[RFR] wml://security/2021/dsa-4978.wml
Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="cb61e48c0b590145d526b25534c156232550c9c0" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans noyau Linux qui
pourraient conduire à une élévation de privilèges, un déni de service ou à
des fuites d'informations.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-3702";>CVE-2020-3702</a>
<p>Un défaut a été découvert dans le pilote pour la famille de puces
Atheros IEEE 802.11n (ath9k) permettant une divulgation d'informations.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-16119";>CVE-2020-16119</a>
<p>Hadar Manor a signalé une utilisation de mémoire après libération dans
l'implémentation du protocole DCCP dans le noyau Linux. Un attaquant local
peut tirer avantage de ce défaut pour provoquer un déni de service ou
éventuellement pour exécuter du code arbitraire.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3653";>CVE-2021-3653</a>
<p>Maxim Levitsky a découvert une vulnérabilité dans l'implémentation de
l'hyperviseur KVM pour les processeurs AMD dans le noyau Linux : l'absence
de validation du champ « int_ctl » de VMCB pourrait permettre à client L1
malveillant d'activer la prise en charge d'AVIC (Advanced Virtual Interrupt
Controller) pour le client L2. Le client L2 peut tirer avantage de ce
défaut pour écrire dans un sous-ensemble limité mais néanmoins relativement
grand de la mémoire physique de l'hôte.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3656";>CVE-2021-3656</a>
<p>Maxim Levitsky et Paolo Bonzini ont découvert un défaut dans
l'implémentation de l'hyperviseur KVM pour les processeurs AMD dans le
noyau Linux. L'absence de validation du champ « virt_ext » de VMCB pourrait
permettre à un client L1 malveillant de désactiver à la fois les
interceptions des instructions VMLOAD/VMSAVE et VLS (VMLOAD/VMSAVE
virtuels) pour le client L2. Dans ces circonstances, le client L2 peut
exécuter des instructions VMLOAD/VMSAVE non interceptées et donc lire et
écrire des portions de la mémoire physique de l'hôte.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3679";>CVE-2021-3679</a>
<p>Un défaut dans la fonctionnalité du module de traçage du noyau Linux
pourrait permettre à un utilisateur local privilégié (doté de la capacité
CAP_SYS_ADMIN) de provoquer un déni de service (saturation des ressources).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3732";>CVE-2021-3732</a>
<p>Alois Wohlschlager a signalé un défaut dans l'implémentation du
sous-système overlayfs, permettant à un attaquant local, doté des
privilèges pour monter un système de fichiers, de révéler des fichiers
cachés dans le montage d'origine.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3739";>CVE-2021-3739</a>
<p>Un défaut de déréférencement de pointeur NULL a été découvert dans le
système de fichier btrfs, permettant à un attaquant local doté de la
capacité CAP_SYS_ADMIN de provoquer un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3743";>CVE-2021-3743</a>
<p>Une lecture de mémoire hors limites a été découverte dans
l'implémentation du protocole du routeur IPC de Qualcomm, permettant de
provoquer un déni de service ou une fuite d'informations.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3753";>CVE-2021-3753</a>
<p>Minh Yuan a signalé une situation de compétition dans vt_k_ioctl dans
rivers/tty/vt/vt_ioctl.c, qui peut provoquer une lecture hors limites dans
le terminal virtuel.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-37576";>CVE-2021-37576</a>
<p>Alexey Kardashevskiy a signalé un dépassement de tampon dans le
sous-système KVM sur les plateformes powerpc. Cela permet aux utilisateurs
du système d'exploitation client de KVM de provoquer une corruption de
mémoire sur l'hôte.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-38160";>CVE-2021-38160</a>
<p>Un défaut a été découvert dans virtio_console permettant la corruption
ou la perte de données par un périphérique non fiable.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-38166";>CVE-2021-38166</a>
<p>Un défaut de dépassement d'entier dans le sous-système BPF pourrait
permettre à un attaquant local de provoquer un déni de service ou
éventuellement l'exécution de code arbitraire. Ce défaut est atténué par
défaut dans Debian parce que les appels à bpf() sans privilège sont
désactivés.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-38199";>CVE-2021-38199</a>
<p>Michael Wakabayashi a signalé un défaut dans l'implémentation du client
NFSv4, ou l'ordre incorrect des réglages de connexion permet aux opérations
d'un serveur NFSv4 distant de provoquer un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-40490";>CVE-2021-40490</a>
<p>Une situation de compétition a été découverte dans le sous-système ext4
lors de l'écriture dans un fichier inline_data alors que ses attributs
étendus sont modifiés. Cela pourrait avoir pour conséquence un déni de
service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-41073";>CVE-2021-41073</a>
<p>Valentina Palmiotti a découvert un défaut dans io_uring permettant à un
attaquant local d'augmenter ses privilèges.</p></li>
</ul>
<p>Pour la distribution stable (Bullseye), ces problèmes ont été corrigés
dans la version 5.10.46-5. Cette mise à jour inclut des correctifs pour les
bogues nº993948 et nº993978.</p>
<p>Nous vous recommandons de mettre à jour vos paquets linux.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de linux, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/linux";>\
https://security-tracker.debian.org/tracker/linux</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2021/dsa-4978.data"
# $Id: $
Reply to: