Re: [DONE] wml://security/2016/dla-{403,380,382,418}.wml
13.04.2016 23:26, Vladimir Zhbanov пишет: > On Wed, Apr 13, 2016 at 12:46:17PM +0500, Lev Lamberov wrote: > ... > >> +может редактировать (выполнять чтение и запись) произвольные файлы. >> Даниэль Свартман > здесь будет лучше звучать, если согласовать текст в скобках и снаружи > примерно так: > "может выполнять редактирование (чтение и запись) произвольных > файлов" Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
[DONE] wml://security/2016/dla-{378,416,432}.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/security/2016/dla-378.wml 2016-04-08 01:54:44.0 +0500 +++ russian/security/2016/dla-378.wml 2016-04-14 00:02:45.674922142 +0500 @@ -1,43 +1,44 @@ - -LTS security update +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -This update fixes the CVEs described below. +Ðанное обновление иÑпÑавлÑÐµÑ CVE, опиÑаннÑе ниже. https://security-tracker.debian.org/tracker/CVE-2015-7550;>CVE-2015-7550 - -Dmitry Vyukov discovered a race condition in the keyring subsystem - -that allows a local user to cause a denial of service (crash). +ÐмиÑÑий ÐÑÑков обнаÑÑжил ÑоÑÑоÑние гонки в подÑиÑÑеме бÑелоков клÑÑей, +позволÑÑÑее локалÑÐ½Ð¾Ð¼Ñ Ð¿Ð¾Ð»ÑзоваÑÐµÐ»Ñ Ð²ÑзÑваÑÑ Ð¾Ñказ в обÑлÑживании (аваÑÐ¸Ð¹Ð½Ð°Ñ Ð¾ÑÑановка). https://security-tracker.debian.org/tracker/CVE-2015-8543;>CVE-2015-8543 - -It was discovered that a local user permitted to create raw sockets - -could cause a denial-of-service by specifying an invalid protocol - -number for the socket. The attacker must have the CAP_NET_RAW - -capability. +ÐÑло обнаÑÑжено, ÑÑо локалÑнÑй полÑзоваÑелÑ, ÑпоÑобнÑй ÑоздаваÑÑ ÑÑÑÑе ÑокеÑÑ, +Ð¼Ð¾Ð¶ÐµÑ Ð²ÑзÑваÑÑ Ð¾Ñказ в обÑлÑживании пÑÑÑм ÑÐºÐ°Ð·Ð°Ð½Ð¸Ñ Ð½ÐµÐºÐ¾ÑÑекÑного номеÑа пÑоÑокола +Ð´Ð»Ñ ÑокеÑа. ÐлоÑмÑÑленник должен обладаÑÑ Ð¿Ñавами на +CAP_NET_RAW. https://security-tracker.debian.org/tracker/CVE-2015-8575;>CVE-2015-8575 - -David Miller discovered a flaw in the Bluetooth SCO sockets - -implementation that leads to an information leak to local users. +ÐÑвид ÐÐ¸Ð»Ð»ÐµÑ Ð¾Ð±Ð½Ð°ÑÑжил ÑÑзвимоÑÑÑ Ð² ÑеализаÑии ÑокеÑов Bluetooth SCO, +коÑоÑÐ°Ñ Ð¿ÑÐ¸Ð²Ð¾Ð´Ð¸Ñ Ðº ÑÑеÑке инÑоÑмаÑии локалÑнÑм полÑзоваÑелÑм. - -In addition, this update fixes a regression in the previous update: +ÐÑоме Ñого, данное обновление иÑпÑавлÑÐµÑ ÑегÑеÑÑ Ð² пÑедÑдÑÑем обновлении: #808293 - -A regression in the UDP implementation prevented freeradius and - -some other applications from receiving data. +РегÑеÑÑ Ð² ÑеализаÑии UDP не позволÑÐµÑ freeradius и +некоÑоÑÑм дÑÑгим пÑиложениÑми полÑÑаÑÑ Ð´Ð°Ð½Ð½Ñе. - -For the oldoldstable distribution (squeeze), these problems have been - -fixed in version 2.6.32-48squeeze18. +РпÑедÑдÑÑем ÑÑаÑом ÑÑабилÑном вÑпÑÑке (squeeze) ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли +иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ Ð² веÑÑии 2.6.32-48squeeze18. - -For the oldstable distribution (wheezy), these problems have been - -fixed in version 3.2.73-2+deb7u2. +РпÑедÑдÑÑем ÑÑабилÑном вÑпÑÑке (wheezy) ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли +иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ Ð² веÑÑии 3.2.73-2+deb7u2. - -For the stable distribution (jessie), these problems have been fixed - -in version 3.16.7-ckt20-1+deb8u2 or earlier. +Ð ÑÑабилÑном вÑпÑÑке (jessie) ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ +в веÑÑии 3.16.7-ckt20-1+deb8u2 или более ÑÐ°Ð½Ð½Ð¸Ñ . # do not modify the following line - --- english/security/2016/dla-416.wml 2016-04-08 01:54:44.0 +0500 +++ russian/security/2016/dla-416.wml 2016-04-14 00:09:43.301348621 +0500 @@ -1,39 +1,40 @@ - -LTS security update +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Several vulnerabilities have been fixed in the Debian GNU C Library, - -eglibc: +Ð eglibc, библиоÑеке GNU C Ð´Ð»Ñ Debian, бÑло обнаÑÑжено неÑколÑко +ÑÑзвимоÑÑей: https://security-tracker.debian.org/tracker/CVE-2015-7547;>CVE-2015-7547 - -The Google Security Team and Red Hat discovered that the glibc - -host name resolver function, getaddrinfo, when processing - -AF_UNSPEC queries (for dual A/ lookups), could mismange its - -internal buffers, leading to a stack-based buffer overflow and - -arbitrary code execution. This vulnerability affects most - -applications which perform host name resolution using getaddrinfo, - -including system services. +Ðоманда безопаÑноÑÑи Google и ÑоÑÑÑдники Red Hat обнаÑÑжили, ÑÑо ÑÑнкÑÐ¸Ñ +ÑазÑеÑÐµÐ½Ð¸Ñ Ð¸Ð¼Ñн Ñзлов в glibc, getaddrinfo, пÑи обÑабоÑке
[DONE] wml://security/2016/dla-{379,411,442}.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/security/2016/dla-379.wml 2016-04-08 01:54:44.0 +0500 +++ russian/security/2016/dla-379.wml 2016-04-13 23:24:05.881378974 +0500 @@ -1,34 +1,35 @@ - -LTS security update +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Several vulnerabilities were found in Samba, a SMB/CIFS implementation - -that provides a file, print, and login server. +Ð Samba, ÑеализаÑии SMB/CIFS, пÑедоÑÑавлÑÑÑей ÑлÑÐ¶Ð±Ñ Ñайлового ÑеÑвеÑа, ÑеÑвеÑа пеÑаÑи +и аÑÑенÑиÑикаÑии, бÑло обнаÑÑжено неÑколÑко ÑÑзвимоÑÑей. https://security-tracker.debian.org/tracker/CVE-2015-5252;>CVE-2015-5252 - -Jan Yenya Kasprzak and the Computer Systems Unit team at Faculty - -of Informatics, Masaryk University, reported that samba wrongly - -verified symlinks, making it possible to access resources outside - -the shared path, under certain circumstances. +Ян Yenya ÐаÑпÑжак и команда Computer Systems Unit из ÑакÑлÑÑеÑа +инÑоÑмаÑики ÐаÑаÑикова ÑнивеÑÑиÑеÑа ÑообÑили, ÑÑо samba непÑавилÑно +вÑполнÑÐµÑ Ð¿ÑовеÑÐºÑ ÑимволÑнÑÑ ÑÑÑлок, ÑÑо позволÑÐµÑ Ð¿Ñи опÑеделÑннÑÑ ÑÑловиÑÑ +полÑÑаÑÑ Ð´Ð¾ÑÑÑп к ÑеÑÑÑÑам за пÑеделами пÑÑи обÑего доÑÑÑпа. https://security-tracker.debian.org/tracker/CVE-2015-5296;>CVE-2015-5296 - -Stefan Metzmacher of SerNet and the Samba Team discovered that samba - -did not ensure that signing was negotiated when a client established - -an encrypted connection against a samba server. +ШÑеÑан ÐеÑÐ¼Ð°Ñ ÐµÑ Ð¸Ð· SerNet и команда Samba обнаÑÑжили, ÑÑо samba +не вÑполнÑÐµÑ Ð¿ÑовеÑÐºÑ ÑоглаÑÐ¾Ð²Ð°Ð½Ð¸Ñ Ð¿Ð¾Ð´Ð¿Ð¸Ñей, когда ÐºÐ»Ð¸ÐµÐ½Ñ ÑÑÑÐ°Ð½Ð°Ð²Ð»Ð¸Ð²Ð°ÐµÑ +заÑиÑÑованное Ñоединение Ñ ÑеÑвеÑом samba. https://security-tracker.debian.org/tracker/CVE-2015-5299;>CVE-2015-5299 - -Samba was vulnerable to a missing access control check in the - -VFS shadow_copy2 module, that could allow unauthorized users to - -access snapshots. +Ð Samba оÑÑÑÑÑÑвÑÐµÑ Ð¿ÑовеÑка ÑпÑÐ°Ð²Ð»ÐµÐ½Ð¸Ñ Ð´Ð¾ÑÑÑпом в модÑле +VFS shadow_copy2, ÑÑо Ð¼Ð¾Ð¶ÐµÑ Ð¿Ð¾Ð·Ð²Ð¾Ð»Ð¸ÑÑ Ð½ÐµÐ°Ð²ÑоÑизованнÑм полÑзоваÑелÑм +полÑÑаÑÑ Ð´Ð¾ÑÑÑп к ÑÑезам. - -For Debian 6 Squeeze, this issue has been fixed in samba version - -2:3.5.6~dfsg-3squeeze13. We recommend you to upgrade your samba - -packages. +Ð Debian 6 Squeeze ÑÑа пÑоблема бÑла иÑпÑавлена в samba веÑÑии +2:3.5.6~dfsg-3squeeze13. РекомендÑеÑÑÑ Ð¾Ð±Ð½Ð¾Ð²Ð¸ÑÑ Ð¿Ð°ÐºÐµÑÑ +samba. # do not modify the following line - --- english/security/2016/dla-411.wml 2016-04-08 01:54:44.0 +0500 +++ russian/security/2016/dla-411.wml 2016-04-13 23:47:17.359613544 +0500 @@ -1,37 +1,38 @@ - -LTS security update +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Several vulnerabilities have been fixed in the Debian GNU C Library, - -eglibc: +Ð eglibc, библиоÑеке GNU C Ð´Ð»Ñ Debian бÑло обнаÑÑжено неÑколÑко +ÑÑзвимоÑÑей: https://security-tracker.debian.org/tracker/CVE-2014-9761;>CVE-2014-9761 - -The math's nan* function wrongly handled payload strings, yielding - -to an unbounded stack allocation based on the length of the - -arguments. To solve this issue, payload parsing has been refactored - -out of strtod into a separate functions that nan* can call directly. +ФÑнкÑÐ¸Ñ nan* из math непÑавилÑно обÑабаÑÑÐ²Ð°ÐµÑ Ð¸Ð½ÑоÑмаÑионнÑе ÑÑÑоки, ÑÑо пÑÐ¸Ð²Ð¾Ð´Ð¸Ñ +к вÑÐ´ÐµÐ»ÐµÐ½Ð¸Ñ Ð½ÐµÐ¾Ð³ÑаниÑенного ÑÑека на оÑнове Ð´Ð»Ð¸Ð½Ñ +аÑгÑменÑов. ÐÐ»Ñ ÑеÑÐµÐ½Ð¸Ñ ÑÑой пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð³ÑаммаÑиÑеÑкий ÑÐ°Ð·Ð±Ð¾Ñ Ð¿Ð¾Ð»ÐµÐ·Ð½ÑÑ Ð´Ð°Ð½Ð½ÑÑ Ð±Ñл вÑделен +из strtod в оÑделÑнÑе ÑÑнкÑии, коÑоÑÑе nan* Ð¼Ð¾Ð¶ÐµÑ Ð²ÑзÑваÑÑ Ð½Ð°Ð¿ÑÑмÑÑ. https://security-tracker.debian.org/tracker/CVE-2015-8776;>CVE-2015-8776 - -The strftime() function made it possible to access invalid memory, - -allowing to segfault the calling application. +ФÑнкÑÐ¸Ñ strftime() позволÑÐµÑ Ð¿Ð¾Ð»ÑÑаÑÑ Ð´Ð¾ÑÑÑп к непÑавилÑной облаÑÑи памÑÑи, +ÑÑо позволÑÐµÑ Ð²ÑзÑваÑÑ Ð¾ÑибкÑ
Re: [DONE] wml://security/2016/dla-{403,380,382,418}.wml
On Wed, Apr 13, 2016 at 12:46:17PM +0500, Lev Lamberov wrote: ... > # do not modify the following line > - --- english/security/2016/dla-382.wml 2016-04-08 01:54:44.0 > +0500 > +++ russian/security/2016/dla-382.wml 2016-04-13 12:42:04.295842750 +0500 > @@ -1,26 +1,27 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -When sudo is configured to allow a user to edit files under a > - -directory that they can already write to without using sudo, they can > - -actually edit (read and write) arbitrary files. Daniel Svartman > - -reported that a configuration like this might be introduced > - -unintentionally if the editable files are specified using wildcards, > - -for example: > +Если утилита sudo настроена таким образом, что пользователь может > редактировать файлы в > +каталоге, в котором этот пользователь уже имеет право на запись без sudo, то > он > +может редактировать (выполнять чтение и запись) произвольные файлы. Даниэль > Свартман здесь будет лучше звучать, если согласовать текст в скобках и снаружи примерно так: "может выполнять редактирование (чтение и запись) произвольных файлов" ...
