Bonjour,
quatre nouvelles annonces de sécurité ont été publiées. En voici une
traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="32a132f04e40dd2b630709768cc7047af1cbeef0" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS
Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pouvaient conduire à une élévation de privilèges, un déni de service ou des
fuites d'informations.
https://security-tracker.debian.org/tracker/CVE-2021-4159;>CVE-2021-4159
Un défaut a été découvert dans le vérificateur eBPF qui pouvait conduire
à une lecture hors limites. Si l'utilisation non privilégiée d'eBPF est
activée, cela pouvait divulguer des informations sensibles. Cette
utilisation a déjà été désactivée par défaut, ce qui pourrait atténuer
complètement la vulnérabilité.
https://security-tracker.debian.org/tracker/CVE-2021-33655;>CVE-2021-33655
Un utilisateur doté d'un accès au pilote de tampon de trame de la
console pouvait provoquer une écriture de mémoire hors limites au moyen du
contrôle d'entrées et de sorties FBIOPUT_VSCREENINFO.
https://security-tracker.debian.org/tracker/CVE-2021-33656;>CVE-2021-33656
Un utilisateur doté d'un accès au pilote de tampon de trame de la
console pouvait provoquer une écriture de mémoire hors limites au moyen de
certains contrôles d'entrées et de sorties de configuration de fontes. Ces
contrôles d'entrées et de sorties obsolètes ont été supprimés.
https://security-tracker.debian.org/tracker/CVE-2022-1462;>CVE-2022-1462
一只狗 a signalé une situation de compétition dans le sous-système pty
(pseudo-terminal) qui pouvait conduire à une écriture hors limites de
tampon. Un utilisateur local pouvait exploiter cela pour provoquer un déni
de service (plantage ou corruption de mémoire) ou éventuellement une
élévation de privilèges.
https://security-tracker.debian.org/tracker/CVE-2022-1679;>CVE-2022-1679
L'outil syzbot a découvert une situation de compétition dans le pilote
ath9k_htc qui pouvait conduire à une utilisation de mémoire après
libération. Cela pourrait être exploitable pour provoquer un déni de
service (plantage ou corruption de mémoire) ou éventuellement une élévation
de privilèges.
https://security-tracker.debian.org/tracker/CVE-2022-2153;>CVE-2022-2153
kangel a signalé un défaut dans l'implémentation de KVM pour les
processeurs x86 qui pouvait conduire à un déréférencement de pointeur NULL.
Un utilisateur local autorisé à accéder à /dev/kvm pouvait exploiter cela
pour provoquer un déni de service (plantage).
https://security-tracker.debian.org/tracker/CVE-2022-2318;>CVE-2022-2318
Une utilisation de mémoire après libération dans la prise en charge du
protocole de radio amateur X.25 PLP (Rose) peut avoir pour conséquence un
déni de service.
https://security-tracker.debian.org/tracker/CVE-2022-2586;>CVE-2022-2586
Une utilisation de mémoire après libération dans le sous-système
Netfilter peut avoir pour conséquence une élévation locale de privilèges
pour un utilisateur doté de la capacité CAP_NET_ADMIN dans n'importe quel
espace de noms utilisateur ou réseau.
https://security-tracker.debian.org/tracker/CVE-2022-2588;>CVE-2022-2588
Zhenpeng Lin a découvert un défaut d'utilisation de mémoire après
libération dans l'implémentation du filtre cls_route qui peut avoir pour
conséquence une élévation locale de privilèges pour un utilisateur doté de
la capacité CAP_NET_ADMIN dans n'importe quel espace de noms utilisateur ou
réseau.
https://security-tracker.debian.org/tracker/CVE-2022-2663;>CVE-2022-2663
David Leadbeater a signalé des défauts dans le module du protocole de
connexion nf_conntrack_irc. Quand ce module est activé sur un pare-feu, un
utilisateur externe sur le même réseau IRC qu'un utilisateur interne
pouvait exploiter son analyse laxiste pour ouvrir des ports TCP arbitraires
dans le pare-feu, révéler son adresse IP publique ou pour bloquer sa
connexion IRC au pare-feu.
https://security-tracker.debian.org/tracker/CVE-2022-3028;>CVE-2022-3028
Abhishek Shah a signalé une situation de compétition dans le
sous-système AF_KEY qui pouvait conduire à une écriture ou une lecture hors
limites. Un utilisateur local pouvait exploiter cela pour provoquer un déni
de service (plantage ou corruption de mémoire) pour obtenir des
informations sensibles ou éventuellement pour une élévation de privilèges.
https://security-tracker.debian.org/tracker/CVE-2022-26365;>CVE-2022-26365, https://security-tracker.debian.org/tracker/CVE-2022-33740;>CVE-2022-33740, https://security-tracker.debian.org/tracker/CVE-2022-33741;>CVE-2022-33741, https://security-tracker.debian.org/tracker/CVE-2022-33742;>CVE-2022-33742
Roger Pau Monne a découvert que les frontaux de périphériques bloc et
réseau paravirtuels de Xen ne mettaient pas à zéro les régions de mémoire
avant de les partager avec le dorsal, ce qui pouvait avoir pour conséquence
la divulgation d'informations. En complément, il a été découvert que
