Re: [RFR2] wml://lts/security/2020/dla-224{0,1,3}.wml
Bonjour, On 6/12/20 12:59 PM, JP Guillonneau wrote: > le jeudi 11 juin 15:36, daniel.malg...@laposte.net a écrit : > >> 2 détails > > Merci, intégrés. quelques suggestions. Bien cordialement, Grégoire --- dla-2241.wml 2020-06-15 09:39:09.240026095 +0800 +++ gregoire.dla-2241.wml 2020-06-15 10:01:00.597559300 +0800 @@ -30,12 +30,12 @@ l’itinérance pour une nouvelle station associée avant que la station ne soit authentifiée. Un attaquant dans la portée du point d’accès pourrait utiliser cela pour provoquer un déni de service, soit en remplissant une table de -commutateur ou en redirigeant ailleurs le trafic d’autres stations. +commutateur soit en redirigeant ailleurs le trafic d’autres stations. https://security-tracker.debian.org/tracker/CVE-2019-19319";>CVE-2019-19319 -Jungyeon a découvert qu’un système de fichiers contrefait peut provoquer que -l’implémentation d’ext4 alloue ou désalloue des blocs de journal. Un utilisateur +Jungyeon a découvert qu’un système de fichiers contrefait peut amener +l’implémentation d’ext4 à allouer ou à désallouer des blocs de journal. Un utilisateur autorisé à monter des systèmes de fichiers pourrait utiliser cela pour provoquer un déni de service (plantage), ou, éventuellement, pour une élévation des privilèges. @@ -44,7 +44,7 @@ Il a été découvert que le pilote du système de fichiers ext4 ne gérait pas de manière sécurisée la dissociation d’un inœud qui, à cause de la corruption du -système de fichiers, a un total de lien égal à zéro. Un attaquant capable de +système de fichiers, a un compteur de liens effectifs (« link count ») égal à zéro. Un attaquant capable de monter des volumes ext4 arbitraires pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une élévation des privilèges. @@ -52,7 +52,7 @@ https://security-tracker.debian.org/tracker/CVE-2019-19768";>CVE-2019-19768 Tristan Madani a signalé une situation de compétition dans l’utilitaire -blktrace de débogage qui pourrait aboutir dans une utilisation de mémoire après +de débogage blktrace qui pourrait aboutir dans une utilisation de mémoire après libération. Un utilisateur local, capable de déclencher l’enlèvement de périphériques blocs, pourrait éventuellement utiliser cela afin de provoquer un déni de service (plantage) ou pour une élévation des privilèges. @@ -68,7 +68,7 @@ https://security-tracker.debian.org/tracker/CVE-2020-0009";>CVE-2020-0009 -Jann Horn a signalé que le pilote ashmem Android n’empêchait pas que des +Jann Horn a signalé que le pilote Android ashmem n’empêchait pas que des fichiers en lecture seule soient mappés en mémoire puis remappés en lecture et écriture. Toutefois, les pilotes Android ne sont pas autorisés dans les configurations noyau de Debian. @@ -160,7 +160,7 @@ https://security-tracker.debian.org/tracker/CVE-2020-11565";>CVE-2020-11565 -Entropy Moe a signalé que le système de fichiers mémoire partagé (tmpfs) ne +Entropy Moe a signalé que le système de fichiers à mémoire partagée (tmpfs) ne gérait pas une option de montage mpol indiquant une liste de nœuds vide, conduisant à une écriture basée sur la pile hors limites. Si les espaces de nommage utilisateur sont activés, un utilisateur local pourrait utiliser cela
[RFR2] wml://lts/security/2020/dla-224{0,1,3}.wml
Bonjour, le jeudi 11 juin 15:36, daniel.malg...@laposte.net a écrit : >2 détails Merci, intégrés. Les fichiers sont aussi ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml Autre chance de commentaire. Amicalement. -- Jean-Paul #use wml::debian::translation-check translation="17d4c242ab055d2283825097058cc25beb58ea60" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une élévation des privilèges, un déni de service ou une fuite d'informations. https://security-tracker.debian.org/tracker/CVE-2015-8839";>CVE-2015-8839 Une situation de compétition a été découverte dans lâimplémentation du système de fichiers ext4. Un utilisateur local