Bonjour,

Deux nouvelles annonces de sécurité viennent d'être publiées. Merci
d'avance pour vos relectures.

Amicalement,
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Augmentation de droits, déni de service, fuite d'informations</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à un déni de service, à des fuites d'informations ou une
augmentation de droits.

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0196";>CVE-2014-0196</a>

<p>Jiri Slaby a découvert une situation de compétition dans la couche du
pseudo-terminal qui pourrait conduire à un déni de service ou à une
augmentation de droits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1737";>CVE-2014-1737</a>
<a href="https://security-tracker.debian.org/tracker/CVE-2014-1738";>CVE-2014-1738</a>

<p>Matthew Daley a découvert une fuite d'informations et l'absence de
vérification des entrées dans le contrôle d'entrées/sorties FDRAWCMD du
pilote du lecteur de disquette qui pourraient avoir comme conséquence une
augmentation de droits.</p></li>

</ul>

<p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans
la version 2.6.32-48squeeze6.</p>

<p>Le tableau suivant indique la liste des paquets supplémentaires qui ont
été reconstruits à des fins de compatibilité ou pour tirer parti de cette
mise à jour :</p>

<div class="centerdiv">
<table cellspacing="0" cellpadding="2">
<tr>
<th>&nbsp;</th>
<th>Debian 6.0 (Squeeze)</th>
</tr>
<tr>
<td>user-mode-linux</td>
<td>2.6.32-1um-4+48squeeze6</td>
</tr>
</table>
</div>


<p>Nous vous recommendons de mettre à niveau les paquets linux-2.6 et
user-mode-linux.
<p><b>Note</b> : Debian suit avec attention tous les problèmes de sécurité connus dans 
chaque paquet du noyau linux pour toutes les publications bénéficiant d'une prise en charge 
active de la sécurité. Cependant, étant donnée la grande fréquence à laquelle des problèmes 
de sécurité mineurs sont découverts dans le noyau et les ressources nécessaires pour faire 
une mise à jour, les mises à jour pour les problèmes à faible priorité ne sont normalement 
pas publiées pour tous les noyaux en même temps. Elles seront plutôt publiées de façon 
échelonnée.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2928.data"
# $Id: dsa-2928.wml,v 1.1 2014/05/15 12:06:24 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Ilja van Sprundel d'IOActive a découvert plusieurs problèmes de sécurité
dans la bibliothèque libXfont d'X.Org, qui peuvent permettre à un utilisateur
local authentifié de tenter une augmentation de droits ou à un 
attaquant distant, qui peut contrôler le serveur de police,
de tenter d'exécuter du code avec les privilèges du serveur X.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0209";>CVE-2014-0209</a>

<p>Un dépassement d'entier des allocations dans l'analyse des métadonnées des
polices pourrait permettre à un utilisateur local qui est déjà authentifié au
serveur X d'écraser d'autre mémoire dans le tas.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0210";>CVE-2014-0210</a>

<p>libxfont ne valide pas la longueur des champs lors des réponses de 
l'analyse du protocole xfs permettant d'écrire au-delà des limites de la
mémoire allouée, pendant le stockage des données retournées par le serveur
de polices.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0211";>CVE-2014-0211</a>

<p>Des dépassements d'entier dans le calcul des besoins de mémoire pour
les réponses de xfs pourraient avoir pour conséquence l'allocation
d'insufisamment de mémoire et donc d'écrire les données retournées
par le serveur de polices au-delà de la fin du tampon alloué.</p></li>

</ul>

<p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1:1.4.1-5.</p>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1:1.4.5-4.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:1.4.7-2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libxfont.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2927.data"
# $Id: dsa-2927.wml,v 1.1 2014/05/15 12:06:24 jipege1-guest Exp $

Répondre à