Problèmes et questions concernant le noyau et le support matériel.
Répondre

Arch-audit

#1Messageil y a 6 ans

Petite question pour ceux qui ont essayé l'outil arch-audit.

J'ai installé l'application sur les conseils d'un ami surtout par curiosité et voici le retour de la commande :

 arch-audit
Package binutils is affected by ["CVE-2017-9044", "CVE-2017-9043", "CVE-2017-9042", "CVE-2017-9041", "CVE-2017-9040", "CVE-2017-9039", "CVE-2017-9038", "CVE-2017-7210", "CVE-2017-7209", "CVE-2017-6969", "CVE-2017-6966", "CVE-2017-6965", "CVE-2017-15025", "CVE-2017-15024", "CVE-2017-15023", "CVE-2017-15022", "CVE-2017-15021", "CVE-2017-15020"]. High risk!
Package curl is affected by ["CVE-2017-1000254"]. Low risk! Update to 7.56.0-1!
Package dnsmasq is affected by ["CVE-2017-14496", "CVE-2017-14495", "CVE-2017-14494", "CVE-2017-14493", "CVE-2017-14492", "CVE-2017-14491"]. Critical risk! Update to 2.78-1!
Package exiv2 is affected by ["CVE-2017-11592", "CVE-2017-11591", "CVE-2017-11553"]. Medium risk!
Package faad2 is affected by ["CVE-2017-9257", "CVE-2017-9256", "CVE-2017-9255", "CVE-2017-9254", "CVE-2017-9253", "CVE-2017-9223", "CVE-2017-9222", "CVE-2017-9221", "CVE-2017-9220", "CVE-2017-9219", "CVE-2017-9218"]. High risk!
Package glibc is affected by ["CVE-2017-12133", "CVE-2017-12132"]. Critical risk!
Package jasper is affected by ["CVE-2017-9782", "CVE-2017-6852", "CVE-2017-6850", "CVE-2017-5505", "CVE-2017-5504", "CVE-2017-5503"]. High risk!
Package krb5 is affected by ["CVE-2017-11462", "CVE-2017-11368"]. High risk! Update to 1.15.2-1!
Package lame is affected by ["CVE-2017-15018", "CVE-2017-9872", "CVE-2017-9871", "CVE-2017-9870", "CVE-2017-9869", "CVE-2015-9101"]. Medium risk!
Package lib32-glibc is affected by ["CVE-2017-12133", "CVE-2017-12132"]. Critical risk!
Package libcurl-compat is affected by ["CVE-2017-1000254", "CVE-2017-1000100", "CVE-2017-1000099"]. Medium risk! Update to 7.56.0-1!
Package libffi is affected by ["CVE-2017-1000376"]. High risk!
Package libvorbis is affected by ["CVE-2017-11735", "CVE-2017-11333"]. Low risk!
Package libzip is affected by ["CVE-2017-12858"]. High risk!
Package openjpeg2 is affected by ["CVE-2016-9118", "CVE-2016-9117", "CVE-2016-9116", "CVE-2016-9115", "CVE-2016-9114", "CVE-2016-9113"]. High risk!
Package openvpn is affected by ["CVE-2017-12166"]. Medium risk! Update to 2.4.4-1!
Package pcre is affected by ["CVE-2017-11164"]. Medium risk!
Package pcre2 is affected by ["CVE-2017-7186"]. Medium risk!
Package podofo is affected by ["CVE-2017-7994", "CVE-2017-7383", "CVE-2017-7382", "CVE-2017-7381", "CVE-2017-7380", "CVE-2017-7379", "CVE-2017-7378", "CVE-2017-6842", "CVE-2017-6841", "CVE-2017-6840"]. High risk!
Package xorg-server is affected by ["CVE-2017-13723", "CVE-2017-13721"]. Medium risk! Update to 1.19.4.-1!


Tout en sachant que je n'ai pas installé de paquets hors dépôts (sauf bien sûr AUR).

L'application vient de cette page : memo-linux

Alors, c'est grave docteurs ?
Dernière modification par obelix1502il y a 6 ans, modifié au total 1 fois.

Arch-audit

#2Messageil y a 6 ans

alors il faut faire attention à ces CVE :
il s'agit de découvertes de failles et il n'est pas forcement aisé et rapide de les corriger ( ou réduire )
les critikal sont de niveau 0-day , il faut donc les corriger au plus vite ,
à condition d'avoir la version corrigé sécurité par ArchLinux ....
a priori 2 sont attendus dsnmasq et glibc ( en cours )
après les high risks puis les risque les plus faibles

je rappelle que cela n'implique pas que la version corrigée soit disponible côté Archlinux

Arch-audit

#3Messageil y a 6 ans

D'accord avec toi, mais pour les newbies comme moi, comment faire ces corrections ? La plupart sinon tous, ces paquets viennent des dépôts Manjaro...

Il faut attendre les màj ?

Arch-audit

#4Messageil y a 6 ans

alors il faut rappeler :
1 - d'abord cela peut venir d'archlinux , et dans le cas de version en cours on attends la version stable
2 - rarement a l'initiative propre de Manjaro l’équipe développeur est petite ,
au vue du temps pour la rolling release
3 - la précipitation en informatique , c'est l’ennemi du bien

Arch-audit

#5Messageil y a 6 ans

Ok, merci stephane, je ne fais rien alors ;)

Arch-audit

#6Messageil y a 6 ans

:bjr: Effectivement faire un audit est une chose et corriger la faille d'un programme en est une autre qui dépend des développeurs. Donc, attendre la correction reste la seule perspective pour nous, les utilisateurs :clindoeil:

Image
Répondre