On Thu, 2020-06-11 at 20:39 +0500, Lev Lamberov wrote: > > <li><a href=" > https://security-tracker.debian.org/tracker/CVE-2019-5108">CVE-2019-5108</a > > > > - <p>Mitchell Frank of Cisco discovered that when the IEEE 802.11 > - (WiFi) stack was used in AP mode with roaming, it would trigger > - roaming for a newly associated station before the station was > - authenticated. An attacker within range of the AP could use > this > - to cause a denial of service, either by filling up a switching > - table or by redirecting traffic away from other > stations.</p></li> > + <p>Митчел Фрэнк из Cisco обнаружил, что когда IEEE 802.11 (WiFi) > + стэк используется в режиме точки доступа с роумингом, он > включает роуминг > + для недавно связанной станции до выполнения аутентификации этой > + станции. Злоумышленник в области действия точки доступа может
Злоумышленник, находящийся в зоне действия точки доступа... - так сами технари-сотовики говорят (пишут) "в зоне действия вышки, точки доступа и т.д.". В скобках можно было бы вспомнить про "человека- в-середине" - есть такой англ термин (по смыслу дальнейшего изложения про подмену в таблицах это становится ясно). > использовать > + эту уязвимость для вызова отказа в обслуживании путём заполнения > таблицы > + коммутации или путём перенаправления трафика прочь от других > станций.</p></li> > > > <li><a href=" > https://security-tracker.debian.org/tracker/CVE-2019-19319">CVE-2019-19319</a > > > > - <p>Jungyeon discovered that a crafted filesystem can cause the > ext4 > - implementation to deallocate or reallocate journal blocks. A > user > - permitted to mount filesystems could use this to cause a denial > of > - service (crash), or possibly for privilege escalation.</p></li> > + <p>Jungyeon обнаружил, что специально сформированная файловая > система может > + привести к освобождению или повторному выделению журнальных > блоков в реализация > + ext4. блоков в реализициИ ext4 > Пользователь, имеющий права на монтирование файловых систем, может > + использовать эту уязвимость для вызова отказа в обслуживании > (аварийная > + остановка) или повышения привилегий.</p></li> или повышениИ > > <li><a href=" > https://security-tracker.debian.org/tracker/CVE-2019-19462">CVE-2019-19462</a > > > > - <p>The syzbot tool found a missing error check in the > <q>relay</q> > - library used to implement various files under debugfs. A local > - user permitted to access debugfs could use this to cause a > denial > - of service (crash) or possibly for privilege > escalation.</p></li> > + <p>С помощью инструмента syzbot была обнаружена отсутствующая > проверка ошибок в > + библиотеке <q>relay</q>, используемой для реализации различных > файлов в debugfs. "была обнаружена отсутствующая проверка ошибок в библиотеке" - возможно не поняла но мне это неясно (в другом письме тоже об этом упоминалось). То есть смысл неясен - если это нашли в библиотеке, то как эта проверка там может отсутствовать? > + Локальный пользователь, имеющий права на доступ к debugfs, может > использовать > + эту уязвимость для вызова отказа в обслуживании (аварийная > остановка) или > + повышения привилегий.</p></li> повышениИ > > <li><a href=" > https://security-tracker.debian.org/tracker/CVE-2019-19768">CVE-2019-19768</a > > > > - <p>Tristan Madani reported a race condition in the blktrace > debug > - facility that could result in a use-after-free. A local user > able > - to trigger removal of block devices could possibly use this to > - cause a denial of service (crash) or for privilege > escalation.</p></li> > + <p>Тристан Мадани сообщил о состоянии гонки в отладочных > функциях blktrace, > + которое может приводить к использованию указателей после > освобождения памяти. несмотря на то, что "состояние" - оно, средний род, тем не менее мне кажется что надо бы выразиться так- Тристан Мадани сообщил о состоянии гонки в отладочных функциях blktrace, которАЯ может привЕСТИ к использованию указателей после освобождения памяти. То есть - гонка ... может привести Или тогда может акцентировать внимание читателя на Тристан Мадани сообщил о таком состоянии гонки... что (и далее - да в среднем роде) которое (то есть такое состояние гонки) может приводить к использованию указателей после освобождения памяти > + Локальный пользователь, способный вызвать удаление блочных > устройств, может > + использовать эту уязвимость для вызова отказв в обслуживании > (аварийная остановка) для вызова отказА > + или повышения привилегий.