[DONE] wml://security/2015/dsa-3343.wml

2015-08-26 Пенетрантность Lev Lamberov 
Cheers!
Lev Lamberov
--- english/security/2015/dsa-3343.wml	2015-08-26 20:26:35.0 +0500
+++ russian/security/2015/dsa-3343.wml	2015-08-26 21:47:33.715577113 +0500
@@ -1,20 +1,22 @@
-define-tag descriptionsecurity update/define-tag
+#use wml::debian::translation-check translation=1.1 maintainer=Lev Lamberov
+define-tag descriptionобновление безопасности/define-tag
 define-tag moreinfo
-pJames Kettle, Alain Tiemblo, Christophe Coevoet and Fabien Potencier
-discovered that twig, a templating engine for PHP, did not correctly
-process its input. End users allowed to submit twig templates could
-use specially crafted code to trigger remote code execution, even in
-sandboxed templates./p
+pДжеймс Кэттл, Ален Тимбло, Кристоф Ково и Фабьен Потенсье
+обнаружили, что twig, движок шаблонов для PHP, неправильно
+обрабатывает ввод. Конечные пользователи, которым разрешено отправлять шаблоны twig,
+могут использовать специально сформированный код для удалённого вызова кода даже в
+шаблонах, обрабатываемых в рамках песочницы./p
 
-pFor the stable distribution (jessie), this problem has been fixed in
-version 1.16.2-1+deb8u1./p
+pВ стабильном выпуске (jessie) эта проблема была исправлена в
+версии 1.16.2-1+deb8u1./p
 
-pFor the testing (stretch) and unstable (sid) distributions, this
-problem has been fixed in version 1.20.0-1./p
+pВ тестируемом (stretch) и нестабильном (sid) выпусках эта
+проблема была исправлена в версии 1.20.0-1./p
 
-pWe recommend that you upgrade your twig packages./p
+pРекомендуется обновить пакеты twig./p
 /define-tag
 
 # do not modify the following line
 #include $(ENGLISHDIR)/security/2015/dsa-3343.data
 # $Id: dsa-3343.wml,v 1.1 2015/08/26 15:26:35 gusnan Exp $
+

Re: squid incept https

2015-08-26 Пенетрантность Леонид Кальмаев 
Как не знает? в заговке начального пакета  все есть куда подключаться.
Другое дело что сквид тогда не видит что происходит в нутри этого tcp
соединения. И я не смогу порезать загрузку видео или музыки.
26 авг 2015 г. 13:42 пользователь Alexander Gerasiov g...@cs.msu.su
написал:

 Hello Леонид,

 On Wed, 26 Aug 2015 10:38:35 +0600
 Леонид Кальмаев kalmae...@gmail.com wrote:

  Нет сертификат не ставил на клиент. Ошибка безопасности пока не
  смущала, контент страницы должен был грузится. Проблема сохраняется
  если указать ssl_bump none all , с таким конфигом он  просто должен
  сделать тунель и не подменять сертификаты.
 Туннель куда? Не подменив сертификат, он не узнает куда подключаться.

 
  26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik
  ba...@vpm.net.ua написал:
 
   сертификат клиенту добавили ?
  
  
  
 http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https
  
   26 августа 2015 г., 6:36 пользователь Леонид Кальмаев
   kalmae...@gmail.com
написал:
  
   Доброго времени суток!
   Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси.
   С http проблем нет все перехватывается и работает. А вот с https
   затык страничка загружается без наполнения т.е. нет картинок
   стилей и других вещей. В логах не нашел чего то подозрительного.
   Сквид собирался по этой инструкции
   http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ .
   Конфиг простейший
   http_access allow all
   dns_v4_first on
   shutdown_lifetime 1 seconds
   always_direct allow all
   http_port 192.168.10.1:3128 intercept
   http_port 3140
   https_port 192.168.10.1:3129 intercept ssl-bump
   generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
   cert=/etc/squid/myCA.pem
   sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db
   -M 4MB. sslcrtd_children 8 startup=1 idle=1
   ssl_bump server-first all
   #  ssl_bump none all Для проверки
   sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db
   -M 4MB. sslcrtd_children 8 startup=1 idle=1
   перенаправление трафика сделано так
   -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT
   --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j
   REDIRECT --to-ports 3128
  
   при этом если явно указать что прокси находится на ip:port все
   работает.
  
