[RFR] wml://lts/security/2020/dla-2373.wml

2020-09-13 Thread JP Guillonneau 
Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="98b72a4611d1261c657212dd94ea1895a9a2c02e" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Les problèmes de sécurité suivants ont été découverts dans qemu et pourraient
éventuellement aboutir à un déni de service et à une exécution de code arbitraire.


https://security-tracker.debian.org/tracker/CVE-2020-1711";>CVE-2020-1711

Un défaut d’accès hors limites de tampon de tas a été découvert dans la façon
dont le pilote de blocs iSCSI dans QEMU gérait une réponse provenant d’un
serveur iSCSI lors de la vérification de l’état d’un LBA (Logical Address Block)
dans une routine iscsi_co_block_status(). Un utilisateur distant pourrait
utiliser cela pour planter le processus QEMU, aboutissant à un déni de service
ou à une exécution potentielle de code arbitraire avec les privilèges du
processus QEMU sur l’hôte.

https://security-tracker.debian.org/tracker/CVE-2020-13253";>CVE-2020-13253

Un problème d’accès en lecture hors limites a été découvert dans l’émulateur
de QEMU de la carte mémoire SD. Il survient lors de la réalisation de commandes
d’écriture de blocs au travers de sdhci_write() si un utilisateur client avait
envoyé une address qui est une gestion OOB de « s->wp_groups ». Un
utilisateur ou processus client pourrait utiliser ce défaut pour planter le
processus QEMU aboutissant à un déni de service.

https://security-tracker.debian.org/tracker/CVE-2020-14364";>CVE-2020-14364

Un problème d’accès en lecture ou écriture hors limites a été découvert dans
l’émulateur USB de QEMU. Il survient lors du traitement de paquets USB d’un client,
quand « USBDevice->setup_len » excède « USBDevice->data_buf[4096] » dans les
routines do_token_{in,out}.



https://security-tracker.debian.org/tracker/CVE-2020-16092";>CVE-2020-16092

Une échec d’assertion pourrait survenir dans le traitement de paquets réseau.
Ce problème affecte les périphériques réseau e1000e et vmxnet3. Un utilisateur
ou processus client malveillant pourrait utiliser ce défaut pour interrompre le
processus QEMU sur l’hôte, aboutissant à une condition de déni de service dans
net_tx_pkt_add_raw_fragment dans hw/net/net_tx_pkt.c



Pour Debian 9 Stretch, ces problèmes ont été corrigés dans
la version 1:2.8+dfsg-6+deb9u11.

Nous vous recommandons de mettre à jour vos paquets qemu.

Pour disposer d'un état détaillé sur la sécurité de qemu, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/qemu";>https://security-tracker.debian.org/tracker/qemu.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2373.data"
# $Id: $

Re: [RFR] wml://lts/security/2020/dla-2373.wml

2020-09-14 Thread Baptiste Jammet 
Bonjour, 

Dixit JP Guillonneau, le 14/09/2020 :
>Merci d’avance pour vos relectures.

Ne faudrait-il pas protéger les chevrons ? s/>/>/

Baptiste


pgpqaurFEhfB1.pgp
Description: Signature digitale OpenPGP