[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[LCFC] wml://security/2023/dsa-549{2,3,4,5}.wml



Bonjour,
Le dimanche 17 septembre 2023 à 18:05 +0200, Lucien Gentis a écrit :
> Le 12/09/2023 à 16:12, Jean-Pierre Giraud a écrit :
> > Bonjour,
> > Quatre nouvelles annonces de sécurité ont été publiées. En voici une
> Bonjour,
> Quelques détails
> Amicalement
> Lucien
Passage en LCFC. Je renvoie les textes modifiés suivant les suggestions
de Jean-Paul et Lucien. Merci d'avance pour vos ultimes relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="4dd156dbad764dece2e30fa76432932e1cb28d90" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs défauts de déréférencement de pointeur NULL ont été découverts
dans Mutt, un client de messagerie en mode texte, gérant MIME, GPG, PGP et
les fils de discussion. Ils peuvent avoir pour conséquence un déni de
service (plantage d'application) lors de l'affichage d'un courriel
contrefait pour l'occasion ou d'une rédaction à partir d'un brouillon de
message contrefait pour l'occasion.</p>

<p>Pour la distribution oldstable (Bullseye), ces problèmes ont été
corrigés dans la version 2.0.5-4.1+deb11u3.</p>

<p>Pour la distribution stable (Bookworm), ces problèmes ont été corrigés
dans la version 2.2.9-1+deb12u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mutt.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de mutt, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/mutt";>\
https://security-tracker.debian.org/tracker/mutt</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2023/dsa-5494.data"
# $Id: $
#use wml::debian::translation-check translation="09717e0ea581ad172ff0830ca20481230fb24859" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pouvaient conduire à une élévation de privilèges, un déni de service ou des
fuites d'informations.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-1206";>CVE-2023-1206</a>

<p>La pile réseau permettait à des attaquants d'imposer des collisions de
hachage dans la table de recherche de connexions IPv6. Cela pouvait avoir
pour conséquence un déni de service (augmentation significative du coût des
recherches, utilisation accrue du processeur).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-1989";>CVE-2023-1989</a>

<p>Zheng Wang a signalé une situation de compétition dans le pilote btsdio
d’adaptateur Bluetooth, qui pouvait conduire à une utilisation de mémoire
après libération. Un attaquant capable d’insérer ou de retirer des
périphériques SDIO pouvait utiliser cela pour provoquer un déni de service
(plantage ou corruption de mémoire) ou, éventuellement, pour exécuter du
code arbitraire dans le noyau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-2430";>CVE-2023-2430</a>

<p>Xingyuan Mo a découvert que le sous-système io_uring ne gérait pas
correctement le verrouillage quand le tampon circulaire cible était
configuré avec IOPOLL. Cela peut avoir pour conséquence un déni de
service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-2898";>CVE-2023-2898</a>

<p>Le manque de vérifications dans le système de fichiers f2fs pouvait
avoir pour conséquence un déni de service lors de l'accès à un système de
fichiers mal formé.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-3611";>CVE-2023-3611</a>

<p>Une écriture hors limites dans le sous-système de contrôle de trafic
pour l'ordonnanceur « Quick Fair Queueing » (QFQ) pouvait avoir pour
conséquences un déni de service ou une élévation de privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-3772";>CVE-2023-3772</a>

<p>Lin Ma a découvert un défaut de déréférencement de pointeur NULL dans le
sous-système XFRM qui pouvait avoir pour conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-3773";>CVE-2023-3773</a>

<p>Lin Ma a découvert un défaut dans le sous-système XFRM. Cela pouvait
avoir pour conséquence un déni de service pour un utilisateur doté de la
capacité CAP_NET_ADMIN dans n'importe quel espace de noms utilisateur ou
réseau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-3776";>CVE-2023-3776</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2023-4128";>CVE-2023-4128</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2023-4206";>CVE-2023-4206</a>, 
<a href="https://security-tracker.debian.org/tracker/CVE-2023-4207";>CVE-2023-4207</a>, 
<a href="https://security-tracker.debian.org/tracker/CVE-2023-4208";>CVE-2023-4208</a>

<p>Une utilisation de mémoire après libération dans les classificateurs
réseau cls_fw, cls_u32 et cls_route pouvait avoir pour conséquences un déni
de service ou une potentielle élévation locale de privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-3777";>CVE-2023-3777</a>

<p>Kevin Rich a découvert une utilisation de mémoire après libération dans
Netfilter lors du nettoyage des règles de table, qui pouvait avoir pour
conséquence une élévation locale de privilèges pour un utilisateur doté de
la capacité CAP_NET_ADMIN dans n'importe quel espace de noms utilisateur ou
réseau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-3863";>CVE-2023-3863</a>

