Bonjour, Le 03/01/2020 à 21:22, JP Guillonneau a écrit : > Bonjour, > > suggestions. > > Amicalement. > > -- > Jean-Paul
C'est corrigé. De nouvelles relectures ? Amicalement, jipege
#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il est signalé qu'OpenSSH, le client et serveur Secure Shell, avait un problème d'énumération d'utilisateurs.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6210";>CVE-2016-6210</a> <p>Énumération d'utilisateurs au moyen d'un canal temporel caché</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 6.0p1-4+deb7u5.</p> <p>Nous vous recommandons de mettre à jour vos paquets openssh.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-578.data" # $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans qemu-kvm, une solution complète de virtualisation sur les machines x86. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5239";>CVE-2015-5239</a> <p>Lian Yihan a découvert que QEMU gérait incorrectement certaines charges utiles de message dans le pilote d'affichage de VNC. Un client malveillant pourrait utiliser ce problème pour provoquer le blocage du processus de QEMU, avec pour conséquence un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2857";>CVE-2016-2857</a> <p>Ling Liu a découvert que QEMU gérait incorrectement les routines de sommes de contrôle IP. Un attaquant dans le client pourrait utiliser ce problème pour provoquer le plantage de QEMU, avec pour conséquence un déni de service, ou éventuellement la divulgation d'octets de la mémoire de l'hôte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4020";>CVE-2016-4020</a> <p>Donghai Zdh a découvert que QEMU gérait incorrectement le TPR (Task Priority Register). Un attaquant privilégié dans le client pourrait utiliser ce problème pour éventuellement la divulgation d'octets de la mémoire de l'hôte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4439";>CVE-2016-4439</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2016-6351";>CVE-2016-6351</a> <p>Li Qiang a découvert que l'émulation du contrôleur Fast SCSI (FSC) 53C9X est affectée par des problèmes d'accès hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5403";>CVE-2016-5403</a> <p>Zhenhao Hong a découvert qu'un administrateur client malveillant peut provoquer une allocation de mémoire illimitée dans QEMU (ce qui peut provoquer une condition d'épuisement de mémoire) en soumettant des requêtes virtio sans prendre la peine d'attendre leur achèvement.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6+deb7u14.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-574.data" # $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans QEMU, un émulateur de processeur rapide. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5239";>CVE-2015-5239</a> <p>Lian Yihan a découvert que QEMU gérait incorrectement certaines charges utiles de message dans le pilote d'affichage de VNC. Un client malveillant pourrait utiliser ce problème pour provoquer le blocage du processus de QEMU, avec pour conséquence un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2857";>CVE-2016-2857</a> <p>Ling Liu a découvert que QEMU gérait incorrectement les routines de sommes de contrôle IP. Un attaquant dans le client pourrait utiliser ce problème pour provoquer le plantage de QEMU, avec pour conséquence un déni de service, ou éventuellement la divulgation d'octets de la mémoire de l'hôte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4020";>CVE-2016-4020</a> <p>Donghai Zdh a découvert que QEMU gérait incorrectement le TPR (Task Priority Register). Un attaquant privilégié dans le client pourrait utiliser ce problème pour éventuellement la divulgation d'octets de la mémoire de l'hôte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4439";>CVE-2016-4439</a> <p>, <a href="https://security-tracker.debian.org/tracker/CVE-2016-6351";>CVE-2016-6351</a></p> <p>Li Qiang a découvert que l'émulation du contrôleur Fast SCSI (FSC) 53C9X est affectée par des problèmes d'accès hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5403";>CVE-2016-5403</a> <p>Zhenhao Hong a découvert qu'un administrateur client malveillant peut provoquer une allocation de mémoire illimitée dans QEMU (ce qui peut provoquer une condition d'épuisement de mémoire) en soumettant des requêtes virtio sans prendre la peine d'attendre leur achèvement.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6+deb7u14.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-573.data" # $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3672";>CVE-2014-3672</a> (XSA-180) <p>Andrew Sorensen a découvert qu'un domaine HVM peut épuiser l'espace disque des hôtes en le remplissant du fichier journal.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3158";>CVE-2016-3158</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2016-3159";>CVE-2016-3159</a> (XSA-172) <p>Jan Beulich de SUSE a découvert que Xen ne gérait pas correctement les écritures du bit FSW.ES du matériel lors de l'exécution sur des processeurs AMD64. Un domaine malveillant peut tirer avantage de ce défaut pour obtenir des informations sur l'utilisation de l'espace d'adresse et la synchronisation d'un autre domaine, à un coût relativement faible.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3710";>CVE-2016-3710</a> (XSA-179) <p>Wei Xiao et Qinghao Tang de 360.cn Inc ont découvert un défaut de lecture et d'écriture hors limites dans le module VGA de QEMU. Un utilisateur client privilégié pourrait utiliser ce défaut pour exécuter du code arbitraire sur l'hôte avec les privilèges du processus hôte de QEMU.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3712";>CVE-2016-3712</a> (XSA-179) <p>Zuozhi Fzz de Alibaba Inc a découvert de possibles problèmes de dépassement d'entier ou d'accès en lecture hors limites dans le module VGA de QEMU. Un utilisateur client privilégié pourrait utiliser ce défaut pour monter un déni de service (plantage du processus de QEMU).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3960";>CVE-2016-3960</a> (XSA-173) <p>Ling Liu et Yihan Lian de l'équipe Cloud Security de Qihoo 360 ont découvert un dépassement d'entier dans le code de la table des pages miroir x86. Un client HVM utilisant des tables des pages miroir peut faire planter l'hôte. Un client PV utilisant des tables des pages miroir (c'est-à-dire ayant été migrées) avec des superpages PV activées (ce qui n'est pas le cas par défaut) peut faire planter l'hôte, ou corrompre la mémoire de l'hyperviseur, menant éventuellement à une élévation de privilèges.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4480";>CVE-2016-4480</a> (XSA-176) <p>Jan Beulich a découvert qu'un traitement incorrect de table des pages pourrait avoir pour conséquence une augmentation de droits dans une instance de client Xen.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6258";>CVE-2016-6258</a> (XSA-182) <p>Jeremie Boutoille a découvert qu'un traitement incorrect de table des pages dans des instances paravirtuelles (PV) pourrait avoir pour conséquence une augmentation de droits du client vers l'hôte.</p></li> <li>En complément, cette annonce de sécurité de Xen sans référence CVE a été corrigée : XSA-166 <p>Konrad Rzeszutek Wilk et Jan Beulich ont découvert que le traitement d'ioreq est éventuellement vulnérable à un problème de lectures multiples.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 4.1.6.lts1-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets xen.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-571.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il était possible de piéger la fonction KArchiveDirectory::copyTo() de kde4libs dans l'extraction de fichiers vers des emplacements arbitraires du système à partir d'un fichier tar préparé pour l'occasion, en dehors du dossier d'extraction.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 4:4.8.4-4+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets kde4libs.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-570.data" # $Id: $
