Bonjour, Deux nouvelles annonces de sécurité viennent d'être publiées. En voici une traduction. Merci d'avance pour vos relectures.
Amicalement, jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Libvirt, une bibliothèque d'abstraction de virtualisation. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0179">CVE-2014-0179</a> <p>Richard Jones et Daniel P. Berrange ont découvert que libvirt passe l'option XML_PARSE_NOENT quand il analyse les documents XML en utilisant la bibliothèque libxml2, auquel cas, toutes les entités XML des documents analysés sont extraites. Un utilisateur pouvant forcer libvirtd à analyser un document XML avec une entité pointant vers un fichier spécial qui bloque les accès en lecture pourrait utiliser ce défaut pour forcer libvirtd à être indéfiniment suspendu, aboutissant à un déni de service à l'encontre du système.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3633">CVE-2014-3633</a> <p>Luyao Huang de Red Hat a découvert que l'implémentation de qemu virDomainGetBlockIoTune calculait un index dans le tableau des disques pour la définition éphémère, puis l'utilisait comme index dans le tableau des disques pour la définition persistante, ce qui pourrait résulter en un accès en lecture hors limites dans qemuDomainGetBlockIoTune().</p> <p>Un attaquant distant, pouvant établir une connexion en lecture seule avec libvirtd, pourrait utiliser ce défaut pour faire planter libvirtd ou, éventuellement, provoquer une fuite de mémoire à partir du processus libvirtd.</p></li> </ul> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 0.9.12.3-1+deb7u1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.2.8-2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libvirt.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dsa-3038.data" # $Id: dsa-3038.wml,v 1.1 2014/09/27 19:27:14 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Antoine Delignat-Lavaud de l'Inria a découvert un problème dans la façon dont la bibliothèque <q>Network Security Service</q> de Mozilla (NSS) embarquée dans la version d'Icedove de Wheezy, analysait les données ASN.1 utilisées dans les signatures, la rendant vulnérable à une attaque par signature contrefaite.</p> <p>Un attaquant pourrait créer des données ASN.1 pour contrefaire des certificats RSA avec une chaîne de certification valide vers une autorité de certification de confiance.</p> <p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 24.8.1-1~deb7u1.</p> <p>Pour les distributions testing (Jessie) et unstable (Sid), Icedove utilise la bibliothèque NSS du système, traitée par l'annonce de sécurité DSA 3033-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets icedove.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dsa-3037.data" # $Id: dsa-3037.wml,v 1.1 2014/09/27 19:27:14 jipege1-guest Exp $