Re: [RFR] wml://lts/security/2022/dla-317{1,2,3}.wml

[bubub]

Bonjour,
> trois nouvelles annonces de sécurité ont été publiées. En voici une
> traduction. Merci d'avance pour vos relectures.

 suggestions et détails,
   amicalement,
   bubu--- dla-3172.wml	2022-11-12 12:12:46.922881133 +0100
+++ bisdla-3172.wml	2022-11-12 12:15:08.051789606 +0100
@@ -10,12 +10,12 @@
 
 L'analyse d'un document XML avec l'option XML_PARSE_HUGE activée peut
 avoir pour conséquence un dépassement d'entier du fait de l'absence de
-vérification de sécurité dans certaines fonctions. Également, la fonction
+vérification de sécurité dans certaines fonctions. De même, la fonction
 xmlParseEntityValue n'avait plus aucune limitation de longueur.
 
 https://security-tracker.debian.org/tracker/CVE-2022-40304;>CVE-2022-40304
 
-Quand une boucle de références est détecté dans la fonction de nettoyage
+Quand une boucle de références est détectée dans la fonction de nettoyage
 d'entités XML, les données de l'entité XML peuvent être stockées dans un
 dictionnaire. Dans ce cas, le dictionnaire devient corrompu avec pour
 conséquences des erreurs logiques, dont des erreurs de mémoires telles--- dla-3173.wml	2022-11-12 12:01:46.842806830 +0100
+++ bisdla-3173.wml	2022-11-12 12:10:49.510586146 +0100
@@ -137,7 +137,7 @@
 
 https://security-tracker.debian.org/tracker/CVE-2022-3649;>CVE-2022-3649
 
-L'outil syzbot a découverts des défauts dans le pilote du système de
+L'outil syzbot a découvert des défauts dans le pilote du système de
 fichiers nilfs2 qui peuvent conduire à une utilisation de mémoire après
 libération.  Un utilisateur autorisé à monter des images de
 système de fichiers arbitraires pouvait utiliser cela pour provoquer un
@@ -175,7 +175,7 @@
 https://security-tracker.debian.org/tracker/CVE-2022-39190;>CVE-2022-39190
 
 Gwangun Jung a signalé un défaut dans le sous-système nf_tables. Un
-utilisateur local pouvait exploit cela pour provoquer un déni de service
+utilisateur local pouvait exploiter cela pour provoquer un déni de service
 (plantage).
 
 https://security-tracker.debian.org/tracker/CVE-2022-39842;>CVE-2022-39842

Re: [RFR] wml://lts/security/2022/dla-317{1,2,3}.wml

[JP Guillonneau]

Bonjour,

Le 11/11/22 19:00 Jean-Pierre a écrit :
> trois nouvelles annonces de sécurité ont été publiées. En voici une 
> traduction. Merci d'avance pour vos relectures.

Suggestions.

Amicalement.

-- 
Jean-Paul
--- dla-3172.wml.orig	2022-11-12 09:19:47.883775721 +0100
+++ dla-3172.wml	2022-11-12 09:21:33.521460249 +0100
@@ -15,11 +15,11 @@
 
 https://security-tracker.debian.org/tracker/CVE-2022-40304;>CVE-2022-40304
 
-Quand une boucle de références est détecté dans la fonction de nettoyage
+Quand une boucle de références est détectée dans la fonction de nettoyage
 d'entités XML, les données de l'entité XML peuvent être stockées dans un
 dictionnaire. Dans ce cas, le dictionnaire devient corrompu avec pour
-conséquences des erreurs logiques, dont des erreurs de mémoires telles
-qu'une double libération de zone mémoire..
+conséquences des erreurs de logiques, dont des erreurs de mémoire telles
+qu'une double libération de zone mémoire.
 
 
 
--- dla-3173.wml.orig	2022-11-12 09:21:51.749756168 +0100
+++ dla-3173.wml	2022-11-12 09:36:29.360625832 +0100
@@ -11,7 +11,7 @@
 
 Christian Brauner a signalé que la fonction inode_init_owner pour le
 système de fichiers XFS dans le noyau Linux permet aux utilisateurs locaux
-de créer des fichiers avec la propriété d'un groupe non prévu permettant à
+de créer des fichiers avec une appartenance à un groupe non prévue, permettant à
 des attaquants d'élever leurs privilèges en rendant un simple fichier
 exécutable et SGID.
 
