Salut, Une annonce de sécurité a été publiée, par avance merci pour vos relectures.
Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Augmentation de droits, déni de service et fuite d'informations</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à un déni de service, une fuite d'informations ou une augmentation de droits. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-2121">CVE-2012-2121</a> <p> Benjamin Herrenschmidt et Jason Baron ont découvert des problèmes avec la projection IOMMU dâemplacements mémoire utilisés dans lâassignation de périphériques KVM. Des utilisateurs locaux avec la capacité dâassigner des périphériques pourraient provoquer un déni de service à cause dâune fuite de page de mémoire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-3552">CVE-2012-3552</a> <p> Hafid Lin a signalé un problème dans le sous-système de réseau IP. Un utilisateur distant peut provoquer un déni de service (plantage du système) sur les serveurs exécutant des applications qui définissent des options sur des sockets activement en cours de traitement. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4461">CVE-2012-4461</a> <p> Jon Howell a signalé un problème de déni de service dans le sous-système KVM. Sur les systèmes qui ne prennent pas en charge la fonctionnalité XSAVE, des utilisateurs locaux avec accès à lâinterface /dev/kvm peuvent provoquer un plantage du système. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4508">CVE-2012-4508</a> <p> Dmitry Monakhov et Theodore Ts'o ont signalé une situation de compétition dans le système de fichiers ext4. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6537">CVE-2012-6537</a> <p> Mathias Krause a découvert des problèmes de fuites d'informations dans lâinterface de configuration utilisateur de Transformation. Des utilisateurs locaux avec la capacité CAP_NET_ADMIN pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6539">CVE-2012-6539</a> <p> Mathias Krause a découvert un problème dans le sous-système réseau. Des utilisateurs locaux sur systèmes 64 bit pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6540">CVE-2012-6540</a> <p> Mathias Krause a découvert un problème dans le sous-système de serveur virtuel Linux. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. Remarque : ce problème ne concerne pas les noyaux fournis par Debian, mais pourrait concerner les noyaux personnalisés construits à partir du paquet linux-source-2.6.32 de Debian. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6542">CVE-2012-6542</a> <p> Mathias Krause a découvert un problème dans le code de prise en charge du protocole LLC. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6544">CVE-2012-6544</a> <p> Mathias Krause a découvert des problèmes dans le sous-système Bluetooth. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6545">CVE-2012-6545</a> <p> Mathias Krause a découvert des problèmes dans la prise en charge du protocole RFCOMM Bluetooth. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6546">CVE-2012-6546</a> <p> Mathias Krause a découvert des problèmes dans la prise en charge du réseau ATM. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6548">CVE-2012-6548</a> <p> Mathias Krause a découvert un problème dans la prise en charge de système de fichiers UDF. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6549">CVE-2012-6549</a> <p> Mathias Krause a découvert un problème dans la prise en charge de système de fichiers isofs. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-0349">CVE-2013-0349</a> <p> Anderson Lizardo a découvert un problème dans la pile HIDP (<q>Human Interface Device Protocol</q>) de Bluetooth. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-0914">CVE-2013-0914</a> <p> Emese Revfy a découvert un problème dans lâimplémentation de signal. Des utilisateurs locaux pourraient éventuellement contourner la fonctionnalité de distribution aléatoire de l'espace d'adressage (ASLR, <q>address space layout randomization</q>) à cause dâune fuite d'informations vers les processus fils. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1767">CVE-2013-1767</a> <p> Greg Thelen a signalé un problème dans le système de fichiers en mémoire virtuelle tmpfs. Des utilisateurs locaux avec suffisamment de droits pour monter les systèmes de fichiers peuvent provoquer un déni de service ou éventuellement augmenter ses droits à cause dâun défaut dâutilisation de mémoire après libération. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1773">CVE-2013-1773</a> <p> Alan Stern a fournit un correctif pour un défaut dans la fonctionnalité de conversion chaîne dâUTF-8 en UTF-16 utilisée par le système de fichiers VFAT. Un utilisateur local pourrait provoquer une condition de dépassement de tampon, avec pour conséquence un déni de service ou éventuellement une augmentation de droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1774">CVE-2013-1774</a> <p> Wolfgang Frisch a fournit un correctif pour un défaut de déréférencement de pointeur NULL dans le pilote de quelques périphériques USB série de Inside Out Networks. Des utilisateurs locaux avec droit dâaccès à ces périphériques peuvent créer un déni de service (oops du noyau) en forçant la suppression du périphérique alors quâil est en cours dâutilisation. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1792">CVE-2013-1792</a> <p> Mateusz Guzik de lâéquipe EMEA GSS SEG de Red Hat a découvert une situation de compétition dans la prise en charge de rétention de clef dâaccès dans le noyau. Un utilisateur local pourrait provoquer un déni de service (déréférencement de pointeur NULL). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1796">CVE-2013-1796</a> <p> Andrew Honig de Google a signalé un problème dans le sous-système KVM. Un utilisateur de système dâexploitation client pourrait corrompre la mémoire du noyau, avec pour conséquence un déni de service. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1798">CVE-2013-1798</a> <p> Andrew Honig de Google a signalé un problème dans le sous-système KVM. Un utilisateur de système dâexploitation client pourrait provoquer un déni de service à cause dâun défaut dâutilisation de mémoire après libération. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1826">CVE-2013-1826</a> <p> Mathias Krause a découvert un problème dans lâinterface de configuration utilisateur de Transformation (XFRM) de la pile réseau. Un utilisateur avec la capacité CAP_NET_ADMIN pourrait éventuellement augmenter ses droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1860">CVE-2013-1860</a> <p> Oliver Neukum a découvert un problème dans le pilote de gestion de périphériques CDC WCM USB. Des utilisateurs locaux avec la possibilité dâattacher des périphériques peuvent provoquer un déni de service (plantage du noyau) ou éventuellement augmenter leurs droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1928">CVE-2013-1928</a> <p> Kees Cook a fourni un correctif pour une fuite d'informations dans lâioctl VIDEO_SET_SPU_PALETTE pour les applications 32 bits exécutées sur un noyau 64 bits. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1929">CVE-2013-1929</a> <p> Oded Horovitz et Brad Spengler ont signalé un problème dans le pilote de périphérique pour Broadcom Tigon3 basés sur gigabit Ethernet. Les utilisateurs pouvant attacher des périphériques non fiables peuvent créer une condition de dépassement, avec pour conséquence un déni de service ou une augmentation de droit. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2015">CVE-2013-2015</a> <p> Theodore Ts'o a fourni un correctif pour un problème dans le système de fichiers ext4. Des utilisateurs locaux pouvant monter un système de fichiers contrefait pour l'occasion peuvent provoquer un déni de service (boucle infinie). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2634">CVE-2013-2634</a> <p> Mathias Krause a découvert quelques problèmes lâinterface Netlink DCB (<q>Data Center Bridging</q>). Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3222">CVE-2013-3222</a> <p> Mathias Krauss a découvert un problème dans la prise en charge du protocole ATM (<q>Asynchronous Transfer Mode</q>). Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3223">CVE-2013-3223</a> <p> Mathias Krauss a découvert un problème dans la prise en charge du protocole de radio amateur AX.25. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3224">CVE-2013-3224</a> <p> Mathias Krauss a découvert un problème dans le sous-système Bluetooth. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3225">CVE-2013-3225</a> <p> Mathias Krauss a découvert un problème dans la prise en charge du protocole RFCOMM Bluetooth. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3228">CVE-2013-3228</a> <p> Mathias Krauss a découvert un problème dans la prise en charge du sous-système IrDA (infrarouge). Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3229">CVE-2013-3229</a> <p> Mathias Krauss a découvert un problème dans la prise en charge dâIUCV sur les systèmes s390. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3231">CVE-2013-3231</a> <p> Mathias Krauss a découvert un problème dans la prise en charge du protocole ANSI/IEEE 802.2 LLC type 2. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3234">CVE-2013-3234</a> <p> Mathias Krauss a découvert un problème dans la prise en charge du protocole de radio amateur X.25 PLP (Rose). Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3235">CVE-2013-3235</a> <p> Mathias Krauss a découvert un problème dans la prise en charge du protocole TIPC (<q>Transparent Inter Process Communication</q>). Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau. </p></li> </ul> <p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 2.6.32-48squeeze3.</p> <p>Le tableau suivant indique la liste des paquets supplémentaires qui ont été reconstruits à des fins de compatibilité ou pour tirer parti de cette mise à jour :</p> <div class="centerdiv"> <table cellspacing="0" cellpadding="2"> <tr> <th> </th> <th>Debian 6.0 (Squeeze)</th> </tr> <tr> <td>user-mode-linux</td> <td>2.6.32-1um-4+48squeeze3</td> </tr> </table> </div> <p> Nous vous recommandons de mettre à jour vos paquets linux-2.6 et user-mode-linux. </p> <p> <b>Remarque</b> : Debian suit soigneusement tous les problèmes de sécurité connus concernant les noyaux Linux de toutes les distributions activement suivies en sécurité. Cependant, en raison de la fréquence importante à laquelle des problèmes de sécurité de faible importance sont découverts dans le noyau et les ressources nécessaires pour réaliser une mise à jour, les mises à jour de faible importance ne seront généralement pas publiées pour tous les noyaux en même temps. à la place, elles seront publiées de façon échelonnée ou à <q>saute-mouton</q>. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2668.data" # $Id: dsa-2668.wml,v 1.1 2013-05-15 01:27:48 taffit Exp $
signature.asc
Description: OpenPGP digital signature