nouvelles relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans qemu, un émulateur de
processeur rapide.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3214";>CVE-2015-3214</a>
<p>Matt Tait de l'équipe de sécurité de Google's Project Zero a découvert
un défaut dans l'émulation du PIT i8254 de QEMU. Un utilisateur client
privilégié dans un client avec une émulation PIT de QEMU activée pourrait
éventuellement utiliser ce défaut pour exécuter du code arbitraire sur
l'hôte avec les privilèges du processus hôte de QEMU.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5154";>CVE-2015-5154</a>
<p>Kevin Wolf de Red Hat a découvert un défaut de dépassement de tampon de
tas dans le sous-système IDE de QEMU lors du traitement de certaines
commandes ATAPI. Un utilisateur client privilégié dans un client muni d'un
lecteur de CDROM activé pourrait utiliser éventuellement ce défaut pour
exécuter du code arbitraire sur l'hôte avec les privilèges du processus
hôte de QEMU.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5165";>CVE-2015-5165</a>
<p>Donghai Zhu a découvert que le modèle de QEMU de la carte réseau RTL8139
ne validait pas suffisamment les entrées dans l'émulation du mode offload
de C+, permettant à un client malveillant la lecture de mémoire non
initialisée dans le tas du processus de QEMU.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5225";>CVE-2015-5225</a>
<p>Mr Qinghao Tang de QIHU 360 Inc. et Mr Zuozhi d'Alibaba Inc. ont
découvert un défaut de dépassement de tampon dans le pilote d'affichage VNC
menant à la corruption de mémoire de tas. Un utilisateur client privilégié
pourrait utiliser ce défaut pour monter un déni de service (plantage du
processus QEMU), ou éventuellement pour exécuter du code arbitraire sur
l'hôte avec les privilèges du processus hôte de QEMU.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5745";>CVE-2015-5745</a>
<p>Une vulnérabilité de dépassement de tampon a été découverte dans la
manière dont QEMU traite le périphérique virtio-serial. Un client
malveillant pourrait utiliser ce défaut pour monter un déni de service
(plantage du processus QEMU).</p></li>
</ul>
<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés
dans la version 1.1.2+dfsg-6a+deb7u9. La distribution oldstable est
seulement affectée par <a href="https://security-tracker.debian.org/tracker/CVE-2015-5165";>CVE-2015-5165</a>
et <a href="https://security-tracker.debian.org/tracker/CVE-2015-5745";>CVE-2015-5745</a>.</p>
<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1:2.1+dfsg-12+deb8u2.</p>
<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:2.4+dfsg-1a.</p>
<p>Nous vous recommandons de mettre à jour vos paquets qemu.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3348.data"
# $Id: dsa-3348.wml,v 1.2 2015/09/04 06:19:27 jipege1-guest Exp $
Reply to: