Bonjour,
Trois nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Bastian Blank de credativ a découvert que cinder, un système stockage à la
demande pour la suite d'informatique en nuage OpenStack, renfermait un bogue
qui permettrait à un utilisateur authentifié de lire tous les fichiers du
serveur cinder.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 2014.1.3-11+deb8u1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2015.1.0+2015.06.16.git26.9634b76ba5-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets cinder.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3292.data"
# $Id: dsa-3292.wml,v 1.1 2015/06/20 10:20:52 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans drupal7, une plate-forme
de gestion de contenu utilisée pour alimenter les sites internet.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3231";>CVE-2015-3231</a>

<p>Un traitement incorrect du cache rendait le contenu privé vu par <q>user 1</q>
visible aux autres utilisateurs non privilégiés.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3232";>CVE-2015-3232</a>

<p>Un défaut dans le module Field UI permettait à des attaquants de rediriger
des utilisateurs vers des sites malveillants.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3233";>CVE-2015-3233</a>

<p>À cause d'une validation insuffisante des URL, le module Overlay pourrait
être utilisé pour rediriger des utilisateurs vers des sites malveillants.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3234";>CVE-2015-3234</a>

<p>Le module OpenID permettait à un attaquant de se connecter sous l'identité
d'autres utilissateurs, y compris les administrateurs.</p></li>

</ul>

<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 7.14-2+deb7u10.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 7.32-1+deb8u4.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 7.38.1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets drupal7.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3291.data"
# $Id: dsa-3291.wml,v 1.1 2015/06/20 10:51:34 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une augmentation de droits, un déni de service, des
fuites d'informations ou à la corruption de données.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1805";>CVE-2015-1805</a>

<p>Red Hat a découvert que les implémentations en lecture et en écriture du
tube iovec peuvent faire deux itérations sur le vecteur iovec mais modifieront
le vecteur iovec si bien que la seconde itération accède à une adresse mémoire
erronée. Un utilisateur local pourrait utiliser ce défaut pour planter le
système ou éventuellement pour augmenter ses droits. Cela peut aussi avoir pour
conséquence une corruption de données et des fuites d'informations dans des
tubes entre des processus non malveillants.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3636";>CVE-2015-3636</a>

<p>Wen Xu et wushi de KeenTeam ont découvert que des utilisateurs autorisés à
créer des sockets ping peuvent les utiliser pour planter le système et, sur
les architectures 32 bits, augmenter leurs droits. Cependant, par défaut,
aucun utilisateur sur un système Debian n'a accès aux sockets ping.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4167";>CVE-2015-4167</a>

<p>Carl Henrik Lunde a découvert que l'absence des vérifications de longueur
nécessaires dans l'implémentation d'UDF. Un utilisateur local qui peut monter
des périphériques pourrait utiliser ce défaut pour planter le système.</p></li>

</ul>

<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 3.2.68-1+deb7u2.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans
les versions 3.16.7-ckt11-1 ou suivantes, sauf pour <a href="https://security-tracker.debian.org/tracker/CVE-2015-4167";>CVE-2015-4167</a> qui sera corrigé ultérieurement.</p>

<p>Nous vous recommandons de mettre à jour vos paquets linux.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3290.data"
# $Id: dsa-3290.wml,v 1.1 2015/06/20 17:42:22 jipege1-guest Exp $

Répondre à