@@ -47,7 +47,7 @@
 https://security-tracker.debian.org/tracker/CVE-2022-2602;>CVE-2022-2602
 
 Une situation de compétition entre le traitement d'une requête io_uring
-et le ramasse-miettes d'un socket Unix a été découvert. Un attaquant peut
+et le ramasse-miettes d'un socket Unix a été découverte. Un attaquant peut
 tirer avantage de ce défaut pour une élévation locale de privilèges.
 
 https://security-tracker.debian.org/tracker/CVE-2022-2663;>CVE-2022-2663
@@ -62,7 +62,7 @@
 https://security-tracker.debian.org/tracker/CVE-2022-2905;>CVE-2022-2905
 
 Hsin-Wei Hung a signalé un défaut dans le vérificateur eBPF qui peut
-conduire à une lecture hors limites. Si l'utilisation non-privilégiée
+conduire à une lecture hors limites. Si l'utilisation non privilégiée
 d'eBPF est activée, cela peut divulguer des informations sensibles. Cette
 utilisation était déjà désactivée par défaut, ce qui devait pallier
 complètement la vulnérabilité.
@@ -105,8 +105,8 @@
 
 L'outil syzbot a découvert des défauts dans le pilote du système de
 fichiers nilfs2 qui peuvent conduire à un déréférencement de pointeur NULL
-ou une fuite de mémoire. Un utilisateur autorisé à monter des images de
-système de fichiers arbitraires pouvait utiliser cela pour provoquer un
+ou une fuite de mémoire. Un utilisateur autorisé à monter des images arbitraires de
+système de fichiers pouvait utiliser cela pour provoquer un
 déni de service (plantage ou épuisement de ressources).
 
 https://security-tracker.debian.org/tracker/CVE-2022-3625;>CVE-2022-3625
@@ -137,10 +137,10 @@
 
 https://security-tracker.debian.org/tracker/CVE-2022-3649;>CVE-2022-3649
 
-L'outil syzbot a découverts des défauts dans le pilote du système de
+L'outil syzbot a découvert des défauts dans le pilote du système de
 fichiers nilfs2 qui peuvent conduire à une utilisation de mémoire après
-libération.  Un utilisateur autorisé à monter des images de
-système de fichiers arbitraires pouvait utiliser cela pour provoquer un
+libération. Un utilisateur autorisé à monter des images arbitraires de
+système de fichiers pouvait utiliser cela pour provoquer un
 déni de service (plantage ou épuisement de ressources) ou éventuellement
 pour une élévation de privilèges.
 
@@ -175,7 +175,7 @@
 https://security-tracker.debian.org/tracker/CVE-2022-39190;>CVE-2022-39190
 
 Gwangun Jung a signalé un défaut dans le sous-système nf_tables. Un
-utilisateur local pouvait exploit cela pour provoquer un déni de service
+utilisateur local pouvait exploiter cela pour provoquer un déni de service
 (plantage).
 
 https://security-tracker.debian.org/tracker/CVE-2022-39842;>CVE-2022-39842
@@ -207,7 +207,7 @@
 https://security-tracker.debian.org/tracker/CVE-2022-41674;>CVE-2022-41674, https://security-tracker.debian.org/tracker/CVE-2022-42719;>CVE-2022-42719, https://security-tracker.debian.org/tracker/CVE-2022-42720;>CVE-2022-42720, https://security-tracker.debian.org/tracker/CVE-2022-42721;>CVE-2022-42721, https://security-tracker.debian.org/tracker/CVE-2022-42722;>CVE-2022-42722
 
 Soenke Huster a découvert plusieurs vulnérabilités dans le sous-système
-mac80211, déclenchées par des trames, qui peuvent avoir pour conséquence un
+mac80211, déclenchées par des trames WLAN, qui peuvent avoir pour conséquence un
 déni de service ou l'exécution de code arbitraire.
 
 https://security-tracker.debian.org/tracker/CVE-2022-43750;>CVE-2022-43750
@@ -223,7 +223,7 @@
 
 
 Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version

[RFR] wml://lts/security/2022/dla-317{1,2,3}.wml

[Jean-Pierre Giraud]

Bonjour,
trois nouvelles annonces de sécurité ont été publiées. En voici une 
traduction. Merci d'avance pour vos relectures.

