Bonjour, Une nouvelle annonce de sécurité vient d'être publiée. En voici une traduction. Merci d'avance pour vos relectures.
Amicalement, jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourrait conduire à un déni de service :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3610";>CVE-2014-3610</a> <p>Lars Bull de Google et Nadav Amit ont signalé un défaut dans la manière dont KVM gérait les écritures non canoniques dans certains registres MSR. Un utilisateur client privilégié peut exploiter ce défaut pour provoquer un déni de service (<q>kernel panic</q>) sur l'hôte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3611";>CVE-2014-3611</a> <p>Lars Bull de Google a signalé une situation de compétition dans le code d'émulation PIT de KVM. Un utilisateur client local disposant d'un accès aux ports d'entrées/sorties de PIT pourrait exploiter ce défaut pour provoquer un déni de service (plantage) sur l'hôte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3645";>CVE-2014-3645</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2014-3646";>CVE-2014-3646</a> <p>L'équipe Advanced Threat Research d'Intel Security a découvert que le sous-système KVM ne gérait pas de matière élégante les sorties de machines virtuelles pour les instructions invept (traductions invalides dérivées d'EPT) et invvpid (traductions invalides basées sur VPID). Sur un hôte avec un processeur Intel et la prise en charge de sorties invept/invppid de machines virtuelles, un utilisateur client non privilégié pourrait utiliser ces instructions pour planter le client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3647";>CVE-2014-3647</a> <p>Nadav Amit a signalé que KVM faisait des erreurs de manipulation des adresses non canoniques lors de l'émulation d'instructions qui changent le registre rip, provoquant éventuellement l'échec d'une entrée de machine virtuelle. Un utilisateur client disposant d'un accès aux entrées/sorties ou aux entrées et sorties de projection en mémoire (<q>MMIO</q>) peut utiliser ce défaut pour provoquer un déni de service (plantage du système) du client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3673";>CVE-2014-3673</a> <p>Liu Wei de Red Hat a découvert un défaut dans net/core/skbuff.c menant à un <q>kernel panic</q> lors de la réception de morceaux ASCONF (<q>Address Configuration Change Chunk</q> mal formés. Un attaquant distant pourrait utiliser ce défaut pour planter le système.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3687";>CVE-2014-3687</a> <p>Un défaut dans la pile SCTP a été découverte menant à un <q>kernel panic</q> lors de la réception de morceaux ASCONF dupliqués. Un attaquant distant pourrait utiliser ce défaut pour planter le système.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3688";>CVE-2014-3688</a> <p>Il a été découvert que la pile SCTP est prédisposée à un problème de manque de mémoire déclenché à distance causé par une mise en file d'attente excessive. Un attaquant distant pourrait utiliser ce défaut pour provoquer des conditions de déni de service sur le système.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3690";>CVE-2014-3690</a> <p>Andy Lutomirski a découvert qu'un traitement incorrect de registre dans KVM pourrait conduire à un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7207";>CVE-2014-7207</a> <p>Plusieurs développeurs Debian ont signalé un problème dans le sous-système réseau IPv6. Un utilisateur local disposant d'un accès à des périphériques <q>tun</q> ou macvtap, ou une machine virtuelle connectée à un périphérique de ce type, peut causer un déni de service (plantage du système).</p> <p>Cette mise à jour inclut une correction de bogue lié à <a href="https://security-tracker.debian.org/tracker/CVE-2014-7207";>CVE-2014-7207</a> qui désactive l'UFO (<q>UDP Fragmentation Offload</q>) dans les pilotes macvtap, tun et virtio_net. Cela fera que la migration d'une machine virtuelle active d'un hôte fonctionnant avec une version plus ancienne du noyau vers un hôte fonctionnant avec cette version du noyau échouera, si la machine virtuelle a été assignée à un périphérique réseau virtio. Afin de migrer une telle machine virtuelle, il faut d'abord l'arrêter.</p></li> </ul> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.2.63-2+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets linux.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dsa-3060.data" # $Id: dsa-3060.wml,v 1.1 2014/10/31 22:48:08 jipege1-guest Exp $
