Re: [RFR] wml://security/2020/dsa-46{67,69,70}.wml

2020-04-30 Par sujet daniel . malgorn

Bonjour,

quelques détails

amicalement.

On 30/04/2020 11:42, Jean-Pierre Giraud wrote:

Bonjour,
trois nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege

--- dsa-4670a.wml	2020-04-30 12:08:27.970305962 +0400
+++ dsa-4670.wml	2020-04-30 12:12:57.409753339 +0400
@@ -2,8 +2,8 @@
 Mise à jour de sécurité
 
 Plusieurs vulnérabilités ont été découvertes dans la bibliothèque TIFF.
-Cela peut avoir pour conséquence un déni de service ou l'exécution de code
-arbitraire lors du traitement de fichiers d'image mal formés.
+Cela peut avoir pour conséquence un déni de service ou l'exécution de codes
+arbitraires lors du traitement de fichiers d'images mal formés.
 
 Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés
 dans la version 4.0.8-2+deb9u5.
--- dsa-4667a.wml	2020-04-30 12:08:27.962306216 +0400
+++ dsa-4667.wml	2020-04-30 12:11:45.348040466 +0400
@@ -10,7 +10,7 @@
 https://security-tracker.debian.org/tracker/CVE-2020-2732";>CVE-2020-2732
 
 Paulo Bonzini a découvert que l'implémentation de KVM pour les
-processeurs Intel ne gérait pas correctement l'émulation d'instruction pour
+processeurs Intel ne gérait pas correctement l'émulation d'instructions pour
 des clients L2 quand la virtualisation imbriquée est activée. Cela pourrait
 permettre à un client L2 de provoquer une élévation de privilèges, un déni
 de service, ou des fuites d'informations dans le client L1.
@@ -24,7 +24,7 @@
 
 https://security-tracker.debian.org/tracker/CVE-2020-10942";>CVE-2020-10942
 
-Le pilote vhost_net ne validait pas correctement the type des sockets
+Le pilote vhost_net ne validait pas correctement le type des sockets
 configurés comme « backend ». Un utilisateur local autorisé à accéder à
 /dev/vhost-net pourrait utiliser cela pour provoquer une corruption de pile
 au moyen d'appels système contrefaits, avec pour conséquence un déni de


[RFR] wml://security/2020/dsa-46{67,69,70}.wml

2020-04-30 Par sujet Jean-Pierre Giraud
Bonjour,
trois nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="e90baee7118b8efb5569e312697b4a5aa4946e59" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Plusieurs vulnérabilités ont été découvertes dans la bibliothèque TIFF.
Cela peut avoir pour conséquence un déni de service ou l'exécution de code
arbitraire lors du traitement de fichiers d'image mal formés.

Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés
dans la version 4.0.8-2+deb9u5.

Nous vous recommandons de mettre à jour vos paquets tiff.

Pour disposer d'un état détaillé sur la sécurité de tiff, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/tiff";>\
https://security-tracker.debian.org/tracker/tiff.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2020/dsa-4670.data"
# $Id: $
#use wml::debian::translation-check translation="e52cb2abeccd7b7ce8c5ed7fbe702c571260cae1" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Plusieurs vulnérabilités ont été découvertes dans Node.js qui pourraient
avoir pour conséquence un déni de service ou une dissimulation de requête
HTTP.

Pour la distribution stable (Buster), ces problèmes ont été corrigés
dans la version 10.19.0~dfsg1-1.

Nous vous recommandons de mettre à jour vos paquets nodejs.

Pour disposer d'un état détaillé sur la sécurité de nodejs, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/nodejs";>\
https://security-tracker.debian.org/tracker/nodejs.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2020/dsa-4669.data"
# $Id: $
#use wml::debian::translation-check translation="ae06255bde57d831150a61d8cba709fe69cdbd83" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une élévation de privilèges, un déni de service, ou
une fuite d'informations.



https://security-tracker.debian.org/tracker/CVE-2020-2732";>CVE-2020-2732

Paulo Bonzini a découvert que l'implémentation de KVM pour les
processeurs Intel ne gérait pas correctement l'émulation d'instruction pour
des clients L2 quand la virtualisation imbriquée est activée. Cela pourrait
permettre à un client L2 de provoquer une élévation de privilèges, un déni
de service, ou des fuites d'informations dans le client L1.

https://security-tracker.debian.org/tracker/CVE-2020-8428";>CVE-2020-8428

Al Viro a découvert une vulnérabilité d'utilisation de mémoire après
libération dans la couche VFS. Cela permettait à des utilisateurs locaux de
provoquer un déni de service (plantage) ou d'obtenir des informations
sensibles à partir de la mémoire du noyau.

https://security-tracker.debian.org/tracker/CVE-2020-10942";>CVE-2020-10942

Le pilote vhost_net ne validait pas correctement the type des sockets
configurés comme « backend ». Un utilisateur local autorisé à accéder à
/dev/vhost-net pourrait utiliser cela pour provoquer une corruption de pile
au moyen d'appels système contrefaits, avec pour conséquence un déni de
service (plantage) ou éventuellement une élévation de privilèges.

https://security-tracker.debian.org/tracker/CVE-2020-11565";>CVE-2020-11565

Entropy Moe a signalé que le système de fichiers de la mémoire partagée
(tmpfs) ne gérait pas correctement une option de montage mpol en
indiquant une liste de nœuds vide, menant à une écriture de pile hors
limites. Si les espaces de noms utilisateur sont activés, un utilisateur
local pourrait utiliser cela pour provoquer un déni de service (plantage)
ou éventuellement pour une élévation de privilèges.

https://security-tracker.debian.org/tracker/CVE-2020-11884";>CVE-2020-11884

Al Viro a signalé une situation de compétition dans le code de gestion
de mémoire pour IBM Z (architecture s390x) qui peut avoir pour conséquence
l'exécution de code par le noyau à partir de l'espace d'adresses
utilisateur. Un utilisateur local pourrait utiliser cela pour une élévation
de privilèges.



Pour la distribution stable (Buster), ces problèmes ont été corrigés
dans la version 4.19.98-1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets linux.

Pour disposer d'un état détaillé sur la sécurité de linux, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/linux";>\
https://security-tracker.debian.org/tracker/linux.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2020/dsa-4667.data"
# $Id: $