Amicalement,
jipege
#use wml::debian::translation-check translation="7636af0cce7aa205c5abc5bd5dbb1236e7bbfd5c" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pouvaient conduire à une élévation de privilèges, un déni de service ou des
fuites d'informations.



https://security-tracker.debian.org/tracker/CVE-2021-4037;>CVE-2021-4037

Christian Brauner a signalé que la fonction inode_init_owner pour le
système de fichiers XFS dans le noyau Linux permet aux utilisateurs locaux
de créer des fichiers avec la propriété d'un groupe non prévu permettant à
des attaquants d'élever leurs privilèges en rendant un simple fichier
exécutable et SGID.

https://security-tracker.debian.org/tracker/CVE-2022-0171;>CVE-2022-0171

Mingwei Zhang a signalé qu'un problème d'incohérence de cache dans l'API
SEV dans le sous-système KVM peut avoir pour conséquence un déni de
service.

https://security-tracker.debian.org/tracker/CVE-2022-1184;>CVE-2022-1184

Un défaut a été découvert dans le pilote du système de fichiers ext4 qui
peut conduire à une utilisation de mémoire après libération. Un utilisateur
local autorisé à monter des systèmes de fichiers arbitraires pouvait
exploiter cela pour provoquer un déni de service (plantage ou corruption de
mémoire) ou éventuellement pour une élévation de privilèges.

https://security-tracker.debian.org/tracker/CVE-2022-1679;>CVE-2022-1679

L'outil syzbot a découvert une situation de compétition dans le pilote
ath9k_htc qui pouvait conduire à une utilisation de mémoire après
libération. Cela pouvait être exploitable pour provoquer un déni de service
(plantage ou corruption de mémoire) ou éventuellement une élévation de
privilèges.

https://security-tracker.debian.org/tracker/CVE-2022-2153;>CVE-2022-2153

kangel a signalé un défaut dans l'implémentation de KVM pour les
processeurs x86 qui pouvait conduire à un déréférencement de pointeur NULL.
Un utilisateur local autorisé à accéder à /dev/kvm pouvait exploiter cela
pour provoquer un déni de service (plantage).

https://security-tracker.debian.org/tracker/CVE-2022-2602;>CVE-2022-2602

Une situation de compétition entre le traitement d'une requête io_uring
et le ramasse-miettes d'un socket Unix a été découvert. Un attaquant peut
tirer avantage de ce défaut pour une élévation locale de privilèges.

https://security-tracker.debian.org/tracker/CVE-2022-2663;>CVE-2022-2663

David Leadbeater a signalé des défauts dans le module du protocole de
connexion nf_conntrack_irc. Quand ce module est activé sur un pare-feu, un
utilisateur externe sur le même réseau IRC qu'un utilisateur interne
pouvait exploiter son analyse laxiste pour ouvrir des ports TCP arbitraires
dans le pare-feu, révéler son adresse IP publique ou pour bloquer sa
connexion IRC au pare-feu.

https://security-tracker.debian.org/tracker/CVE-2022-2905;>CVE-2022-2905

Hsin-Wei Hung a signalé un défaut dans le vérificateur eBPF qui peut
conduire à une lecture hors limites. Si l'utilisation non-privilégiée
d'eBPF est activée, cela peut divulguer des informations sensibles. Cette
utilisation était déjà désactivée par défaut, ce qui devait pallier
complètement la vulnérabilité.

https://security-tracker.debian.org/tracker/CVE-2022-3028;>CVE-2022-3028

Abhishek Shah a signalé une situation de compétition dans le
sous-système AF_KEY qui pouvait conduire à une écriture ou une lecture hors
limites. Un utilisateur local pouvait exploiter cela pour provoquer un déni
de service (plantage ou corruption de mémoire) pour obtenir des
informations sensibles ou éventuellement pour une élévation de privilèges.

https://security-tracker.debian.org/tracker/CVE-2022-3061;>CVE-2022-3061

Un défaut a été découvert dans le pilote i740 qui peut avoir pour
conséquence un déni de service.

Ce pilote est désactivé dans les configurations officielles du noyau de
Debian.

https://security-tracker.debian.org/tracker/CVE-2022-3176;>CVE-2022-3176

Un défaut d'utilisation de mémoire après libération a été découvert dans
le sous-système io_uring qui peut avoir pour conséquence une élévation
locale de privilèges vers ceux du superutilisateur.

https://security-tracker.debian.org/tracker/CVE-2022-3303;>CVE-2022-3303

Une situation de compétition dans la fonction snd_pcm_oss_sync dans le
sous-système son dans le noyau Linux, due à un verrouillage incorrect, peut
avoir pour conséquence un déni de service.

https://security-tracker.debian.org/tracker/CVE-2022-3586;>CVE-2022-3586 (ZDI-22-1452)

Zero Day Initiative a signalé un défaut dans l'ordonnanceur réseau
sch_sfb, qui pouvait conduire à une utilisation de mémoire après libération
et une fuite d'informations sensibles issues du noyau.

https://security-tracker.debian.org/tracker/CVE-2022-3621;>CVE-2022-3621,