Le 16/05/2013 02:14, JP Guillonneau a écrit :

> relecture.

Merci, et merci d’avance pour vos autres relectures.

Amicalement

David

#use wml::debian::translation-check translation="1.3" maintainer="David Prévot"
<define-tag description>Augmentation de droits, déni de service et fuite d'informations</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans le
noyau Linux qui pourraient conduire à un déni de service,
une fuite d'informations ou une augmentation de droits.

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-2121";>CVE-2012-2121</a>
<p>
Benjamin Herrenschmidt et Jason Baron ont découvert des
problèmes avec la projection IOMMU d’emplacements mémoire
utilisés dans l’assignation de périphériques KVM.

Des utilisateurs locaux avec la capacité d’assigner des périphériques
pourraient provoquer un déni de service à cause d’une fuite de page mémoire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-3552";>CVE-2012-3552</a>
<p>
Hafid Lin a signalé un problème dans le sous-système de réseau IP.

Un utilisateur distant peut provoquer un déni de service (plantage du
système) sur les serveurs exécutant des applications qui définissent
des options sur des sockets activement en cours de traitement.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4461";>CVE-2012-4461</a>
<p>
Jon Howell a signalé un problème de déni de service dans le sous-système KVM.

Sur les systèmes qui ne prennent pas en charge la
fonctionnalité XSAVE, des utilisateurs locaux avec accès à
l’interface /dev/kvm peuvent provoquer un plantage du système.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4508";>CVE-2012-4508</a>
<p>
Dmitry Monakhov et Theodore Ts'o ont signalé une situation
de compétition dans le système de fichiers ext4.

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6537";>CVE-2012-6537</a>
<p>
Mathias Krause a découvert des problèmes de fuites d'informations
dans l’interface de configuration utilisateur de Transformation.

Des utilisateurs locaux avec la capacité CAP_NET_ADMIN
pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6539";>CVE-2012-6539</a>
<p>
Mathias Krause a découvert un problème dans le sous-système réseau.

Des utilisateurs locaux sur systèmes 64 bits
pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6540";>CVE-2012-6540</a>
<p>
Mathias Krause a découvert un problème dans
le sous-système de serveur virtuel Linux.

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.

Remarque : ce problème ne concerne pas les noyaux fournis
par Debian, mais pourrait concerner les noyaux personnalisés
construits à partir du paquet linux-source-2.6.32 de Debian.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6542";>CVE-2012-6542</a>
<p>
Mathias Krause a découvert un problème dans
le code de prise en charge du protocole LLC.

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6544";>CVE-2012-6544</a>
<p>
Mathias Krause a découvert des problèmes dans le sous-système Bluetooth.
Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6545";>CVE-2012-6545</a>
<p>
Mathias Krause a découvert des problèmes dans la
prise en charge du protocole RFCOMM Bluetooth.

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6546";>CVE-2012-6546</a>
<p>
Mathias Krause a découvert des problèmes dans la prise en charge du réseau ATM.

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6548";>CVE-2012-6548</a>
<p>
Mathias Krause a découvert un problème dans la
prise en charge du système de fichiers UDF.

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-6549";>CVE-2012-6549</a>
<p>
Mathias Krause a découvert un problème dans la 
prise en charge du système de fichiers isofs.

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-0349";>CVE-2013-0349</a>
<p>
Anderson Lizardo a découvert un problème dans la pile HIDP
(<q>Human Interface Device Protocol</q>) de Bluetooth.

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-0914";>CVE-2013-0914</a>
<p>
Emese Revfy a découvert un problème dans l’implémentation de signal.

Des utilisateurs locaux pourraient éventuellement contourner
la fonctionnalité de distribution aléatoire de l'espace
d'adressage (ASLR, <q>address space layout randomization</q>)
à cause d’une fuite d'informations vers les processus fils.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1767";>CVE-2013-1767</a>
<p>
Greg Thelen a signalé un problème dans le
système de fichiers en mémoire virtuelle tmpfs.

Des utilisateurs locaux avec suffisamment de droits pour monter les systèmes
de fichiers peuvent provoquer un déni de service ou éventuellement augmenter
leurs droits à cause d’un défaut d’utilisation de mémoire après libération.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1773";>CVE-2013-1773</a>

<p>
Alan Stern a fourni un correctif pour un défaut dans la fonctionnalité de
conversion de chaîne d’UTF-8 en UTF-16 utilisée par le système de fichiers VFAT.

Un utilisateur local pourrait provoquer une condition de
dépassement de tampon, avec pour conséquence un déni de
service ou éventuellement une augmentation de droits.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1774";>CVE-2013-1774</a>
<p>
Wolfgang Frisch a fourni un correctif pour un défaut
de déréférencement de pointeur NULL dans le pilote de
quelques périphériques USB série de Inside Out Networks.

Des utilisateurs locaux avec droit d’accès à ces périphériques
peuvent créer un déni de service (oops du noyau) en forçant la
suppression du périphérique alors qu’il est en cours d’utilisation.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1792";>CVE-2013-1792</a>
<p>
Mateusz Guzik de l’équipe EMEA GSS SEG de Red Hat a découvert une situation de
compétition dans la prise en charge de rétention de clef d’accès dans le noyau.

Un utilisateur local pourrait provoquer un déni
de service (déréférencement de pointeur NULL).
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1796";>CVE-2013-1796</a>
<p>
Andrew Honig de Google a signalé un problème dans le sous-système KVM.

Un utilisateur de système d’exploitation client pourrait corrompre
la mémoire du noyau, avec pour conséquence un déni de service.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1798";>CVE-2013-1798</a>
<p>
Andrew Honig de Google a signalé un problème dans le sous-système KVM. 
 
Un utilisateur de système d’exploitation client pourrait provoquer un déni
de service à cause d’un défaut d’utilisation de mémoire après libération.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1826";>CVE-2013-1826</a>
<p>
Mathias Krause a découvert un problème dans l’interface de
configuration utilisateur de Transformation (XFRM) de la pile réseau.

Un utilisateur avec la capacité CAP_NET_ADMIN
pourrait éventuellement augmenter ses droits.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1860";>CVE-2013-1860</a>
<p>
Oliver Neukum a découvert un problème dans le
pilote de gestion de périphériques CDC WCM USB.

Des utilisateurs locaux avec la possibilité d’attacher des
périphériques peuvent provoquer un déni de service (plantage
du noyau) ou éventuellement augmenter leurs droits.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1928";>CVE-2013-1928</a>
<p>
Kees Cook a fourni un correctif pour une fuite
d'informations dans l’ioctl VIDEO_SET_SPU_PALETTE pour
les applications 32 bits exécutées sur un noyau 64 bits.

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1929";>CVE-2013-1929</a>
<p>
Oded Horovitz et Brad Spengler ont signalé un problème dans le pilote
de périphérique pour Broadcom Tigon3 basé sur gigabit Ethernet.

Les utilisateurs pouvant attacher des périphériques non
fiables peuvent créer une condition de dépassement, avec pour
conséquence un déni de service ou une augmentation de droits.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2015";>CVE-2013-2015</a>
<p>
Theodore Ts'o a fourni un correctif pour un
problème dans le système de fichiers ext4.

Des utilisateurs locaux pouvant monter un système de fichiers contrefait
pour l'occasion peuvent provoquer un déni de service (boucle infinie).
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2634";>CVE-2013-2634</a>
<p>
Mathias Krause a découvert quelques problèmes dans
l’interface Netlink DCB (<q>Data Center Bridging</q>).

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3222";>CVE-2013-3222</a>
<p>
Mathias Krause a découvert un problème dans la prise en
charge du protocole ATM (<q>Asynchronous Transfer Mode</q>).

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3223";>CVE-2013-3223</a>
<p>
Mathias Krause a découvert un problème dans la prise en 
charge du protocole de radio amateur AX.25.

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3224";>CVE-2013-3224</a>
<p>
Mathias Krause a découvert un problème dans le sous-système Bluetooth.

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3225";>CVE-2013-3225</a>
<p>
Mathias Krause a découvert un problème dans la prise en 
charge du protocole RFCOMM Bluetooth.

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3228";>CVE-2013-3228</a>
<p>
Mathias Krause a découvert un problème dans la prise en
charge du sous-système IrDA (infrarouge).

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3229";>CVE-2013-3229</a>
<p>
Mathias Krause a découvert un problème dans la prise en
charge d’IUCV sur les systèmes s390.

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3231";>CVE-2013-3231</a>
<p>
Mathias Krause a découvert un problème dans la prise en
charge du protocole ANSI/IEEE 802.2 LLC type 2.
Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3234";>CVE-2013-3234</a>
<p>
Mathias Krause a découvert un problème dans la prise en
charge du protocole de radio amateur X.25 PLP (Rose).

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3235";>CVE-2013-3235</a>
<p>
Mathias Krause a découvert un problème dans la prise en
charge du protocole TIPC (<q>Transparent Inter Process Communication</q>).

Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.
</p></li>

</ul>

<p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 2.6.32-48squeeze3.</p>

<p>Le tableau suivant indique la liste des paquets supplémentaires qui ont été reconstruits à des fins de compatibilité ou pour tirer parti de cette mise à jour :</p>

<div class="centerdiv">
<table cellspacing="0" cellpadding="2">
<tr>
<th>&nbsp;</th>
<th>Debian 6.0 (Squeeze)</th>
</tr>
<tr>
<td>user-mode-linux</td>
<td>2.6.32-1um-4+48squeeze3</td>
</tr>
</table>
</div>

<p>
Nous vous recommandons de mettre à jour vos paquets linux-2.6 et user-mode-linux.
</p>
<p>
<b>Remarque</b> : Debian suit soigneusement tous les problèmes
de sécurité connus concernant les noyaux Linux de toutes
les publications activement suivies en sécurité.
Cependant, en raison de la fréquence importante à laquelle des
problèmes de sécurité de faible importance sont découverts
dans le noyau et les ressources nécessaires pour réaliser une
mise à jour, les mises à jour de faible importance ne seront
généralement pas publiées pour tous les noyaux en même temps.
À la place, elles seront publiées de façon échelonnée ou à <q>saute-mouton</q>.
</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2668.data"
# $Id: dsa-2668.wml,v 1.4 2013-05-16 15:27:46 taffit Exp $

Attachment: signature.asc
Description: OpenPGP digital signature

Répondre à