[DONE] wml://security/2016/dla-{438,434,383}.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/security/2016/dla-383.wml 2016-04-08 01:54:44.0 +0500 +++ russian/security/2016/dla-383.wml 2016-04-13 23:17:02.429358974 +0500 @@ -1,30 +1,31 @@ - -LTS security update +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -"DrWhax" of the Tails project reported that Claws Mail is missing - -range checks in some text conversion functions. A remote attacker - -could exploit this to run arbitrary code under the account of a user - -that receives a message from them using Claws Mail. +"DrWhax" из пÑоекÑа Tails ÑообÑил, ÑÑо в Claws Mail оÑÑÑÑÑÑвÑÑÑ +пÑовеÑки гÑÐ°Ð½Ð¸Ñ Ð¼Ð°ÑÑивов в некоÑоÑÑÑ ÑÑнкÑиÑÑ Ð¿ÑеобÑÐ°Ð·Ð¾Ð²Ð°Ð½Ð¸Ñ ÑекÑÑа. УдалÑннÑй злоÑмÑÑленник +Ð¼Ð¾Ð¶ÐµÑ Ð¸ÑполÑзоваÑÑ ÑÑÑ ÑÑзвимоÑÑÑ Ð´Ð»Ñ Ð·Ð°Ð¿ÑÑка пÑоизволÑного кода Ð¾Ñ Ð»Ð¸Ñа полÑзоваÑелÑ, +полÑÑивÑего Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ Claws Mail ÑообÑение злоÑмÑÑленника. https://security-tracker.debian.org/tracker/CVE-2015-8614;>CVE-2015-8614 - -There were no checks on the output length for conversions between - -JIS (ISO-2022-JP) and EUC-JP, between JIS and UTF-8, and from - -Shift_JIS to EUC-JP. +ÐÑÑÑÑÑÑвÑÑÑ Ð¿ÑовеÑки Ð´Ð»Ð¸Ð½Ñ Ð²Ñвода Ð´Ð»Ñ Ð¿ÑеобÑÐ°Ð·Ð¾Ð²Ð°Ð½Ð¸Ñ Ð¼ÐµÐ¶Ð´Ñ +JIS (ISO-2022-JP) и EUC-JP, Ð¼ÐµÐ¶Ð´Ñ JIS и UTF-8, а Ñакже из +Shift_JIS в EUC-JP. https://security-tracker.debian.org/tracker/CVE-2015-8708;>CVE-2015-8708 - -The original fix for https://security-tracker.debian.org/tracker/CVE-2015-8614;>CVE-2015-8614 was incomplete. +ÐÑигиналÑное иÑпÑавление Ð´Ð»Ñ https://security-tracker.debian.org/tracker/CVE-2015-8614;>CVE-2015-8614 бÑло неполнÑм. - -For the oldoldstable distribution (squeeze), these problems have been - -fixed in version 3.7.6-4+squeeze2. +РпÑедÑдÑÑем ÑÑаÑом ÑÑабилÑном вÑпÑÑке (squeeze) ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли +иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ Ð² веÑÑии 3.7.6-4+squeeze2. - -For the oldstable distribution (wheezy) and the stable distribution - -(jessie), this will be fixed soon. These versions were built with - -hardening features that make this issue harder to exploit. +РпÑедÑдÑÑем ÑÑабилÑном (wheezy) и ÑÑабилÑном (jessie) вÑпÑÑÐºÐ°Ñ +ÑÑа пÑоблема бÑÐ´ÐµÑ Ð¸ÑпÑавлена позже. ÐÑи веÑÑии ÑобÑÐ°Ð½Ñ Ñ +Ñлагами Ð´Ð»Ñ ÑÑÐ¸Ð»ÐµÐ½Ð¸Ñ Ð±ÐµÐ·Ð¾Ð¿Ð°ÑноÑÑи, ÑÑо Ð´ÐµÐ»Ð°ÐµÑ ÑказаннÑÑ Ð¿Ñоблема Ñложнее в иÑполÑзовании злоÑмÑÑленниками. # do not modify the following line - --- english/security/2016/dla-434.wml 2016-04-08 01:54:44.0 +0500 +++ russian/security/2016/dla-434.wml 2016-04-13 23:10:28.188798043 +0500 @@ -1,31 +1,32 @@ - -LTS security update +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Gustavo Grieco discovered different security issues in Gtk+2.0's +ÐÑÑÑаво ÐÑико еÑÑ Ð¾Ð±Ð½Ð°ÑÑжил пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±ÐµÐ·Ð¾Ð¿Ð°ÑноÑÑи в Gtk+2.0's gdk-pixbuf. https://security-tracker.debian.org/tracker/CVE-2015-4491;>CVE-2015-4491 - -Heap overflow when processing BMP images which may allow to execute - -of arbitrary code via malformed images. +ÐеÑеполнение динамиÑеÑкой памÑÑи пÑи обÑабоÑке изобÑажений в ÑоÑмаÑе BMP, коÑоÑое Ð¼Ð¾Ð¶ÐµÑ Ð¿Ð¾Ð·Ð²Ð¾Ð»Ð¸ÑÑ Ð²ÑполниÑÑ +пÑоизволÑнÑй код Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ ÑпеÑиалÑно ÑÑоÑмиÑованнÑÑ Ð¸Ð·Ð¾Ð±Ñажений. https://security-tracker.debian.org/tracker/CVE-2015-7673;>CVE-2015-7673 - -Heap overflow when processing TGA images which may allow execute - -arbitrary code or denial of service (process crash) via malformed - -images. +ÐеÑеполнение динамиÑеÑкой памÑÑи пÑи обÑабоÑке изобÑажений в ÑоÑмаÑе TGA, коÑоÑое Ð¼Ð¾Ð¶ÐµÑ Ð¿Ð¾Ð·Ð²Ð¾Ð»Ð¸ÑÑ Ð²ÑполниÑÑ +пÑоизволÑнÑй код или вÑзваÑÑ Ð¾Ñказ в обÑлÑживании (аваÑÐ¸Ð¹Ð½Ð°Ñ Ð¾ÑÑановка пÑоÑеÑÑа) Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ ÑпеÑиалÑно +ÑÑоÑмиÑованного изобÑажениÑ. https://security-tracker.debian.org/tracker/CVE-2015-7674;>CVE-2015-7674 - -Integer overflow when processing GIF images which may allow to - -execute arbitrary code or denial of service (process crash) via - -malformed image. +
Re: [DONE] wml://security/2016/dla-{403,380,382,418}.wml
13.04.2016 13:02, Andrey Skvortsov пишет: > On 13 Apr, Lev Lamberov wrote: > >> +локальных URI, о чём сообщим Ронни Скансинг; и атака на открытое > атакЕ Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: [DONE] wml://security/2016/dla-{403,380,382,418}.wml
On 13 Apr, Lev Lamberov wrote: > # do not modify the following line > - --- english/security/2016/dla-418.wml 2016-04-08 01:54:44.0 > +0500 > +++ russian/security/2016/dla-418.wml 2016-04-13 12:46:09.697218932 +0500 > @@ -1,30 +1,31 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -WordPress versions 4.4.1 and earlier are affected by two security > - -issues: a possible Side Request Forgery Vulnerability for certain > - -local URIs, reported by Ronni Skansing; and an open redirection > - -attack, reported by Shailesh Suthar. > +WordPress версий 4.4.1 и более ранних подвержен двум проблемам > +безопасности: возможной подделке сторонних запросов для некоторых > +локальных URI, о чём сообщим Ронни Скансинг; и атака на открытое атакЕ > +перенаправления, о чём сообщил Шаилеш Сутар. > -- Best regards, Andrey Skvortsov Secure eMail with gnupg: See http://www.gnupg.org/ PGP Key ID: 0x57A3AEAD signature.asc Description: PGP signature
Re: [DONE] wml://security/2016/dla-4{21,05,37}.wml
13.04.2016 12:35, Andrey Skvortsov пишет: > On 13 Apr, Lev Lamberov wrote: >> -BEGIN PGP SIGNED MESSAGE- >> Hash: SHA512 >> >> +Эти изменения не являются строго необходимыми для работу, но >> пользователи предыдущей > работЫ Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: [DONE] wml://security/2016/dla-4{43,09,08}.wml
