[RFR4] wml://lts/security/2020/dla-23{85,89,90,91,92}.wml

2020-10-04 Par sujet JP Guillonneau 
Bonjour,

le dimanche 04 octobre 12:42, Baptiste Jammet a écrit :

>Reformulation pour la dla-2385. Si je comprend bien
>https://www.kernel.org/doc/html/latest/admin-guide/mm/hugetlbpage.html
>(« a (pseudo) filesystem of type hugetlbfs ») et
>https://www.kernel.org/doc/html/latest/admin-guide/cgroup-v1/hugetlb.html
>hugetlb peut être considéré comme un (pseudo) système de fichier.
>
Merci Baptiste, erreur corrigée.

Les fichiers sont aussi ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml

Autre chance de commentaire.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="a4ce829c5f13cdfda040d170cfd7fcc0b7844752" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une élévation des privilèges, un déni de service ou une
fuite d'informations.



https://security-tracker.debian.org/tracker/CVE-2019-3874";>CVE-2019-3874

Les tampons du noyau alloués par le protocole réseau SCTP n’étaient pas
limités par le contrôleur de mémoire cgroup. Un utilisateur local pouvait
éventuellement utiliser cela pour contourner les limites de mémoire de conteneur
et provoquer un déni de service (utilisation excessive de mémoire).

https://security-tracker.debian.org/tracker/CVE-2019-19448";>CVE-2019-19448, https://security-tracker.debian.org/tracker/CVE-2019-19813";>CVE-2019-19813, https://security-tracker.debian.org/tracker/CVE-2019-19816";>CVE-2019-19816

Team bobfuzzer a signalé des bogues dans Btrfs qui pourraient conduire
à une utilisation de mémoire après libération ou à un dépassement de tampon de
tas, et qui pourraient être déclenchés par des images contrefaites de système de
fichiers. Un utilisateur autorisé à monter et accéder à des systèmes de fichiers
arbitraires pouvait utiliser cela pour provoquer un déni de service (plantage
ou corruption de mémoire) ou, éventuellement, pour une élévation des privilèges.

https://security-tracker.debian.org/tracker/CVE-2020-10781";>CVE-2020-10781

Luca Bruno de Red Hat a découvert que le fichier de contrôle zram
/sys/class/zram-control/hot_add était lisible par tous les utilisateurs. Sur un
système avec zram activé, un utilisateur local pouvait utiliser cela pour
provoquer un déni de service (épuisement de mémoire).

https://security-tracker.debian.org/tracker/CVE-2020-12888";>CVE-2020-12888

Il a été découvert que le pilote PCIe Virtual Function I/O (vfio-pci)
permettait aux utilisateurs de désactiver un espace mémoire de périphérique
encore mapper dans un processus. Sur certaines plateformes matérielles, des
utilisateurs locaux ou des machines virtuelles clientes autorisés à accéder
à des fonctions virtuelles PCIe pouvaient utiliser cela pour provoquer un déni
de service (erreur de matériel et plantage).

https://security-tracker.debian.org/tracker/CVE-2020-14314";>CVE-2020-14314

Un bogue a été découvert dans le système de fichiers ext4 qui pouvait
conduire à une lecture hors limites. Un utilisateur local autorisé à monter et
accéder à des images arbitraires de système de fichiers pouvait utiliser cela
pour provoquer un déni de service (plantage).

https://security-tracker.debian.org/tracker/CVE-2020-14331";>CVE-2020-14331

Un bogue a été découvert dans la fonction soft-scrollback de pilote de
console VGA qui pouvait conduire à un dépassement de tampon de tas. Sur un
système avec un noyau personnalisé ayant CONFIG_VGACON_SOFT_SCROLLBACK activé,
un utilisateur local avec accès à une console pouvait utiliser cela pour
provoquer un déni de service (plantage ou corruption de mémoire) ou,
éventuellement, pour une élévation des privilèges.

https://security-tracker.debian.org/tracker/CVE-2020-14356";>CVE-2020-14356

Un bogue a été découvert dans le traitement de références cgroup de socket
de sous-système cgroup. Dans certaines configurations cgroup, cela pouvait
conduire à une utilisation de mémoire après libération. Un utilisateur local
pouvait utiliser cela pour provoquer un déni de service (plantage ou corruption
de mémoire) ou, éventuellement, pour une élévation des privilèges.

https://security-tracker.debian.org/tracker/CVE-2020-14385";>CVE-2020-14385

Un bogue a été découvert dans XFS qui pouvait conduire à un attribut étendu
(xattr) d’être faussement détecté comme non valable. Un utilisateur local avec
accès à un système de fichiers XFS pouvait utiliser cela pour provoquer un déni
de service (shutdown pour un système de fichiers).

https://security-tracker.debian.org/tracker/CVE-2020-14386";>CVE-2020-14386

Or Cohen a découvert un bogue dans l’implémentation de socket de paquet
(AF_PACKET) qui pouvait conduire à un dépassement de tampon de tas. Un
utilisateur local avec la capacité CAP_NET_RAW (dans n’importe quel espace de
nommage utilisateur) pouvait utiliser ce

Re: [RFR] po4a://manpages-fr/lseek/po/fr.po 13f 2u

2020-10-04 Par sujet Jean-Philippe MENGUAL 




Jean-Philippe MENGUAL
Debian Developer non uploading
Community team member
Accessibility team member
debian-l10n-french team member
President of Debian France non-profit organization

Le 04/10/2020 à 08:25, JP Guillonneau a écrit :

Bonjour,

suggestions.


Amicalement.

--
Jean-Paul

Merci bien, voici le résultat

Amicalement,





lseek.2.tar.gz
Description: application/gzip

Re: Next release of manpages-l10n

2020-10-04 Par sujet Helge Kreutzmann 
Hello Jean-Philippe,
On Sun, Oct 04, 2020 at 10:28:59AM +0200, Jean-Philippe MENGUAL wrote:
> Le 04/10/2020 à 07:32, Helge Kreutzmann a écrit :
> > On Sat, Oct 03, 2020 at 08:25:36PM +0200, Mario Blättermann wrote:
> > > Am Sa., 3. Okt. 2020 um 20:03 Uhr schrieb Jean-Philippe MENGUAL
> > > :

> Can Tobias, Mario and whoever write a step-to-step doc (eg. in
> CONTRIBUTING.md) with administrative commands and actions needed to be a
> release manager? Perhaps I can help if I have the process and the git
> commands written, if I know who announce the next release to, etc. In case I
> have technical issues, I may find help on the mailing lists. But this
> initial doc is absolutely needed to help a non-tech person to do the release
> management I think.

Yes, this is the missing piece in the puzzle. Once we have this, I
think Mario is able to do the most generic (upstream) parts as well
and I would be able to complete the Debian specific parts.

Greetings

Helge

-- 
  Dr. Helge Kreutzmann deb...@helgefjell.de
   Dipl.-Phys.   http://www.helgefjell.de/debian.php
64bit GNU powered gpg signed mail preferred
   Help keep free software "libre": http://www.ffii.de/


signature.asc
Description: PGP signature

Re: [RFR3] wml://lts/security/2020/dla-23{85,89,90,91,92}.wml

2020-10-04 Par sujet Baptiste Jammet 
Bonjour, 

Dixit JP Guillonneau, le 03/10/2020 :
>Autre chance de commentaire.

Reformulation pour la dla-2385. Si je comprend bien
https://www.kernel.org/doc/html/latest/admin-guide/mm/hugetlbpage.html
(« a (pseudo) filesystem of type hugetlbfs ») et
https://www.kernel.org/doc/html/latest/admin-guide/cgroup-v1/hugetlb.html
hugetlb peut être considéré comme un (pseudo) système de fichier.

Baptiste
--- 062f.dla-2385.wml	2020-10-04 12:33:00.664958836 +0200
+++ ./062f.dla-2385-bj.wml	2020-10-04 12:38:20.441919246 +0200
@@ -116,8 +116,8 @@
 
 https://security-tracker.debian.org/tracker/CVE-2020-25285";>CVE-2020-25285
 
-Une situation de compétition a été découverte dans les gestionnaires hugetlb
-de sysctl de système de fichiers qui pouvait conduire à une corruption de pile.
+Une situation de compétition a été découverte dans les gestionnaires
+de sysctl du système de fichiers hugetlb qui pouvait conduire à une corruption de pile.
 Un utilisateur local avec accès en écriture sur les sysctl de grandes pages
 (hugepage) pouvait utiliser cela pour provoquer un déni de service (plantage ou
 corruption de mémoire) ou, éventuellement, pour une élévation des privilèges.


pgp3ZabXWzXtf.pgp
Description: Signature digitale OpenPGP

Re: [LCFC] wml://lts/security/2020/dla-23{79-2,86,87}.wml

2020-10-04 Par sujet Baptiste Jammet 
Bonjour, 

Dixit JP Guillonneau, le 03/10/2020 :
>Dernière chance de commentaire.

OK pour moi.

Baptiste



pgpl48ERe9slb.pgp
Description: Signature digitale OpenPGP

Re: ...

2020-10-04 Par sujet Vincent Lefevre 
Hi,

On 2020-10-03 22:03:44 +0200, Jean-Philippe MENGUAL wrote:
> The problem should be fixed in the new version of the manpages package.

I confirm (tested on the machine from which I reported the bug
10 years ago, with manpages-fr and manpages-fr-dev installed,
in particular, as manpages-fr-extra has become a transitional
dummy package).

Thanks,

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Next release of manpages-l10n

2020-10-04 Par sujet Jean-Philippe MENGUAL 



Le 04/10/2020 à 07:32, Helge Kreutzmann a écrit :

Hello Jean-Philippe,
On Sat, Oct 03, 2020 at 08:25:36PM +0200, Mario Blättermann wrote:

Am Sa., 3. Okt. 2020 um 20:03 Uhr schrieb Jean-Philippe MENGUAL
:
You don't have to be an »uploading developer« for releasing an
upstream tarball of manpages-l10n. This is only for Debian packaging.
Upstream releasing and downstream packaging do not necessarily have to
be linked to each other. Of course, this can be done by different
persons, although manpages-l10n is still to be considered as a Debian
project, but meanwhile distribution-agnostic.


I strongly concour with Mario.

manpages-l10n uses Debian infrastructure, but it is not a Debian
project, but rather an upstream one.

There are various downstreams as Mario gave a nice overview.

One of them is Debian, where currently Tobias is the Maintainer.
Unfortunately Tobias is not able to maintain both the Debian
downstream and the upstream project as he used to be.

Mario is very involved in getting the upstream part working again
(which I stronly support where I technically can) and we are
discussing this (albeit very slowly) with Tobias.

I offered to take over the Debian downstream part, which I technically
could (though reviewing the steps once more especially for backports
could be helpful), but I'm no developer, so Tobias would need to grant
me the permission for uploads. This has been proposed to Tobias, so I
hope the Debian side gets going properly again as well.

But the big issue are the upstream releases.


Can Tobias, Mario and whoever write a step-to-step doc (eg. in 
CONTRIBUTING.md) with administrative commands and actions needed to be a 
release manager? Perhaps I can help if I have the process and the git 
commands written, if I know who announce the next release to, etc. In 
case I have technical issues, I may find help on the mailing lists. But 
this initial doc is absolutely needed to help a non-tech person to do 
the release management I think.


Regards



Greetings

 Helge