Re: [RFR] wml://lts/security/2019/dla-191{3-9}.wml
Bonjour, On 9/16/19 10:43 PM, JP Guillonneau wrote: > Ces annonces de sécurité ont été publiées. > Les fichiers sont aussi disponibles ici : > https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-.wml > https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-.wml deux suggestions. Bien cordialement, Grégoire --- dla-1919.wml2019-09-17 13:02:06.764676689 +0800 +++ gregoire.dla-1919.wml 2019-09-17 13:01:24.116838745 +0800 @@ -16,7 +16,7 @@ https://security-tracker.debian.org/tracker/CVE-2019-9506;>CVE-2019-9506 Daniele Antonioli, Nils Ole Tippenhauer et Kasper Rasmussen ont découvert une -faiblesse dans le protocole Bluetooth d’appariement, appelée attaque +faiblesse dans les protocoles d’appariement Bluetooth, appelée attaque KNOB. Un attaquant proche lors de l’appariement pourrait utiliser cela pour affaiblir le chiffrement utilisé entre les périphériques appariés et écouter ou usurper la communication entre eux. @@ -140,7 +140,7 @@ https://security-tracker.debian.org/tracker/CVE-2019-15926;>CVE-2019-15926 Le pilote ath6kl wifi ne vérifiait pas constamment les numéros de classe de -trafic dans les paquets de contrôle reçus, conduisant à un accès en mémoire hors +trafic dans les paquets de contrôle reçus, conduisant à un accès mémoire hors limites. Un attaquant proche sur le même réseau wifi pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une élévation des privilèges.
Re: [RFR] wml://lts/security/2019/dla-191{3-9}.wml
Bonjour, Le 17/09/2019 à 09:13, Baptiste Jammet a écrit : > Bonjour, > > Dixit JP Guillonneau, le 16/09/2019 : >> Merci d’avance pour vos relectures. > Suggestions mineures. > > Baptiste D'autres suggestions mineures. Amicalement, jipege --- /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1919.wml 2019-09-17 09:22:00.042588678 +0200 +++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1919jpg.wml 2019-09-17 09:51:01.177812141 +0200 @@ -16,7 +16,7 @@ https://security-tracker.debian.org/tracker/CVE-2019-9506;>CVE-2019-9506 Daniele Antonioli, Nils Ole Tippenhauer et Kasper Rasmussen ont découvert une -faiblesse dans le protocole Bluetooth dâappariement, appelée attaque +faiblesse dans le protocole Bluetooth dâappariement, appelée attaque KNOB. Un attaquant proche lors de lâappariement pourrait utiliser cela pour affaiblir le chiffrement utilisé entre les périphériques appariés et écouter ou usurper la communication entre eux. @@ -48,7 +48,7 @@ https://security-tracker.debian.org/tracker/CVE-2019-15212;>CVE-2019-15212 Lâoutil syzkaller a trouvé que le pilote rio500 ne fonctionnait pas -correctement si plus dâun appareil lui sont liés. Un attaquant, capable +correctement si plus dâun appareil lui est lié. Un attaquant, capable dâajouter des périphériques USB, pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une élévation des privilèges. @@ -98,7 +98,7 @@ Lâoutil syzkaller a trouvé que le pilote line6 ne vérifiait pas les tailles maximales de paquet des périphériques USB, ce qui pourrait conduire à un dépassement de tampon basé sur le tas. Un attaquant, capable dâajouter des -périphériques USB pourrait utiliser cela pour provoquer un déni de service +périphériques USB, pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou éventuellement pour une élévation des privilèges. @@ -128,7 +128,7 @@ Jian Luo a signalé que la bibliothèque Serial Attached SCSI (libsas) ne gérait pas correctement lâéchec de découverte de périphériques derrière un -adaptateur SAS. Cela pourrait conduire à un perte de ressources et un plantage +adaptateur SAS. Cela pourrait conduire à un fuite de ressources et un plantage (bogue). Lâimpact de sécurité apparait peu clair. https://security-tracker.debian.org/tracker/CVE-2019-15924;>CVE-2019-15924 --- /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1917.wml 2019-09-17 09:22:00.126587672 +0200 +++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1917jpg.wml 2019-09-17 09:35:23.005031281 +0200 @@ -10,7 +10,7 @@ https://security-tracker.debian.org/tracker/CVE-2019-5482;>CVE-2019-5482 -Dépassement de tampon basé sur le tas pour des tailles de bloc TFTP petites. +Dépassement de tampon basé sur le tas pour des petites tailles de bloc TFTP. --- /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1914.wml 2019-09-17 09:22:00.174587098 +0200 +++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1914jpg.wml 2019-09-17 09:29:09.485473862 +0200 @@ -16,8 +16,8 @@ https://security-tracker.debian.org/tracker/CVE-2019-10182;>CVE-2019-10182 Icedtea-web ne vérifiait pas correctement les chemins des éléments -jar/ dans les fichiers JNLP. Un attaquant pourrait piéger une victime -pour exécuter une application contrefaite pour l'occasion et utiliser ce défaut +jar/ dans les fichiers JNLP. Un attaquant pourrait forcer une victime +à exécuter une application contrefaite pour l'occasion et utiliser ce défaut pour téléverser des fichiers arbitraires dans des emplacements arbitraires dans lâenvironnement de lâutilisateur.
