Re: [RFR] wml://lts/security/2020/dla-224{0,1,3}.wml

2020-06-11 Par sujet daniel . malgorn 


On 11/06/2020 14:50, JP Guillonneau wrote:
> Bonjour,
> 
> Ces annonces de sécurité ont été publiées.
> Les fichiers sont aussi disponibles ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml
> 
> Merci d’avance pour vos relectures.
> 
> Amicalement.
> 
> --
> Jean-Paul
> 

Bonjour,

2 détails

Amicalement.
--- dla-2241A.wml	2020-06-11 15:23:30.212720233 +0400
+++ dla-2241.wml	2020-06-11 15:29:16.096797273 +0400
@@ -69,7 +69,7 @@
 https://security-tracker.debian.org/tracker/CVE-2020-0009;>CVE-2020-0009
 
 Jann Horn a signalé que le pilote ashmem Android n’empêchait pas que des
-fichiers en lecture seule d’être mappés en mémoire et alors remappés en lecture
+fichiers en lecture seule soient mappés en mémoire puis remappés en lecture
 et écriture. Toutefois, les pilotes Android ne sont pas autorisés dans les
 configurations noyau de Debian.
 
@@ -133,7 +133,7 @@
 
 Il a été découvert que le sous-système d’horloge matérielle PTP ne gérait pas
 correctement la durée de vie de périphérique. L’enlèvement d’une horloge
-matérielle PTP du système pendant qu’un processus d’utilisateur l’employait
+matérielle PTP du système pendant qu’un processus d’utilisateur l’emploie
 pourrait conduire à une utilisation de mémoire après libération. L’impact de
 sécurité est nébuleux.
 
--- dla-2240A.wml	2020-06-11 15:30:53.185217307 +0400
+++ dla-2240.wml	2020-06-11 15:31:51.622492726 +0400
@@ -6,7 +6,7 @@
 n'exige pas particulièrement de lien entre le périphérique et l'hôte. Des
 périphériques malveillants peuvent tirer avantage de ce défaut pour se connecter
 à un hôte cible et se faire passer pour un périphérique HID existant sans
-sécurité ou de produire une découverte de services SDP ou GATT, ce qui
+sécurité ou produire une découverte de services SDP ou GATT, ce qui
 permettrait l'injection de rapports HID dans le sous-système d'entrée à partir
 d'une source non liée.

[RFR] wml://lts/security/2020/dla-224{0,1,3}.wml

2020-06-11 Par sujet JP Guillonneau 
Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="92ba3c73f70957746efa761a17e9e08f00f53e4c" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS


Plusieurs problèmes de sécurité ont été découverts dans le navigateur web
Firefox de Mozilla, qui pourraient éventuellement aboutir dans l'exécution de
code arbitraire ou à une attaque temporelle des clés de chiffrement.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans
la version 68.9.0esr-1~deb8u2.
Remarque : 68.9.0esr-1~deb8u2 corrige une erreur de construction i386
dans 68.9.0esr-1~deb8u1 pour le reste identique, téléversé mais pas publié.

Nous vous recommandons de mettre à jour vos paquets firefox-esr.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2243.data"
# $Id: $
#use wml::debian::translation-check translation="17d4c242ab055d2283825097058cc25beb58ea60" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une élévation des privilèges, un déni de service ou une
fuite d'informations.



https://security-tracker.debian.org/tracker/CVE-2015-8839;>CVE-2015-8839

Une situation de compétition a été découverte dans l’implémentation du
système de fichiers ext4. Un utilisateur local pourrait exploiter cela pour
provoquer un déni de service (corruption du système de fichiers).

https://security-tracker.debian.org/tracker/CVE-2018-14610;>CVE-2018-14610,
https://security-tracker.debian.org/tracker/CVE-2018-14611;>CVE-2018-14611,
https://security-tracker.debian.org/tracker/CVE-2018-14612;>CVE-2018-14612,
https://security-tracker.debian.org/tracker/CVE-2018-14613;>CVE-2018-14613

Wen Xu du SSLab à Gatech a signalé que des volumes Btrfs contrefaits pourraient
déclencher un plantage (Oops) ou un accès en mémoire hors limites. Un attaquant
capable de monter un tel volume pourrait utiliser cela pour provoquer un déni de
service ou, éventuellement, pour une élévation des privilèges.

https://security-tracker.debian.org/tracker/CVE-2019-5108;>CVE-2019-5108

Mitchell Frank de Cisco a découvert que quand la pile IEEE 802.11 (WiFi) était
utilisée dans le mode accès sans fil (AP) avec itinérance, elle pouvait déclencher
l’itinérance pour une nouvelle station associée avant que la station ne soit
authentifiée. Un attaquant dans la portée du point d’accès pourrait utiliser
cela pour provoquer un déni de service, soit en remplissant une table de
commutateur ou en redirigeant ailleurs le trafic d’autres stations.

https://security-tracker.debian.org/tracker/CVE-2019-19319;>CVE-2019-19319

Jungyeon a découvert qu’un système de fichiers contrefait peut provoquer que
l’implémentation d’ext4 alloue ou désalloue des blocs de journal. Un utilisateur
autorisé à monter des systèmes de fichiers pourrait utiliser cela pour provoquer
un déni de service (plantage), ou, éventuellement, pour une élévation des
privilèges.

https://security-tracker.debian.org/tracker/CVE-2019-19447;>CVE-2019-19447

Il a été découvert que le pilote du système de fichiers ext4 ne gérait pas
de manière sécurisée la dissociation d’un inœud qui, à cause de la corruption du
système de fichiers, a un total de lien égal à zéro. Un attaquant capable de
monter des volumes ext4 arbitraires pourrait utiliser cela pour provoquer un
déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une
élévation des privilèges.

https://security-tracker.debian.org/tracker/CVE-2019-19768;>CVE-2019-19768

Tristan Madani a signalé une situation de compétition dans l’utilitaire
blktrace de débogage qui pourrait aboutir dans une utilisation de mémoire après
libération. Un utilisateur local, capable de déclencher l’enlèvement de
périphériques blocs, pourrait éventuellement utiliser cela afin de provoquer un
déni de service (plantage) ou pour une élévation des privilèges.

https://security-tracker.debian.org/tracker/CVE-2019-20636;>CVE-2019-20636

L’outil syzbot a trouvé que le sous-système de saisie ne vérifie pas
complètement les modifications de codes de touche, ce qui pourrait aboutir à une
écriture de tas hors limites. Un utilisateur local, autorisé à accéder au nœud de
périphérique pour un périphérique de