Bonjour, voici la traduction de deux nouvelles pages de sécurité.
Merci d’avance pour vos relectures et commentaires. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="135a6357f0d0953294fef15c961efcfc5f6d85c5" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p><a href="https://security-tracker.debian.org/tracker/CVE-2023-31248";>CVE-2023-31248</a> <a href="https://security-tracker.debian.org/tracker/CVE-2023-35001";>CVE-2023-35001</a>.</p> <p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pouvaient conduire à une élévation des privilèges, un déni de service ou une fuite d'informations.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-2156";>CVE-2023-2156</a> <p>Il a été découvert qu’un défaut dans le traitement du protocole RPL pouvait permettre à un attaquant distant non authentifié de provoquer un déni de service si RPL était activé (non activé par défaut dans Debian).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-3390";>CVE-2023-3390</a> <p>Un défaut d’utilisation de mémoire après libération dans le sous-système netfilter, causé par un traitement incorrect de chemin d’erreur, pouvait aboutir à un déni de service ou à une élévation des privilèges.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-3610";>CVE-2023-3610</a> <p>Un défaut d'utilisation de mémoire après libération dans le sous-système netfilter, provoqué par le traitement incorrect de refcount sur le chemin de <q>destroy</q> de table et <q>chain</q>, pouvait avoir pour conséquences un déni de service ou une élévation de privilèges.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-20593";>CVE-2023-20593</a> <p>Tavis Ormandy a découvert que dans certaines circonstances microarchitecturales, un registre de vecteur dans les CPU AMD <q>Zen 2</q> n’était par réglé correctement à zéro. Ce défaut permettait à un attaquant de divulguer des informations sensibles à travers des processus concurrents, des threads hyper et des invités virtualisés.</p> <p>Pour plus de détails, consulter <a href="https://lock.cmpxchg8b.com/zenbleed.html";>https://lock.cmpxchg8b.com/zenbleed.html</a> et <a href="https://github.com/google/security-research/security/advisories/GHSA-v6wh-rxpg-cmm8";> https://github.com/google/security-research/security/advisories/GHSA-v6wh-rxpg-cmm8</a></p> <p>Ce problème peut aussi être atténué par une mise à jour du microcode au moyen du paquet amd64-microcode ou la mise à jour du microprogramme du système (BIOS/UEFI). Cependant,la version initiale du microcode d'AMD ne fournit des mises à jour que pour les processeurs EPYC de deuxième génération: divers processeurs Ryzen sont aussi affectés, mais les mises à jour ne sont pas encore disponibles.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-31248";>CVE-2023-31248</a> <p>Mingi Cho a découvert un défaut d’utilisation de mémoire après libération dans l’implémentation Netfilter de nf_tables lors de l’utilisation de nft_chain_lookup_byid, qui pouvait aboutir à une élévation locale des privilèges pour un utilisateur avec la capacité CAP_NET_ADMIN dans tout espace de nommage utilisateur ou réseau.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-35001";>CVE-2023-35001</a> <p>Tanguy DUBROCA a découvert un défaut de lecture et écriture hors limites dans l’implémentation Netfilter de nf_tables lors du traitement d’une expression nft_byteorder, qui pouvait aboutir à une élévation locale des privilèges pour un utilisateur avec la capacité CAP_NET_ADMIN dans tout espace de nommage utilisateur ou réseau.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans la version 5.10.179-3~deb10u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets linux-5.10.</p> <p>Pour disposer d'un état détaillé sur la sécurité de linux-5.10, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/linux-5.10";>\ https://security-tracker.debian.org/tracker/linux-5.10</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3512.data" # $Id: $
#use wml::debian::translation-check translation="bfea3cb2ed255efbcf5efa370b4cc579490a224e" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert qu’il existait une vulnérabilité potentielle d’injection LDAP dans Bouncy Castle, une bibliothèque de chiffrement pour Java. Durant le processus de validation de certificat, bouncycastle utilisait <q>Subject name</q> de certificat dans un filtre de recherche LDAP sans aucun échappement.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2023-33201";>CVE-2023-33201</a> <p>Bouncy Castle pour Java avant la version 1.74 était sujet à une vulnérabilité d’injection LDAP. Cette vulnérabilité affectait seulement les applications qui utilisaient CertStore de LDAP à partir de Bouncy Castle pour valider les certificats X.509. Durant le processus de validation du certificat, Bouncy Castle insérait le <q>Subject Name</q> de certificat dans un filtre de recherche LDAP sans aucun échappement, conduisant à une vulnérabilité d’injection LDAP.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans la version 1.60-1+deb10u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets bouncycastle.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3514.data" # $Id: $