13.04.2016 12:29, Andrey Skvortsov пишет: > On 13 Apr, Lev Lamberov wrote: >> +выполнили обновление до этого редакции пакета, обратите внимание на то, что >> возможность изменения > этоЙ Исправил, см. предыдущее сообщение. >> +пароля Samba перестанет работать до тех пор, пока параметр sambaHashHook в >> gosa.conf >> +не будет обновлён так, чтобы от PHP-кода GOsa можно было принимать >> закодированные в base64 >> +парольные строки. > > И ты постил в рассылку этот перевод. Что-то поменялось? Видимо, забыл удалить diff после отправки, он автоматом добавился к письму. signature.asc Description: OpenPGP digital signature
Re: [DONE] wml://security/2016/dla-4{43,09,08}.wml
13.04.2016 12:16, Andrey Skvortsov пишет: > On 13 Apr, Lev Lamberov wrote: >> +выполнили обновление до этого редакции пакета, обратите внимание на то, что >> возможность изменения > этоЙ Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: [DONE] wml://security/2016/dla-{402,392,406,423}.wml
13.04.2016 12:12, Andrey Skvortsov пишет: > On 12 Apr, Lev Lamberov wrote: >> +Сотрудники High-Tech Bridge Security Research Lab обнаружили уязвимости, >> проявляющуюся в обходе > уязвимостЬ > >> +системе, в которому веб-сервер имеет доступ с правами для чтения. > _К_ которому > >> +связанных с LogLUV и CIELab. Об > href="https://security-tracker.debian.org/tracker/CVE-2015-8665;>CVE-2015-8665 >> сообщил limingxing, а > "О" вместо "Об". Следующее слово же с согласной начинается. > >> +об > href="https://security-tracker.debian.org/tracker/CVE-2015-8683;>CVE-2015-8683 >> сообщил zzf из Alibaba. > Аналогично "о" вместо "об". > >> >> +можено обойти в случае, если токен XSRF/CSRF совпадает с > моЖНо Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: [DONE] wml://{users/com/alterweb.wml}
13.04.2016 12:00, Andrey Skvortsov пишет: > On 12 Apr, Lev Lamberov wrote: >> +Мы собираем Debian из пактов с исходным кодом для оптимальной >> настройки под > пакЕтов Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: [DONE] wml://security/2016/dla-4{43,09,08}.wml
On 13 Apr, Lev Lamberov wrote: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA512 > > - --- english/security/2016/dla-408.wml 2016-04-08 01:54:44.0 > +0500 > +++ russian/security/2016/dla-408.wml 2016-04-13 12:10:23.291211064 +0500 > @@ -1,21 +1,22 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -GOsa is a combination of system-administrator and end-user web > interface, > - -designed to handle LDAP based setups. > +GOsa представляет собой комбинацию веб-интерфейса системного > администратора и конечного пользователя, > +которая разработана для обслуживания систем на основе LDAP. > > - -GOsa upstream reported a code injection vulnerability in the Samba > plugin > - -code of GOsa. During Samba password changes it has been possible to > - -inject malicious Perl code. > +Разработчики основной ветки GOsa сообщили о возможности инъекции кода в > коде дополнения Samba > +для GOsa. