[RFR] wml://security/2014/dsa-2906.wml

[Baptiste Jammet]

Bonjour,

Une annonce de sécurité concernant le noayu de squeeze a été publiée.
Voici une proposition de traduction que je soumet à vos relectures.

Merci d'avance.

Baptiste

#use wml::debian::translation-check translation="1.1" maintainer="Baptiste Jammet"
<define-tag description>Augmentation de droits/déni de service/fuite d'informations</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire 
à un déni de service, une fuite d'informations ou à l'augmentation de droits. 

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0343";>CVE-2013-0343</a>

<p>George Kargiotakis a signalé un problème dans le traitement des adresses temporaires
des extensions IPv6 pour la vie privée. Des utilisateurs sur le même LAN peuvent provoquer
un déni de service ou obtenir un accès à des informations sensibles en envoyant au routeur
des messages d'avertissement qui provoqueraient la désactivation de la génération des adresses 
temporaires.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2147";>CVE-2013-2147</a>

<p>Dan Carpenter a signalé des problèmes dans le driver cpqarray pour les contrôleurs Compaq
Smart2 et le driver cciss pour les contrôleurs HP Smart Array 
autorisant les utilisateurs à accéder à la mémoire sensible du noyau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2889";>CVE-2013-2889</a>

<p>Kees Cook a découvert une absence de vérification des entrées dans le driver HID pour
les manette de jeu Zeroplus qui pourrait conduire à un déni de service local.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2893";>CVE-2013-2893</a>

<p>Kees Cook a découvert que l'absence de vérification des entrées dans le driver HID
pour divers matériels Logitech à retour de force pourrait conduire à un déni de service local.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2929";>CVE-2013-2929</a>

<p>Vasily Kulikov a découvert qu'un défaut dans la fonction get_dumpable() 
du sous-système ptrace pourrait conduire à la divulgation d'informations. Seuls les systèmes
avec <q>fs.suid_dumpable sysctl</q> réglé à une valeur de <q>2</q> sont
vulnérables.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4162";>CVE-2013-4162</a>

<p>Hannes Frederic Sowa a découvert que le traitement incorrect des sockets IPv6
utilisant l'option UDP_CORK pourrait conduire à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4299";>CVE-2013-4299</a>

<p>Fujitsu a signalé un problème dans le sous-système device-mapper. Des utilisateurs locaux
pourrait obtenir un accès à la mémoire sensible du noyau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4345";>CVE-2013-4345</a>

<p>Stephan Mueller a trouvé un bogue dans le générateur de nombre pseudo aléatoire ANSI
qui pourrait conduire à l'utilisation de moins d'entropie que prévu..</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4512";>CVE-2013-4512</a>

<p>Nico Golde et Fabian Yamaguchi ont signalé un problème dans le portage en mode utilisateur
de Linux. Une condition de dépassement de tampon existe dans la méthode d'écriture
pour le fichier /proc/exitcode. Des utilisateurs locaux avec des privilèges suffisants
pour écrire dans ce fichier pourraient gagner des droits plus importants.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4587";>CVE-2013-4587</a>

<p>Andrew Honig de Google a signalé un problème dans le sous-système de virtualisation KVM.
Un utilisateur local pourrait gagner des privilèges plus élevés en envoyant un grand paramètre 
vcpu_id.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6367";>CVE-2013-6367</a>

<p>Andrew Honig de Google a signalé un problème dans le sous-système de virtualisation KVM.
Une condition de division par zéro pourrait autoriser un utilisateur invité à provoquer un déni de 
service sur l'hôte (plantage).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6380";>CVE-2013-6380</a>

<p>Mahesh Rajashekhara a signalé un problème dans le driver aacraid pour les produits de
stockage de différents vendeurs. Des utilisateurs locaux avec les privilèges CAP_SYS_ADMIN
pourraient gagner de droits plus importants.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6381";>CVE-2013-6381</a>

<p>Nico Golde et Fabian Yamaguchi a signalé un problème dans la prise en charge du matériel
Gigabit Ethernet pour les systèmes s390. Des utilisateurs locaux pourraient provoquer un déni 
de service ou gagner des privilèges plus élevés via l'ioctl SIOC_QETH_ADP_SET_SNMP_CONTROL.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6382";>CVE-2013-6382</a>

