[DONE] wml://security/2015/dsa-3343.wml
Cheers! Lev Lamberov --- english/security/2015/dsa-3343.wml 2015-08-26 20:26:35.0 +0500 +++ russian/security/2015/dsa-3343.wml 2015-08-26 21:47:33.715577113 +0500 @@ -1,20 +1,22 @@ -define-tag descriptionsecurity update/define-tag +#use wml::debian::translation-check translation=1.1 maintainer=Lev Lamberov +define-tag descriptionобновление безопасности/define-tag define-tag moreinfo -pJames Kettle, Alain Tiemblo, Christophe Coevoet and Fabien Potencier -discovered that twig, a templating engine for PHP, did not correctly -process its input. End users allowed to submit twig templates could -use specially crafted code to trigger remote code execution, even in -sandboxed templates./p +pДжеймс Кэттл, Ален Тимбло, Кристоф Ково и Фабьен Потенсье +обнаружили, что twig, движок шаблонов для PHP, неправильно +обрабатывает ввод. Конечные пользователи, которым разрешено отправлять шаблоны twig, +могут использовать специально сформированный код для удалённого вызова кода даже в +шаблонах, обрабатываемых в рамках песочницы./p -pFor the stable distribution (jessie), this problem has been fixed in -version 1.16.2-1+deb8u1./p +pВ стабильном выпуске (jessie) эта проблема была исправлена в +версии 1.16.2-1+deb8u1./p -pFor the testing (stretch) and unstable (sid) distributions, this -problem has been fixed in version 1.20.0-1./p +pВ тестируемом (stretch) и нестабильном (sid) выпусках эта +проблема была исправлена в версии 1.20.0-1./p -pWe recommend that you upgrade your twig packages./p +pРекомендуется обновить пакеты twig./p /define-tag # do not modify the following line #include $(ENGLISHDIR)/security/2015/dsa-3343.data # $Id: dsa-3343.wml,v 1.1 2015/08/26 15:26:35 gusnan Exp $ +
Re: squid incept https
Как не знает? в заговке начального пакета все есть куда подключаться. Другое дело что сквид тогда не видит что происходит в нутри этого tcp соединения. И я не смогу порезать загрузку видео или музыки. 26 авг 2015 г. 13:42 пользователь Alexander Gerasiov g...@cs.msu.su написал: Hello Леонид, On Wed, 26 Aug 2015 10:38:35 +0600 Леонид Кальмаев kalmae...@gmail.com wrote: Нет сертификат не ставил на клиент. Ошибка безопасности пока не смущала, контент страницы должен был грузится. Проблема сохраняется если указать ssl_bump none all , с таким конфигом он просто должен сделать тунель и не подменять сертификаты. Туннель куда? Не подменив сертификат, он не узнает куда подключаться. 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik ba...@vpm.net.ua написал: сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает. -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
Re: squid incept https
Hello Леонид, On Wed, 26 Aug 2015 10:38:35 +0600 Леонид Кальмаев kalmae...@gmail.com wrote: Нет сертификат не ставил на клиент. Ошибка безопасности пока не смущала, контент страницы должен был грузится. Проблема сохраняется если указать ssl_bump none all , с таким конфигом он просто должен сделать тунель и не подменять сертификаты. Туннель куда? Не подменив сертификат, он не узнает куда подключаться. 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik ba...@vpm.net.ua написал: сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает. -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
Re: squid incept https
Hello Леонид, On Wed, 26 Aug 2015 13:53:56 +0600 Леонид Кальмаев kalmae...@gmail.com wrote: Как не знает? в заговке начального пакета все есть куда подключаться. Другое дело что сквид тогда не видит что происходит в нутри этого tcp соединения. И я не смогу порезать загрузку видео или музыки. 26 авг 2015 г. 13:42 пользователь Alexander Gerasiov g...@cs.msu.su написал: Hello Леонид, On Wed, 26 Aug 2015 10:38:35 +0600 Леонид Кальмаев kalmae...@gmail.com wrote: Нет сертификат не ставил на клиент. Ошибка безопасности пока не смущала, контент страницы должен был грузится. Проблема сохраняется если указать ssl_bump none all , с таким конфигом он просто должен сделать тунель и не подменять сертификаты. Туннель куда? Не подменив сертификат, он не узнает куда подключаться. 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik ba...@vpm.net.ua написал: сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает. -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 В каком еще заголовке начального пакета? У тебя же прозрачный прокси и нет connect'а, почитай внимательно описание этой опции на http://www.squid-cache.org/Doc/config/ssl_bump/ и вообще разберись с тем что и как ты делаешь, у тебя путаница в голове.
