Bonjour, Quatre nouvelles annonces de sécurité ont été publiées récemment. Merci d'avance pour vos relectures.
Amicalement, Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Augmentation de droits/déni de service/fuite d'informations</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à un déni de service, une fuite d'informations ou une augmentation de droits. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1059">CVE-2013-1059</a> <p>Chanam Park a signalé un problème dans le le système de stockage distribué Ceph. Des utilisateurs distants peuvent provoquer un déni de service en envoyant un message auth_reply contrefait pour l'occasion.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2148">CVE-2013-2148</a> <p>Dan Carpenter a signalé une fuite d'informations dans le sous-système de notification d'accès au système de fichiers (fanotify). Des utilisateurs locaux pourraient avoir accès à de la mémoire sensible du noyau.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2164">CVE-2013-2164</a> <p>Jonathan Salwan a signalé une fuite d'informations dans le pilote de CD-ROM. Un utilisateur local d'un système ayant un lecteur de CD-ROM défectueux pourrait accéder à de la mémoire sensible.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2232">CVE-2013-2232</a> <p>Dave Jones et Hannes Frederic Sowa ont résolu un problème dans le sous-système IPv6. Des utilisateurs locaux pourraient provoquer un déni de service en utilisant un socket AF_INET6 pour se connecter à une destination en IPv4.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2234">CVE-2013-2234</a> <p>Mathias Krause a signalé une fuite de mémoire dans l'implémentation des sockets PF_KEYv2. Des utilisateurs locaux pourraient avoir accès à de la mémoire sensible du noyau.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2237">CVE-2013-2237</a> <p>Nicolas Dichtel a signalé une fuite de mémoire dans l'implémentation des sockets PF_KEYv2. Des utilisateurs locaux pourraient avoir accès à de la mémoire sensible du noyau.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2851">CVE-2013-2851</a> <p>Kees Cook a signalé un problème dans le sous-système de bloc. Des utilisateurs locaux ayant l'uid 0 pourraient obtenir des droits élevés de ring 0. Ce n'est un problème de sécurité que pour certains systèmes spécialement configurés.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2852">CVE-2013-2852</a> <p>Kees Cook a signalé un problème dans le pilote de réseau b43 pour certains périphériques sans fil Broadcom. Des utilisateurs locaux ayant l'uid 0 pourraient obtenir des droits élevés de ring 0. Ce n'est un problème de sécurité que pour certains systèmes spécialement configurés.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4162">CVE-2013-4162</a> <p>Hannes Frederic Sowa a signalé un problème dans le sous-système de réseau IPv6. Des utilisateurs locaux peuvent provoquer un déni de service (plantage du système).</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4163">CVE-2013-4163</a> <p>Dave Jones a signalé un problème dans le sous-système de réseau IPv6. Des utilisateurs locaux peuvent provoquer un déni de service (plantage du système).</p></li> </ul> <p>Cette mise à jour comprend également la correction d'une régression dans le sous-système Xen.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.2.46-1+deb7u1.</p> <p>Le tableau suivant indique la liste des paquets supplémentaires qui ont été reconstruits à des fins de compatibilité ou pour tirer parti de cette mise à jour :</p> <div class="centerdiv"> <table cellspacing="0" cellpadding="2"> <tr> <th> </th> <th>Debian 7.0 (Wheezy)</th> </tr> <tr> <td>user-mode-linux</td> <td>3.2-2um-1+deb7u2</td> </tr> </table> </div> <p>Nous vous recommandons de mettre à jour vos paquets linux et user-mode-linux.</p> <p><b>Note</b>: Debian suit avec attention tous les problèmes de sécurité connus dans chaque paquet du noyau linux dans toutes les publications bénéficiant d'une prise en charge active de la sécurité. Cependant, étant donnée la grande fréquence à laquelle des problèmes de sécurité mineurs sont découverts dans le noyau et les ressources nécessaires pour faire une mise à jour, les mises à jour pour les problèmes à faible priorité ne sont normalement pas publiées pour tous les noyaux en même temps. à la place, elles seront publiées de façon échelonnée.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2745.data" # $Id: dsa-2745.wml,v 1.1 2013/08/29 09:12:40 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans Icedove, la version de Debian du client de messagerie et de nouvelles Mozilla Thunderbird. Plusieurs erreurs de sécurité mémoire, vérifications de permissions manquantes et d'autres erreurs d'implémentation pourraient mener à l'exécution de code arbitraire ou de script intersite.</p> <p>La version d'Icedove dans la distribution oldstable (Squeeze) n'est plus prise en charge avec des mises à jour de sécurité. Cependant, il est à noter que presque tous les problèmes de sécurité d'Icedove proviennent du moteur de navigation inclus. Ces problèmes de sécurité n'affectent Icedove que si les scripts et courriels en HTML sont activés. S'il existe des problèmes de sécurité spécifiques à Icedove (comme un hypothétique dépassement de tampon dans l'implémentation d'IMAP), nous nous efforcerons de rétroporter les correctifs dans oldstable.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 17.0.8-1~deb7u1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 17.0.8-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets icedove.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2746.data" # $Id: dsa-2746.wml,v 1.1 2013/08/29 22:24:13 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités ont été découvertes dans Cacti, une interface web pour représenter graphiquement les systèmes de surveillance :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-5588">CVE-2013-5588</a> <p>Les fichiers install/index.php et cacti/host.php étaient sensibles à des vulnérabilités de script intersite.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-5589">CVE-2013-5589</a> <p>Le fichier cacti/host.php contenait une vulnérabilité d'injection SQL, permettant à un attaquant d'exécuter du code SQL sur la base de données utilisée par Cacti.</p></li> </ul> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 0.8.7g-1+squeeze3.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 0.8.8a+dfsg-5+deb7u2.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.8.8b+dfsg-3.</p> <p>Nous vous recommandons de mettre à jour vos paquets cacti.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2747.data" # $Id: dsa-2747.wml,v 1.1 2013/09/02 16:33:15 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de déni de service ont été découvertes dans la base de code de dcraw, un programme pour traiter les images au format raw provenant d'appareils photo numériques. Cette mise à jour les corrige dans la copie embarquée dans le paquet exactimage.</p> <p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 0.8.1-3+deb6u2.</p> <p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 0.8.5-5+deb7u2.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.8.9-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets exactimage.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2748.data" # $Id: dsa-2748.wml,v 1.1 2013/09/02 16:33:15 tvincent-guest Exp $
signature.asc
Description: OpenPGP digital signature