Re: [RFR] wml://lts/security/2019/dla-191{3-9}.wml
Bonjour, Dixit JP Guillonneau, le 16/09/2019 : >Merci d’avance pour vos relectures. Suggestions mineures. Baptiste --- 00f3.dla-1918.wml 2019-09-17 09:09:18.556450704 +0200 +++ ./00f3.dla-1918-bj.wml 2019-09-17 09:12:38.098570074 +0200 @@ -2,7 +2,7 @@ Mise à jour de sécurité pour LTS -La bibliothèque Oniguruma dâexpressions rationnelles, surtout utilisée dans +La bibliothèque dâexpressions rationnelles Oniguruma, surtout utilisée dans mbstring de PHP, est vulnérable à un épuisement de pile. Une expression rationnelle contrefaite peut planter le processus. --- 00fa.dla-1913.wml 2019-09-17 09:09:58.500074248 +0200 +++ ./00fa.dla-1913-bj.wml 2019-09-17 09:11:59.618932737 +0200 @@ -9,7 +9,7 @@ https://security-tracker.debian.org/tracker/CVE-2019-15026;>CVE-2019-15026 -Memcached 1.5.16, lorsque les sockets UNIX étaient utilisées, effectuait une +Lorsque les sockets UNIX étaient utilisées, memcached 1.5.16 effectuait une lecture hors limites de tampon basé sur la pile dans conn_to_str dans memcached.c. pgpdnnlriUklu.pgp Description: Signature digitale OpenPGP
[RFR] wml://lts/security/2019/dla-191{3-9}.wml
Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-.wml Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul #use wml::debian::translation-check translation="91640da5ae34159305a163a17375235afc34fca6" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une élévation des privilèges, un déni de service ou une fuite d'informations. https://security-tracker.debian.org/tracker/CVE-2019-0136;>CVE-2019-0136 La mise en Åuvre de soft-MAC (mac80211) wifi ne certifiait pas correctement les messages TDLS (Tunneled Direct Link Setup). Un attaquant proche pourrait utiliser cela pour provoquer un déni de service (perte de la connectivité wifi). https://security-tracker.debian.org/tracker/CVE-2019-9506;>CVE-2019-9506 Daniele Antonioli, Nils Ole Tippenhauer et Kasper Rasmussen ont découvert une faiblesse dans le protocole Bluetooth dâappariement, appelée attaque KNOB. Un attaquant proche lors de lâappariement pourrait utiliser cela pour affaiblir le chiffrement utilisé entre les périphériques appariés et écouter ou usurper la communication entre eux. Cette mise à jour atténue lâattaque en requérant une longueur minimale de 56 bits pour la clef de chiffrement. https://security-tracker.debian.org/tracker/CVE-2019-11487;>CVE-2019-11487 Jann Horn a découvert que lâinfrastructure FUSE (système de fichiers en espace utilisateur) pourrait être utilisée pour provoquer un dépassement d'entier dans les comptes de références de page, conduisant à une utilisation de mémoire après libération. Sur un système avec une mémoire physique suffisante, un utilisateur local, autorisé à créer des montages FUSE arbitraires, pourrait utiliser cela pour une élévation des privilèges. Par défaut, les utilisateurs non privilégiés peuvent seulement monter des systèmes de fichiers FUSE à lâaide de fusermount, ce qui limite le nombre de montages créés et devrait atténuer complètement ce problème. https://security-tracker.debian.org/tracker/CVE-2019-15211;>CVE-2019-15211 Lâoutil syzkaller a trouvé un bogue dans le pilote radio-raremono qui pourrait conduire à une utilisation de mémoire après libération. Un attaquant, capable dâajouter ou retirer des périphériques USB, pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une élévation des privilèges. https://security-tracker.debian.org/tracker/CVE-2019-15212;>CVE-2019-15212 Lâoutil syzkaller a trouvé que le pilote rio500 ne fonctionnait pas correctement si plus dâun appareil lui sont liés. Un attaquant, capable dâajouter des périphériques USB, pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une élévation des privilèges. https://security-tracker.debian.org/tracker/CVE-2019-15215;>CVE-2019-15215 Lâoutil syzkaller a trouvé un bogue dans le pilote cpia2_usb aboutissant à une utilisation de mémoire après libération. Un attaquant, capable dâajouter ou de retirer des périphériques USB, pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une élévation des privilèges. https://security-tracker.debian.org/tracker/CVE-2019-15216;>CVE-2019-15216 Lâoutil syzkaller a trouvé un bogue dans le pilote yurex aboutissant à une utilisation de mémoire après libération. Un attaquant, capable dâajouter ou de retirer des périphériques USB, pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une élévation des privilèges. https://security-tracker.debian.org/tracker/CVE-2019-15218;>CVE-2019-15218 Lâoutil syzkaller a trouvé que le pilote smsusb driver ne vérifiait pas que les périphériques USB avaient les terminaisons attendues, conduisant éventuellement à un déréférencement de pointeur NULL. Un attaquant, capable dâajouter des périphériques USB, pourrait utiliser cela pour provoquer un déni de service (bogue/oops). https://security-tracker.debian.org/tracker/CVE-2019-15219;>CVE-2019-15219 Lâoutil syzkaller a trouvé quâune erreur dâinitialisation de périphérique dans le pilote sisusbvga pourrait conduire à un déréférencement de pointeur NULL. Un attaquant, capable dâajouter des périphériques USB, pourrait utiliser cela pour provoquer un déni de service (bogue/oops). https://security-tracker.debian.org/tracker/CVE-2019-15220;>CVE-2019-15220 Lâoutil syzkaller a trouvé une situation de compétition dans le pilote p54usb qui pourrait