pourrait exploiter cela pour provoquer un déni de service (corruption du système de fichiers). https://security-tracker.debian.org/tracker/CVE-2018-14610";>CVE-2018-14610, https://security-tracker.debian.org/tracker/CVE-2018-14611";>CVE-2018-14611, https://security-tracker.debian.org/tracker/CVE-2018-14612";>CVE-2018-14612, https://security-tracker.debian.org/tracker/CVE-2018-14613";>CVE-2018-14613 Wen Xu du SSLab à Gatech a signalé que des volumes Btrfs contrefaits pourraient déclencher un plantage (Oops) ou un accès en mémoire hors limites. Un attaquant capable de monter un tel volume pourrait utiliser cela pour provoquer un déni de service ou, éventuellement, pour une élévation des privilèges. https://security-tracker.debian.org/tracker/CVE-2019-5108";>CVE-2019-5108 Mitchell Frank de Cisco a découvert que quand la pile IEEE 802.11 (WiFi) était utilisée dans le mode accès sans fil (AP) avec itinérance, elle pouvait déclencher lâitinérance pour une nouvelle station associée avant que la station ne soit authentifiée. Un attaquant dans la portée du point dâaccès pourrait utiliser cela pour provoquer un déni de service, soit en remplissant une table de commutateur ou en redirigeant ailleurs le trafic dâautres stations. https://security-tracker.debian.org/tracker/CVE-2019-19319";>CVE-2019-19319 Jungyeon a découvert quâun système de fichiers contrefait peut provoquer que lâimplémentation dâext4 alloue ou désalloue des blocs de journal. Un utilisateur autorisé à monter des systèmes de fichiers pourrait utiliser cela pour provoquer un déni de service (plantage), ou, éventuellement, pour une élévation des privilèges. https://security-tracker.debian.org/tracker/CVE-2019-19447";>CVE-2019-19447 Il a été découvert que le pilote du système de fichiers ext4 ne gérait pas de manière sécurisée la dissociation dâun inÅud qui, à cause de la corruption du système de fichiers, a un total de lien égal à zéro. Un attaquant capable de monter des volumes ext4 arbitraires pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une élévation des privilèges. https://security-tracker.debian.org/tracker/CVE-2019-19768";>CVE-2019-19768 Tristan Madani a signalé une situation de compétition dans lâutilitaire blktrace de débogage qui pourrait aboutir dans une utilisation de mémoire après libération. Un utilisateur local, capable de déclencher lâenlèvement de périphériques blocs, pourrait éventuellement utiliser cela afin de provoquer un déni de service (plantage) ou pour une élévation des privilèges. https://security-tracker.debian.org/tracker/CVE-2019-20636";>CVE-2019-20636 Lâoutil syzbot a trouvé que le sous-système de saisie ne vérifie pas complètement les modifications de codes de touche, ce qui pourrait aboutir à une écriture de tas hors limites. Un utilisateur local, autorisé à accéder au nÅud de périphérique pour un périphérique de saisie ou vidéo, pourrait éventuellement utiliser cela pour provoquer un déni de service (plantage ou corruption de mémoire) ou pour une élévation des privilèges. https://security-tracker.debian.org/tracker/CVE-2020-0009";>CVE-2020-0009 Jann Horn a signalé que le pilote ashmem Android nâempêchait pas que des fichiers en lecture seule soient mappés en mémoire puis remappés en lecture et écriture. Toutefois, les pilotes Android ne sont pas autorisés dans les configurations noyau de Debian. https://security-tracker.debian.org/tracker/CVE-2020-0543";>CVE-2020-0543 Des chercheurs à VU Amsterdam ont découvert que sur quelques CPU dâIntel gérant les instructions RDRAND et RDSEED, une partie de la valeur aléatoire générée par ces instructions peut être utilisée dans une exécution spéculative ultérieure sur nâimporte quel cÅur du même CPU physique. Selon la façon dont ces instructions sont utilisées par les applications, un utilisateur local ou une VM cliente pourrait utiliser cela pour obtenir des informations sensibles telles que des clés de chiffrement dâautres utilisate
