Re: [RFR] wml://lts/security/2019/dla-193{0,1}.wml

2019-09-27 Par sujet Grégoire Scano 
Bonjour,

On 9/26/19 3:02 PM, JP Guillonneau wrote:
> Ces annonces de sécurité ont été publiées.
> Les fichiers sont aussi disponibles ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-.wml
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-.wml

quelques suggestions.

Bien cordialement,
Grégoire
--- dla-1930.wml2019-09-27 16:44:51.060239374 +0800
+++ gregoire.dla-1930.wml   2019-09-27 16:44:31.736367591 +0800
@@ -10,7 +10,7 @@
 https://security-tracker.debian.org/tracker/CVE-2016-10905;>CVE-2016-10905
 
 Une situation de compétition a été découverte dans l’implémentation du
-système de fichiers GFS2 qui pourraient conduire à une utilisation de mémoire
+système de fichiers GFS2 qui pourrait conduire à une utilisation de mémoire
 après libération. Dans un système utilisant GFS2, un attaquant local pourrait
 utiliser cela pour un déni de service (corruption de mémoire ou plantage) ou
 éventuellement pour une élévation des privilèges.
@@ -46,7 +46,7 @@
 
 https://security-tracker.debian.org/tracker/CVE-2019-14814;>CVE-2019-14814,
 https://security-tracker.debian.org/tracker/CVE-2019-14815;>CVE-2019-14815,
 https://security-tracker.debian.org/tracker/CVE-2019-14816;>CVE-2019-14816
 
-Plusieurs bogues ont été découverts dans le pilot wifi mwifiex qui 
pourraient
+Plusieurs bogues ont été découverts dans le pilote wifi mwifiex qui 
pourraient
 conduire à des dépassements de tampon basé sur le tas. Un utilisateur local,
 autorisé à configurer un périphérique géré par ce pilote, pourrait probablement
 utiliser cela pour une élévation des privilèges.
@@ -142,7 +142,7 @@
 
 https://security-tracker.debian.org/tracker/CVE-2019-15292;>CVE-2019-15292
 
-L’outil Hulk Robot a trouvé des vérifications manquantes d’erreurs dans
+L’outil Hulk Robot a trouvé des vérifications d’erreurs manquantes dans
 l’implémentation du protocole Appletalk, ce qui pourrait conduire à une
 utilisation de mémoire après libération. L’impact de sécurité apparait peu
 clair.
@@ -166,7 +166,7 @@
 https://security-tracker.debian.org/tracker/CVE-2019-15926;>CVE-2019-15926
 
 Le pilote ath6kl wifi ne vérifiait pas constamment les numéros de classe de
-trafic dans les paquets de contrôle reçus, conduisant à un accès en mémoire 
hors
+trafic dans les paquets de contrôle reçus, conduisant à un accès mémoire hors
 limites. Un attaquant proche sur le même réseau wifi pourrait utiliser cela 
pour
 provoquer un déni de service (corruption de mémoire ou plantage) ou,
 éventuellement, pour une élévation des privilèges.

[RFR] wml://lts/security/2019/dla-193{0,1}.wml

2019-09-26 Par sujet JP Guillonneau 
Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul
#use wml::debian::translation-check translation="3860df7e0a836f68694d459023e893a2eb5807f0" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS


Il existait une attaque temporelle ECDSA dans la bibliothèque de chiffrement
libgcrypt20.



https://security-tracker.debian.org/tracker/CVE-2019-13627;>CVE-2019-13627

Attaque temporelle ECDSA.



Pour Debian 8 Jessie, ces problèmes ont été corrigés dans
la version 1.6.3-2+deb8u6.
Nous vous recommandons de mettre à jour vos paquets libgcrypt20.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1931.data"
# $Id: $
#use wml::debian::translation-check translation="599e1a56fc789fd66baadb8cd83c5cd31a915235" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une élévation des privilèges, un déni de service ou une
fuite d'informations.



https://security-tracker.debian.org/tracker/CVE-2016-10905;>CVE-2016-10905

Une situation de compétition a été découverte dans l’implémentation du
système de fichiers GFS2 qui pourraient conduire à une utilisation de mémoire
après libération. Dans un système utilisant GFS2, un attaquant local pourrait
utiliser cela pour un déni de service (corruption de mémoire ou plantage) ou
éventuellement pour une élévation des privilèges.

https://security-tracker.debian.org/tracker/CVE-2018-20976;>CVE-2018-20976

L’implémentation du système de fichiers XFS ne gérait pas correctement
certaines conditions d’échec de montage. Cela pourrait conduire à une
utilisation de mémoire après libération. L’impact de sécurité n’est pas évident.

https://security-tracker.debian.org/tracker/CVE-2018-21008;>CVE-2018-21008

Le pilote wifi rsi ne gérait pas correctement certaines conditions d’échec.
Cela pourrait conduire à utilisation de mémoire après libération. L’impact de
sécurité n’est pas évident.

https://security-tracker.debian.org/tracker/CVE-2019-0136;>CVE-2019-0136

La mise en œuvre de soft-MAC (mac80211) wifi ne certifiait pas correctement
les messages TDLS (Tunneled Direct Link Setup). Un attaquant proche pourrait
utiliser cela pour provoquer un déni de service (perte de la connectivité wifi).

https://security-tracker.debian.org/tracker/CVE-2019-9506;>CVE-2019-9506

Daniele Antonioli, Nils Ole Tippenhauer et Kasper Rasmussen ont découvert une
faiblesse dans le protocole d’appariement Bluetooth, appelée attaque
KNOB. Un attaquant proche lors de l’appariement pourrait utiliser cela pour
affaiblir le chiffrement utilisé entre les périphériques appariés et écouter ou
usurper la communication entre eux.

Cette mise à jour atténue l’attaque en requérant une longueur minimale de
56 bits pour la clef de chiffrement.

https://security-tracker.debian.org/tracker/CVE-2019-14814;>CVE-2019-14814, https://security-tracker.debian.org/tracker/CVE-2019-14815;>CVE-2019-14815, https://security-tracker.debian.org/tracker/CVE-2019-14816;>CVE-2019-14816

Plusieurs bogues ont été découverts dans le pilot wifi mwifiex qui pourraient
conduire à des dépassements de tampon basé sur le tas. Un utilisateur local,
autorisé à configurer un périphérique géré par ce pilote, pourrait probablement
utiliser cela pour une élévation des privilèges.

https://security-tracker.debian.org/tracker/CVE-2019-14821;>CVE-2019-14821

Matt Delco a signalé une situation de compétition dans la fonction Coalesced
MMIO de KVM qui pourrait conduire à un accès hors limites dans le noyau. Un
attaquant local autorisé à accéder à /dev/kvm pourrait utiliser cela pour
provoquer un déni de service (corruption de mémoire ou plantage) ou
éventuellement pour une élévation de privilèges

https://security-tracker.debian.org/tracker/CVE-2019-14835;>CVE-2019-14835

Peter Pi de Tencent Blade Team a découvert une absence de vérification de
limites dans vhost_net, le pilote de dorsal de réseau pour les hôtes KVM, menant
à un dépassement de tampon quand l'hôte débute la migration en direct d'une
machine virtuelle. Un attaquant qui contrôle une machine virtuelle pourrait
utiliser cela pour provoquer un déni de service (corruption de mémoire ou
plantage) ou éventuellement pour une élévation de privilèges sur l'hôte.