Re: squid incept https
В сообщении от [Ср 2015-08-26 09:36 +0600] Леонид Кальмаев kalmae...@gmail.com пишет: Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Squid может прозрачно проксировать https-трафик через Squid-in-the-middle [1], но это по сути дыра в безопасности (man-in-the-middle). при этом если явно указать что прокси находится на ip:port все работает. Да, так и надо, лучше сделать обычный прокси (метод connect) и сказать пользователям, так надежнее и безопаснее. [1] http://wiki.squid-cache.org/Features/SslBump -- http://google.com/+РусланКоротаев
DBus.Error после обновления
День добрый, после очередного обновления пакетов часто стала появляться ошибка: Ошибка: GDBus.Error:org.freedesktop.DBus.Error.NoReply: Message did not receive a reply (timeout by message bus) какие возможны варианты решения трабла? -- BW, Сохин Вячеслав
Re: squid incept https
Александр смотрите, при установке соединения tcp мы обращаемся на 80 или 443 порт, далее говорим что мы хотим получить, в случае хттп мы просто просим нужную нам странички и все методом гет. Если у нес используется https то перед этим мы создаем шифрованное соединение в котором сквид без ssl_bampа ничего не видит просто есть соединение и все. в случае если есть bamp то мы создаем 2 соединение одно от клиента до сквида второе от сквида до сервера. таким образом просматриваем содержимое . А проблема напомню в следующим что загружается голая страничка без стилей и картинок через https. Данная проблема есть как с ssl_bump так и без оного. Более подробно с работой и установкой соединения можно ознакомится тут http://habrahabr.ru/post/191954/
Русский интерфейс в Claws-Mail
Доброго времени суток! После крайнего обновления интерфейс claws-mail (3.12.0-1) стал английским. Пакет claws-mail-i18n той же версии присутствует. Что сломалось? -- С уважением, Сергей Москвичёв. xmpp: uks...@ya.ru
Re: Русский интерфейс в Claws-Mail
В Wed, 26 Aug 2015 23:46:16 +0300 Сергей Москвичёв sernik...@gmail.com пишет: Доброго времени суток! После крайнего обновления интерфейс claws-mail (3.12.0-1) стал английским. Пакет claws-mail-i18n той же версии присутствует. Что сломалось? А дистрибуив, наверное, sid?
Re: squid incept https
Руслан, Я просил помощи в реализации именно этого решения. Есть поставленная задача резать всё что не угодно руководству. И это не дыра в безопасности а нормальное решение для ограничения трафика. 26 августа 2015 г., 15:45 пользователь Руслан Коротаев korot...@ufamail.ru написал: В сообщении от [Ср 2015-08-26 09:36 +0600] Леонид Кальмаев kalmae...@gmail.com пишет: Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Squid может прозрачно проксировать https-трафик через Squid-in-the-middle [1], но это по сути дыра в безопасности (man-in-the-middle). при этом если явно указать что прокси находится на ip:port все работает. Да, так и надо, лучше сделать обычный прокси (метод connect) и сказать пользователям, так надежнее и безопаснее. [1] http://wiki.squid-cache.org/Features/SslBump -- http://google.com/+РусланКоротаев http://google.com/+%D0%A0%D1%83%D1%81%D0%BB%D0%B0%D0%BD%D0%9A%D0%BE%D1%80%D0%BE%D1%82%D0%B0%D0%B5%D0%B2