<p>Une utilisation de mémoire après libération dans l'implémentation de NFC
pouvait avoir pour conséquences un déni de service, une fuite
d'informations ou une potentielle élévation locale de privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-4004";>CVE-2023-4004</a>

<p>Une utilisation de mémoire après libération dans l'implémentation de
Netfilter de PIPAPO (PIle PAcket POlicies) pouvait avoir pour conséquences
un déni de service ou une potentielle élévation locale de privilèges pour
un utilisateur doté de la capacité CAP_NET_ADMIN dans n'importe quel espace
de noms utilisateur ou réseau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-4015";>CVE-2023-4015</a>

<p>Kevin Rich a découvert une utilisation de mémoire après libération dans
Netfilter lors du traitement de la désactivation de la chaîne de liens dans
certaines circonstances, qui pouvait avoir pour conséquences un déni de
service ou une potentielle élévation locale de privilèges pour un
utilisateur doté de la capacité CAP_NET_ADMIN dans n'importe quel espace
de noms utilisateur ou réseau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-4132";>CVE-2023-4132</a>

<p>Une utilisation de mémoire après libération dans le pilote pour les
receveurs MDTV de Siano basés sur SMS1xxx pouvait avoir pour conséquence un
déni de service local.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-4147";>CVE-2023-4147</a>

<p>Kevin Rich a découvert une utilisation de mémoire après libération dans
Netfilter lors de l'ajout d'une règle avec NFTA_RULE_CHAIN_ID, qui pouvait
avoir pour conséquence une élévation locale de privilèges pour un
utilisateur doté de la capacité CAP_NET_ADMIN dans n'importe quel espace de
noms utilisateur ou réseau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-4155";>CVE-2023-4155</a>

<p>Andy Nguyen a découvert un défaut dans le sous-système KVM permettant à
un client KVM utilisant EV-ES ou SEV-SNP de provoquer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-4194";>CVE-2023-4194</a>

<p>Une confusion de type dans l'implémentation des périphériques réseau
TUN/TAP pouvait permettre à un utilisateur local de contourner les filtres
de réseau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-4273";>CVE-2023-4273</a>

<p>Maxim Suhanov a découvert un dépassement de pile dans le pilote exFAT,
qui pouvait avoir pour conséquence un déni de service local à l'aide d'un
système de fichiers mal formé.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-4569";>CVE-2023-4569</a>

<p>Lonial con a découvert un défaut dans le sous-système Netfilter, qui
pouvait permettre à un attaquant local de provoquer une double
désactivation d'éléments <q>catchall</q> qui avait pour conséquence une
fuite de mémoire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-4622";>CVE-2023-4622</a>

<p>Bing-Jhong Billy Jheng a découvert une utilisation de mémoire après
libération dans le composant de sockets du domaine UNIX, qui pouvait avoir
pour conséquence une élévation locale de privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-20588";>CVE-2023-20588</a>

<p>Jana Hofmann, Emanuele Vannacci, Cedric Fournet, Boris Koepf et Oleksii
Oleksenko ont découvert que sur certains processeurs AMD avec la
microarchitecture Zen1, une division d'entier par zéro pouvait laisser des
données de quotient périmées d'une division précédente, avec pour
conséquence éventuelle une fuite de données sensibles.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-34319";>CVE-2023-34319</a>

<p>Ross Lagerwall a découvert un dépassement de tampon dans le pilote
netback de Xen qui pouvait permettre à un client Xen de provoquer un déni
de service de l'hôte de la virtualisation en envoyant des paquets mal
formés.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2023-40283";>CVE-2023-40283</a>

<p>Une utilisation de mémoire après libération a été découverte dans le
traitement du socket L2CAP de Bluetooth.</p></li>

</ul>

<p>Pour la distribution stable (Bookworm), ces problèmes ont été corrigés
dans la version 6.1.52-1. Cette mise à jour est publiée sans les
constructions pour armel. Les modifications dans les nouvelles séries de
stable provoquent une augmentation substantielle de la taille de l'image
compressée pour la variante marvell. Ce problème sera corrigé dans une mise
à jour ultérieure du paquet linux.</p>

<p>Nous vous recommandons de mettre à jour vos paquets linux.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de linux, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/linux";>\
https://security-tracker.debian.org/tracker/linux</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2023/dsa-5492.data"
# $Id: $

Attachment: signature.asc
Description: This is a digitally signed message part


Reply to: