Re: [RFR] wml://lts/security/2022/dla-317{1,2,3}.wml
Bonjour, > trois nouvelles annonces de sécurité ont été publiées. En voici une > traduction. Merci d'avance pour vos relectures. suggestions et détails, amicalement, bubu--- dla-3172.wml 2022-11-12 12:12:46.922881133 +0100 +++ bisdla-3172.wml 2022-11-12 12:15:08.051789606 +0100 @@ -10,12 +10,12 @@ L'analyse d'un document XML avec l'option XML_PARSE_HUGE activée peut avoir pour conséquence un dépassement d'entier du fait de l'absence de -vérification de sécurité dans certaines fonctions. Ãgalement, la fonction +vérification de sécurité dans certaines fonctions. De même, la fonction xmlParseEntityValue n'avait plus aucune limitation de longueur. https://security-tracker.debian.org/tracker/CVE-2022-40304;>CVE-2022-40304 -Quand une boucle de références est détecté dans la fonction de nettoyage +Quand une boucle de références est détectée dans la fonction de nettoyage d'entités XML, les données de l'entité XML peuvent être stockées dans un dictionnaire. Dans ce cas, le dictionnaire devient corrompu avec pour conséquences des erreurs logiques, dont des erreurs de mémoires telles--- dla-3173.wml 2022-11-12 12:01:46.842806830 +0100 +++ bisdla-3173.wml 2022-11-12 12:10:49.510586146 +0100 @@ -137,7 +137,7 @@ https://security-tracker.debian.org/tracker/CVE-2022-3649;>CVE-2022-3649 -L'outil syzbot a découverts des défauts dans le pilote du système de +L'outil syzbot a découvert des défauts dans le pilote du système de fichiers nilfs2 qui peuvent conduire à une utilisation de mémoire après libération. Un utilisateur autorisé à monter des images de système de fichiers arbitraires pouvait utiliser cela pour provoquer un @@ -175,7 +175,7 @@ https://security-tracker.debian.org/tracker/CVE-2022-39190;>CVE-2022-39190 Gwangun Jung a signalé un défaut dans le sous-système nf_tables. Un -utilisateur local pouvait exploit cela pour provoquer un déni de service +utilisateur local pouvait exploiter cela pour provoquer un déni de service (plantage). https://security-tracker.debian.org/tracker/CVE-2022-39842;>CVE-2022-39842
Re: [RFR] wml://lts/security/2022/dla-317{1,2,3}.wml
Bonjour, Le 11/11/22 19:00 Jean-Pierre a écrit : > trois nouvelles annonces de sécurité ont été publiées. En voici une > traduction. Merci d'avance pour vos relectures. Suggestions. Amicalement. -- Jean-Paul --- dla-3172.wml.orig 2022-11-12 09:19:47.883775721 +0100 +++ dla-3172.wml 2022-11-12 09:21:33.521460249 +0100 @@ -15,11 +15,11 @@ https://security-tracker.debian.org/tracker/CVE-2022-40304;>CVE-2022-40304 -Quand une boucle de références est détecté dans la fonction de nettoyage +Quand une boucle de références est détectée dans la fonction de nettoyage d'entités XML, les données de l'entité XML peuvent être stockées dans un dictionnaire. Dans ce cas, le dictionnaire devient corrompu avec pour -conséquences des erreurs logiques, dont des erreurs de mémoires telles -qu'une double libération de zone mémoire.. +conséquences des erreurs de logiques, dont des erreurs de mémoire telles +qu'une double libération de zone mémoire. --- dla-3173.wml.orig 2022-11-12 09:21:51.749756168 +0100 +++ dla-3173.wml 2022-11-12 09:36:29.360625832 +0100 @@ -11,7 +11,7 @@ Christian Brauner a signalé que la fonction inode_init_owner pour le système de fichiers XFS dans le noyau Linux permet aux utilisateurs locaux -de créer des fichiers avec la propriété d'un groupe non prévu permettant à +de créer des fichiers avec une appartenance à un groupe non prévue, permettant à des attaquants d'élever leurs privilèges en rendant un simple fichier exécutable et SGID. @@ -47,7 +47,7 @@ https://security-tracker.debian.org/tracker/CVE-2022-2602;>CVE-2022-2602 Une situation de compétition entre le traitement d'une requête io_uring -et le ramasse-miettes d'un socket Unix a été découvert. Un attaquant peut +et le ramasse-miettes d'un socket Unix a été découverte. Un attaquant peut tirer avantage de ce défaut pour une élévation locale de privilèges. https://security-tracker.debian.org/tracker/CVE-2022-2663;>CVE-2022-2663 @@ -62,7 +62,7 @@ https://security-tracker.debian.org/tracker/CVE-2022-2905;>CVE-2022-2905 Hsin-Wei Hung a signalé un défaut dans le vérificateur eBPF qui peut -conduire à une lecture hors limites. Si l'utilisation non-privilégiée +conduire à une lecture hors limites. Si l'utilisation non privilégiée d'eBPF est activée, cela peut divulguer des informations sensibles. Cette utilisation était déjà désactivée par défaut, ce qui devait pallier complètement la vulnérabilité. @@ -105,8 +105,8 @@ L'outil syzbot a découvert des défauts dans le pilote du système de fichiers nilfs2 qui peuvent conduire à un déréférencement de pointeur NULL -ou une fuite de mémoire. Un utilisateur autorisé à monter des images de -système de fichiers arbitraires pouvait utiliser cela pour provoquer un +ou une fuite de mémoire. Un utilisateur autorisé à monter des images arbitraires de +système de fichiers pouvait utiliser cela pour provoquer un déni de service (plantage ou épuisement de ressources). https://security-tracker.debian.org/tracker/CVE-2022-3625;>CVE-2022-3625 @@ -137,10 +137,10 @@ https://security-tracker.debian.org/tracker/CVE-2022-3649;>CVE-2022-3649 -L'outil syzbot a découverts des défauts dans le pilote du système de +L'outil syzbot a découvert des défauts dans le pilote du système de fichiers nilfs2 qui peuvent conduire à une utilisation de mémoire après -libération. Un utilisateur autorisé à monter des images de -système de fichiers arbitraires pouvait utiliser cela pour provoquer un +libération. Un utilisateur autorisé à monter des images arbitraires de +système de fichiers pouvait utiliser cela pour provoquer un déni de service (plantage ou épuisement de ressources) ou éventuellement pour une élévation de privilèges. @@ -175,7 +175,7 @@ https://security-tracker.debian.org/tracker/CVE-2022-39190;>CVE-2022-39190 Gwangun Jung a signalé un défaut dans le sous-système nf_tables. Un -utilisateur local pouvait exploit cela pour provoquer un déni de service +utilisateur local pouvait exploiter cela pour provoquer un déni de service (plantage). https://security-tracker.debian.org/tracker/CVE-2022-39842;>CVE-2022-39842 @@ -207,7 +207,7 @@ https://security-tracker.debian.org/tracker/CVE-2022-41674;>CVE-2022-41674, https://security-tracker.debian.org/tracker/CVE-2022-42719;>CVE-2022-42719, https://security-tracker.debian.org/tracker/CVE-2022-42720;>CVE-2022-42720, https://security-tracker.debian.org/tracker/CVE-2022-42721;>CVE-2022-42721, https://security-tracker.debian.org/tracker/CVE-2022-42722;>CVE-2022-42722 Soenke Huster a découvert plusieurs vulnérabilités dans le sous-système -mac80211, déclenchées par des trames, qui peuvent avoir pour conséquence un +mac80211, déclenchées par des trames WLAN, qui peuvent avoir pour conséquence un déni de service ou l'exécution de code arbitraire. https://security-tracker.debian.org/tracker/CVE-2022-43750;>CVE-2022-43750 @@ -223,7 +223,7 @@ Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version
[RFR] wml://lts/security/2022/dla-317{1,2,3}.wml
Bonjour, trois nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures. Amicalement, jipege #use wml::debian::translation-check translation="7636af0cce7aa205c5abc5bd5dbb1236e7bbfd5c" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pouvaient conduire à une élévation de privilèges, un déni de service ou des fuites d'informations. https://security-tracker.debian.org/tracker/CVE-2021-4037;>CVE-2021-4037 Christian Brauner a signalé que la fonction inode_init_owner pour le système de fichiers XFS dans le noyau Linux permet aux utilisateurs locaux de créer des fichiers avec la propriété d'un groupe non prévu permettant à des attaquants d'élever leurs privilèges en rendant un simple fichier exécutable et SGID. https://security-tracker.debian.org/tracker/CVE-2022-0171;>CVE-2022-0171 Mingwei Zhang a signalé qu'un problème d'incohérence de cache dans l'API SEV dans le sous-système KVM peut avoir pour conséquence un déni de service. https://security-tracker.debian.org/tracker/CVE-2022-1184;>CVE-2022-1184 Un défaut a été découvert dans le pilote du système de fichiers ext4 qui peut conduire à une utilisation de mémoire après libération. Un utilisateur local autorisé à monter des systèmes de fichiers arbitraires pouvait exploiter cela pour provoquer un déni de service (plantage ou corruption de mémoire) ou éventuellement pour une élévation de privilèges. https://security-tracker.debian.org/tracker/CVE-2022-1679;>CVE-2022-1679 L'outil syzbot a découvert une situation de compétition dans le pilote ath9k_htc qui pouvait conduire à une utilisation de mémoire après libération. Cela pouvait être exploitable pour provoquer un déni de service (plantage ou corruption de mémoire) ou éventuellement une élévation de privilèges. https://security-tracker.debian.org/tracker/CVE-2022-2153;>CVE-2022-2153 kangel a signalé un défaut dans l'implémentation de KVM pour les processeurs x86 qui pouvait conduire à un déréférencement de pointeur NULL. Un utilisateur local autorisé à accéder à /dev/kvm pouvait exploiter cela pour provoquer un déni de service (plantage). https://security-tracker.debian.org/tracker/CVE-2022-2602;>CVE-2022-2602 Une situation de compétition entre le traitement d'une requête io_uring et le ramasse-miettes d'un socket Unix a été découvert. Un attaquant peut tirer avantage de ce défaut pour une élévation locale de privilèges. https://security-tracker.debian.org/tracker/CVE-2022-2663;>CVE-2022-2663 David Leadbeater a signalé des défauts dans le module du protocole de connexion nf_conntrack_irc. Quand ce module est activé sur un pare-feu, un utilisateur externe sur le même réseau IRC qu'un utilisateur interne pouvait exploiter son analyse laxiste pour ouvrir des ports TCP arbitraires dans le pare-feu, révéler son adresse IP publique ou pour bloquer sa connexion IRC au pare-feu. https://security-tracker.debian.org/tracker/CVE-2022-2905;>CVE-2022-2905 Hsin-Wei Hung a signalé un défaut dans le vérificateur eBPF qui peut conduire à une lecture hors limites. Si l'utilisation non-privilégiée d'eBPF est activée, cela peut divulguer des informations sensibles. Cette utilisation était déjà désactivée par défaut, ce qui devait pallier complètement la vulnérabilité. https://security-tracker.debian.org/tracker/CVE-2022-3028;>CVE-2022-3028 Abhishek Shah a signalé une situation de compétition dans le sous-système AF_KEY qui pouvait conduire à une écriture ou une lecture hors limites. Un utilisateur local pouvait exploiter cela pour provoquer un déni de service (plantage ou corruption de mémoire) pour obtenir des informations sensibles ou éventuellement pour une élévation de privilèges. https://security-tracker.debian.org/tracker/CVE-2022-3061;>CVE-2022-3061 Un défaut a été découvert dans le pilote i740 qui peut avoir pour conséquence un déni de service. Ce pilote est désactivé dans les configurations officielles du noyau de Debian. https://security-tracker.debian.org/tracker/CVE-2022-3176;>CVE-2022-3176 Un défaut d'utilisation de mémoire après libération a été découvert dans le sous-système io_uring qui peut avoir pour conséquence une élévation locale de privilèges vers ceux du superutilisateur. https://security-tracker.debian.org/tracker/CVE-2022-3303;>CVE-2022-3303 Une situation de compétition dans la fonction snd_pcm_oss_sync dans le sous-système son dans le noyau Linux, due à un verrouillage incorrect, peut avoir pour conséquence un déni de service. https://security-tracker.debian.org/tracker/CVE-2022-3586;>CVE-2022-3586 (ZDI-22-1452) Zero Day Initiative a signalé un défaut dans l'ordonnanceur réseau sch_sfb, qui pouvait conduire à une utilisation de mémoire après libération et une fuite d'informations sensibles issues du noyau. https://security-tracker.debian.org/tracker/CVE-2022-3621;>CVE-2022-3621,