<p>Nico Golde et Fabian Yamaguchi ont signalé un problème dans le système de fichiers XFS.
Des utilisateurs locaux avec le privilège CAP_SYS_ADMIN pourraient gagner des droits plus 
importants.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6383";>CVE-2013-6383</a>

<p>Dan Carpenter a signalé un problème dans le driver aacraid pour les produits de
stockage de différents vendeurs. Un utilisateur local pourrait gagner des privilèges à cause 
d'un manque de vérification du niveau de droit dans la fonction aac_compat_ioctl.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7263";>CVE-2013-7263</a>
<a href="https://security-tracker.debian.org/tracker/CVE-2013-7264";>CVE-2013-7264</a>
<a href="https://security-tracker.debian.org/tracker/CVE-2013-7265";>CVE-2013-7265</a>

<p>mpb a signalé une fuite d'informations dans les appels système recvfrom, recvmmsg et recvmsg.
Un utilisateur local pourrait obtenir un accès à la mémoire sensible du noyau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7339";>CVE-2013-7339</a>

<p>Sasha Levin a signalé un problème dans le protocole réseau RDS Infiniband.
Un utilisateur local pourrait provoquer une condition de déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0101";>CVE-2014-0101</a>

<p>Nokia Siemens Networks a signalé un problème dans le sous-système du protocole réseau SCTP.
Des utilisateurs distants pourraient provoquer un déni de service (déréférencement de pointeur NULL).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1444";>CVE-2014-1444</a>

<p>Salva Peiro a signalé un problème dans le driver FarSync WAN. Des utilisateurs locaux
avec le privilège CAP_NET_ADMIN pourraient obtenir un accès à la mémoire sensible du noyau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1445";>CVE-2014-1445</a>

<p>Salva Peiro a signalé un problème dans le driver de carte série wanXL. Des utilisateurs locaux 
pourraient obtenir un accès à la mémoire sensible du noyau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1446";>CVE-2014-1446</a>

<p>Salva Peiro a signalé un problème dans le driver du modem radio YAM. Des utilisateurs locaux
avec le privilège CAP_NET_ADMIN pourraient obtenir un accès à la mémoire sensible du noyau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1874";>CVE-2014-1874</a>

<p>Matthew Thode a signalé un problème dans le sous-système SELinux. Un utilisateur local
avec le privilège CAP_MAC_ADMIN pourrait provoquer un déni de service en positionnant un
contexte de sécurité vide dans un fichier.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2039";>CVE-2014-2039</a>

<p>Martin Schwidefsky a signalé un problème sur les systèmes s390. Un utilisateur local
pourrait provoquer un déni de service (kernel oops) en exécutant une application
contenant une instruction d'empilement de liaison.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2523";>CVE-2014-2523</a>

<p>Daniel Borkmann a proposé un correctif pour un problème dans le module nf_conntrack_dccp.
Des utilisateurs distants pourraient provoquer un déni de service (plantage)
ou éventuellement gagner des droits plus élevé.</p></li>

</ul>

<p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 2.6.32-48squeeze5.</p>

<p>Le tableau suivant indique la liste des paquets supplémentaires qui ont été reconstruits à des fins de compatibilité ou pour tirer parti de cette mise à jour :</p>

<div class="centerdiv">
<table cellspacing="0" cellpadding="2">
<tr>
<th>&nbsp;</th>
<th>Debian 6.0 (Squeeze)</th>
</tr>
<tr>
<td>user-mode-linux</td>
<td>2.6.32-1um-4+48squeeze5</td>
</tr>
</table>
</div>


<p>Nous vous recommandons de mettre à jour vos paquets linux-2.6 et user-mode-linux.
<p><b>Note</b> : Debian suit avec attention tous les problèmes de sécurité connus dans 
chaque paquet du noyau linux pour toutes les publications bénéficiant d'une prise en charge 
active de la sécurité. Cependant, étant donnée la grande fréquence à laquelle des problèmes 
de sécurité mineurs sont découverts dans le noyau et les ressources nécessaires pour faire 
une mise à jour, les mises à jour pour les problèmes à faible priorité ne sont normalement 
pas publiées pour tous les noyaux en même temps. Elles seront plutôt publiées de façon 
échelonnée.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2906.data"
# $Id: dsa-2906.wml,v 1.1 2014/04/26 11:47:38 kaare Exp $

signature.asc
Description: PGP signature