![[OpenBSD]](../images/smalltitle.gif)
Ceci est la liste des errata & des correctifs d'OpenBSD 4.7:
Pour des informations concernant la branche
stable d'OpenBSD, référez-vous ici.
Pour les errata concernant une version précise, cliquez ci-dessous:
2.1,
2.2,
2.3,
2.4,
2.5,
2.6,
2.7,
2.8,
2.9,
3.0,
3.1,
3.2,
3.3,
3.4,
3.5,
3.6,
3.7,
3.8,
3.9,
4.0,
4.1,
4.2,
4.3,
4.4,
4.5,
4.6,
4.8,
4.9,
5.0,
5.1,
5.2.
Vous pouvez également télécharger un fichier tar.gz contenant tous les
correctifs suivants.
Ce fichier est mis à jour une fois par jour.
Les correctifs ci-dessous sont disponibles sur CVS via la branche
OPENBSD_4_7 stable.
Pour des informations plus détaillées à propos de
l'installation de correctifs sur OpenBSD, consultez la
FAQ OpenBSD.
-
013: CORRECTIF DE SECURITE: 16 février 2011
Architectures Little-endian
Les règles PF spécifiant une plage d'adresse (par exemple "10.1.1.1 - 10.1.1.5")
ne sont pas correctement prises en compte sur les systèmes little-endian
(alpha, amd64, arm, i386, mips64el, vax). Les autres types
d'adresses (adresses seules "10.1.1.1" et préfixes "10.1.1.1/30")
ne sont pas affectés.
Un correctif corrigeant le problème au niveau du code source est disponible.
-
012: CORRECTIF DE SECURITE: 11 février 2011
Toutes les architectures
Un message "ClientHello handshake" formaté de manière incorrecte
fait qu'OpenSSL analyse au-delà de la fin du message. Un
attaquant pourrait utiliser cette faille pour déclencher un accès
mémoire invalide, provoquant un plantage d'une application liée à
OpenSSL. De même, certaines applications peuvent exposer le contenu
des extensions OCSP analysées, en particulier l'extension OCSP nonce.
Les applications sont seulement affectées si elles servent de
serveur et appellent SSL_CTX_set_tlsext_status_cb sur le SSL_CTX
serveur. Normalement rien ne l'utilise dans le système de base.
Apache httpd commence à l'utiliser dans v2.3.3; ce qui est plus
récent que la version dans les ports.
Un correctif corrigeant le problème au niveau du code source est disponible.
-
011: CORRECTIF DE FIABILITE: 13 janvier 2011
Toutes les architectures
Les sp_protocol dans les messages RTM_DELETE pourraient contenir des
valeurs malformées entraînant le routage de sockets que les utilisateurs
restreignant AF (comme ospfd) ne pourraient pas voir les messages RTM_DELETE.
Un correctif corrigeant le problème au niveau du code source est disponible.
-
010: CORRECTIF DE FIABILITE: 20 décembre 2010
Toutes les architectures
Importation des contre-mesures d'attaques CBC d'oracle au matériel d'accélération
cryptographique. Cela corrige des aes-ni, via xcrypt et des drivers variés
(glxsb(4),
hifn(4),
safe(4)
et
ubsec(4)).
Un correctif corrigeant le problème au niveau du code source est disponible.
-
009: CORRECTIF DE SECURITE: 17 décembre 2010
Toutes les architectures
Une initialisation insuffisante de la structure des règles pf dans
le gestionnaire ioctl peut permettre à l'userland de modifier la mémoire
du noyau. Par défaut les privilèges root sont nécessaires pour
ajouter ou modifier les règles de pf.
Un correctif corrigeant le problème au niveau du code source est disponible.
-
008: CORRECTIF DE FIABILITE: 17 novembre 2010
Toutes les architectures
Une faille dans le code de parsage de l'extension serveur OpenSSL TLS pourrait
mener à un buffer overflow. Cela affecte les serveurs TLS basés sur OpenSSL qui
sont multi-threadés et qui utilisent le mécanisme de caching interne à OpenSSL.
Les serveurs multi-processus et/ou n'utilisant pas le caching interne ne sont
pas affectés.
Un correctif corrigeant le problème au niveau du code source est disponible.
-
007: CORRECTIF DE FIABILITE: 14 septembre 2010
Toutes les architectures
Éviter d'appeler scsi_done() plus d'une fois dans gdt(4), cela corrige un kernel
panic déclenché par la synchronisation de disques durant l'arrêt du système.
Nettoyer le flag ITSDONE avant d'émettre des commandes à l'adaptateur SCSI,
ce qui corrige la gestion des commandes SCSI réessayées.
Un correctif corrigeant le problème au niveau du code source est disponible.
-
006: CORRECTIF DE FIABILITE: 8 juillet 2010
Toutes les architectures
Restaurer une sémantique inhabituelle: corrige des problèmes avec dump(8)/restore(8) vus
sur certains types de disques.
Un correctif corrigeant le problème au niveau du code source est disponible.
-
005: CORRECTIF DE FIABILITE: 14 mai 2010
Toutes les architectures
Des mises à jour incorrectement initialisées peuvent faire que pfsync
mette à jour des storms.
Un correctif corrigeant le problème au niveau du code source est disponible.
-
004: CORRECTIF DE SECURITE: 23 avril 2010
Toutes les architectures
La combinaison de pfsync et IPSEC peut planter le noyau.
Un correctif corrigeant le problème au niveau du code source est disponible.
-
003: CORRECTIF DE SECURITE: 14 avril 2010
Toutes les architectures
Dans les connexions TLS, certains documents au format incorrect
peuvent provoquer un accident sur un client ou un serveur d'OpenSSL
dû à une tentative de lecture à NULL.
Un correctif corrigeant le problème au niveau du code source est disponible.
-
002: CORRECTIF DE FIABILITE: 4 avril 2010
Toutes les architectures
Lors de la mise à jour de sensors affichant le statut de volumes RAID,
mpi(4)
alloue une mémoire temporaire et la retourne ensuite au noyau en tant
que mémoire périphérique. Cela entraîne la mauvaise utilisation de la
mémoire par le noyau, pouvant éventuellement mener à un déni de service
lorsqu'une limite de ressource est atteinte.
Un correctif corrigeant le problème au niveau du code source est disponible.
-
001: CORRECTIF DE FIABILITE: 31 mars 2010
Toutes les architectures
Lors du décryptage de paquets, les fonctions de décryptage internes
n'étaient pas assez paranoïaques lors de vérifications d'underruns,
pouvant potentiellement mener à des crashes.
Un correctif corrigeant le problème au niveau du code source est disponible.
www@openbsd.org
$OpenBSD: errata47.html,v 1.1 2013/01/13 09:31:06 ajacoutot Exp $