</p></li> > > https://security-tracker.debian.org/tracker/CVE-2019-20811">CVE-2019-20811</a > > > > - <p>The Hulk Robot tool found a reference-counting bug in an > error > - path in the network subsystem. The security impact of this is > - unclear.</p></li> > + <p>С помощью инструмента Hulk Robot обнаружена ошибка подсчётся ошибка подсчётА указателей https://security-tracker.debian.org/tracker/CVE-2020-0543">CVE-2020-0543</a > > > > - <p>Researchers at VU Amsterdam discovered that on some Intel > CPUs > - supporting the RDRAND and RDSEED instructions, part of a random > - value generated by these instructions may be used in a later > - speculative execution on any core of the same physical CPU. > - Depending on how these instructions are used by applications, a > - local user or VM guest could use this to obtain sensitive > - information such as cryptographic keys from other users or > VMs.</p> > - > - <p>This vulnerability can be mitigated by a microcode update, > either > - as part of system firmware (BIOS) or through the intel-microcode > - package in Debian's non-free archive section. This kernel > update > - only provides reporting of the vulnerability and the option to > - disable the mitigation if it is not needed.</p></li> > + <p>Исследователи из Амстердаского свободного университета > обнаружили, что на из Амстердамского? > > <li><a href=" > https://security-tracker.debian.org/tracker/CVE-2020-8428">CVE-2020-8428</a > > > > - <p>Al Viro discovered a potential use-after-free in the > filesystem > - core (vfs). A local user could exploit this to cause a denial > of > - service (crash) or possibly to obtain sensitive information from > - the kernel.</p></li> > + <p>Эл Виро обнаружил потенциальное использование указателей > после освобождения памяти > + в базовой файловой системе (vfs). Вот это "обнаружил потенциальное использование указателей" - может чуть иначе - обнаружил неавторизированное (незаконное или ещё как-то) использование указателей ;, > <a href=" > https://security-tracker.debian.org/tracker/CVE-2020-8649">CVE-2020-8649</a > > > > - <p>The Hulk Robot tool found a potential MMIO out-of-bounds > access in > - the vgacon driver. A local user permitted to access a virtual > - terminal (/dev/tty1 etc.) on a system using the vgacon driver > - could use this to cause a denial of service (crash or memory > - corruption) or possibly for privilege escalation.</p></li> > + <p>С помощью инструмента Hulk Robot было обнаружено > потенциальное MMIO-обращение за пределы здесь тоже - может "неавторизированное MMIO-обращение" > <li><a href=" > https://security-tracker.debian.org/tracker/CVE-2020-12464">CVE-2020-12464</a > > > > - <p>Kyungtae Kim reported a race condition in the USB core that > can > - result in a use-after-free. It is not clear how this can be > - exploited, but it could result in a denial of service (crash or > - memory corruption) or privilege escalation.</p></li> > + <p>Киунгтае Ким сообщил о состоянии гонки в базовом коде > поддержки USB, которое может > > + примодить к использованию указателей после освобождения памяти. сообщил о таком состоянии гонки ...которое может приВодить > Не явсно, как эта > Не ясно... <li><a href=" > https://security-tracker.debian.org/tracker/CVE-2020-12652">CVE-2020-12652</a > > > > - <p>Tom Hatskevich reported a bug in the mptfusion storage > drivers. > - An ioctl handler fetched a parameter from user memory twice, > - creating a race condition which could result in incorrect > locking > - of internal data structures. A local user permitted to access > - /dev/mptctl could use this to cause a denial of service (crash > or > - memory corruption) or for privilege escalation.</p></li> > + <p>Том Хацкевич сообщил об ошибке в драйверах хранилища > mptfusion. > + Обработчик ioctl дважды получает параметр из пользовательской > памяти, > + создавая состояние гонки, которое может приводить к неправильной гонки, которая может приводить к ... или создавая такое состояние гонки, которое ... > + для вызова отказа в обслуживании (исчерпание ресурсов).</p></li> > исчерпав все ресурсы?