  
  
  



 --
 Best regards,
  Alexander Gerasiov

  Contacts:
  e-mail: g...@cs.msu.su  Homepage: http://gerasiov.net  Skype: gerasiov
  PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1

Re: squid incept https

2015-08-26 Пенетрантность Alexander Gerasiov 
Hello Леонид,

On Wed, 26 Aug 2015 10:38:35 +0600
Леонид Кальмаев kalmae...@gmail.com wrote:

 Нет сертификат не ставил на клиент. Ошибка безопасности пока не
 смущала, контент страницы должен был грузится. Проблема сохраняется
 если указать ssl_bump none all , с таким конфигом он  просто должен
 сделать тунель и не подменять сертификаты.
Туннель куда? Не подменив сертификат, он не узнает куда подключаться.

 
 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik
 ba...@vpm.net.ua написал:
 
  сертификат клиенту добавили ?
 
 
  http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https
 
  26 августа 2015 г., 6:36 пользователь Леонид Кальмаев
  kalmae...@gmail.com
   написал:
 
  Доброго времени суток!
  Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси.
  С http проблем нет все перехватывается и работает. А вот с https
  затык страничка загружается без наполнения т.е. нет картинок
  стилей и других вещей. В логах не нашел чего то подозрительного.
  Сквид собирался по этой инструкции
  http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ .
  Конфиг простейший
  http_access allow all
  dns_v4_first on
  shutdown_lifetime 1 seconds
  always_direct allow all
  http_port 192.168.10.1:3128 intercept
  http_port 3140
  https_port 192.168.10.1:3129 intercept ssl-bump
  generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
  cert=/etc/squid/myCA.pem
  sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db
  -M 4MB. sslcrtd_children 8 startup=1 idle=1
  ssl_bump server-first all
  #  ssl_bump none all Для проверки
  sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db
  -M 4MB. sslcrtd_children 8 startup=1 idle=1
  перенаправление трафика сделано так
  -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT
  --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j
  REDIRECT --to-ports 3128
 
  при этом если явно указать что прокси находится на ip:port все
  работает.
 
 
 
 



-- 
Best regards,
 Alexander Gerasiov

 Contacts:
 e-mail: g...@cs.msu.su  Homepage: http://gerasiov.net  Skype: gerasiov
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1

Re: squid incept https

2015-08-26 Пенетрантность Alexander Gerasiov 
Hello Леонид,

On Wed, 26 Aug 2015 13:53:56 +0600
Леонид Кальмаев kalmae...@gmail.com wrote:

 Как не знает? в заговке начального пакета  все есть куда подключаться.
 Другое дело что сквид тогда не видит что происходит в нутри этого tcp
 соединения. И я не смогу порезать загрузку видео или музыки.
 26 авг 2015 г. 13:42 пользователь Alexander Gerasiov g...@cs.msu.su
 написал:
 
  Hello Леонид,
 
  On Wed, 26 Aug 2015 10:38:35 +0600
  Леонид Кальмаев kalmae...@gmail.com wrote:
 
   Нет сертификат не ставил на клиент. Ошибка безопасности пока не
   смущала, контент страницы должен был грузится. Проблема
   сохраняется если указать ssl_bump none all , с таким конфигом он
   просто должен сделать тунель и не подменять сертификаты.
  Туннель куда? Не подменив сертификат, он не узнает куда
  подключаться.
 
  
   26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik
   ba...@vpm.net.ua написал:
  
сертификат клиенту добавили ?
   
   
   
  http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https
   
26 августа 2015 г., 6:36 пользователь Леонид Кальмаев
kalmae...@gmail.com
 написал:
   
Доброго времени суток!
Собрал скид с подержкой ssl и пытаюсь настроить прозрачный
прокси. С http проблем нет все перехватывается и работает. А
вот с https затык страничка загружается без наполнения т.е.
нет картинок стилей и других вещей. В логах не нашел чего то
подозрительного. Сквид собирался по этой инструкции
http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ .
Конфиг простейший
http_access allow all
dns_v4_first on
shutdown_lifetime 1 seconds
always_direct allow all
http_port 192.168.10.1:3128 intercept
http_port 3140
https_port 192.168.10.1:3129 intercept ssl-bump
generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
cert=/etc/squid/myCA.pem
sslcrtd_program /usr/lib/squid3/ssl_crtd
-s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1
idle=1 ssl_bump server-first all
#  ssl_bump none all Для проверки
sslcrtd_program /usr/lib/squid3/ssl_crtd
-s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1
idle=1 перенаправление трафика сделано так
-A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT
--to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80
-j REDIRECT --to-ports 3128
   
при этом если явно указать что прокси находится на ip:port все
работает.
   
   
   
   
 
 
 
  --
  Best regards,
   Alexander Gerasiov
 
   Contacts:
   e-mail: g...@cs.msu.su  Homepage: http://gerasiov.net  Skype:
  gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8
  2AAC 33F1
 
 



-- 
Best regards,
 Alexander Gerasiov

 Contacts:
 e-mail: g...@cs.msu.su  Homepage: http://gerasiov.net  Skype: gerasiov
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1


В каком еще заголовке начального пакета? У тебя же прозрачный прокси и
нет connect'а, почитай внимательно описание этой опции на
http://www.squid-cache.org/Doc/config/ssl_bump/ и вообще разберись с
тем что и как ты делаешь, у тебя путаница в голове.

Re: squid incept https

2015-08-26 Пенетрантность Руслан Коротаев 
В сообщении от [Ср 2015-08-26 09:36 +0600]
Леонид Кальмаев kalmae...@gmail.com пишет:

 Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http
 проблем нет все перехватывается и работает. А вот с https затык страничка
 загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не
 нашел чего то подозрительного. 

Squid может прозрачно проксировать https-трафик через
Squid-in-the-middle [1], но это по сути дыра в безопасности
(man-in-the-middle).

 при этом если явно указать что прокси находится на ip:port все работает.

Да, так и надо, лучше сделать обычный прокси (метод connect) и сказать
пользователям, так надежнее и безопаснее.

[1] http://wiki.squid-cache.org/Features/SslBump

-- 
http://google.com/+РусланКоротаев

DBus.Error после обновления

2015-08-26 Пенетрантность Sohin Vyacheslav 
День добрый,

после очередного обновления пакетов часто стала появляться ошибка:


Ошибка: GDBus.Error:org.freedesktop.DBus.Error.NoReply: Message did not
receive a reply (timeout by message bus)


какие возможны варианты решения трабла?

-- 
BW,
Сохин Вячеслав

Re: squid incept https

2015-08-26 Пенетрантность Леонид Кальмаев 
Александр смотрите, при установке соединения tcp мы обращаемся на 80 или
443 порт, далее говорим что мы хотим получить, в случае хттп мы просто
просим нужную нам странички и все методом гет. Если у нес используется
https то перед этим мы создаем шифрованное соединение в котором  сквид без
ssl_bampа ничего не видит просто есть соединение и все.  в случае если есть
bamp то мы создаем 2 соединение одно  от клиента до сквида второе от сквида
до сервера. таким образом просматриваем содержимое . А проблема напомню в
следующим что загружается голая страничка без стилей и картинок через
https. Данная проблема есть как с ssl_bump так и без оного.
Более подробно с работой и установкой соединения можно ознакомится тут
http://habrahabr.ru/post/191954/

Русский интерфейс в Claws-Mail

2015-08-26 Пенетрантность Сергей Москвичёв 
  Доброго времени суток!

После крайнего обновления интерфейс claws-mail (3.12.0-1) стал английским. 
Пакет claws-mail-i18n той же версии присутствует. Что сломалось?

-- 
С уважением, Сергей Москвичёв.
xmpp: uks...@ya.ru

Re: Русский интерфейс в Claws-Mail

2015-08-26 Пенетрантность Жанибек Нагашыбай 
В Wed, 26 Aug 2015 23:46:16 +0300
Сергей Москвичёв sernik...@gmail.com пишет:

   Доброго времени суток!
 
 После крайнего обновления интерфейс claws-mail (3.12.0-1) стал
 английским. Пакет claws-mail-i18n той же версии присутствует. Что
 сломалось?
 

А дистрибуив, наверное, sid?

Re: squid incept https

2015-08-26 Пенетрантность Леонид Кальмаев 
Руслан, Я просил помощи в реализации именно этого решения. Есть
поставленная задача резать всё что не угодно руководству. И это не дыра в
безопасности а нормальное решение для ограничения трафика.

26 августа 2015 г., 15:45 пользователь Руслан Коротаев korot...@ufamail.ru
написал:

 В сообщении от [Ср 2015-08-26 09:36 +0600]
 Леонид Кальмаев kalmae...@gmail.com пишет:

  Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http
  проблем нет все перехватывается и работает. А вот с https затык страничка
  загружается без наполнения т.е. нет картинок стилей и других вещей. В
 логах не
  нашел чего то подозрительного.

 Squid может прозрачно проксировать https-трафик через
 Squid-in-the-middle [1], но это по сути дыра в безопасности
 (man-in-the-middle).

  при этом если явно указать что прокси находится на ip:port все работает.

 Да, так и надо, лучше сделать обычный прокси (метод connect) и сказать
 пользователям, так надежнее и безопаснее.

 [1] http://wiki.squid-cache.org/Features/SslBump

 --
 http://google.com/+РусланКоротаев
 http://google.com/+%D0%A0%D1%83%D1%81%D0%BB%D0%B0%D0%BD%D0%9A%D0%BE%D1%80%D0%BE%D1%82%D0%B0%D0%B5%D0%B2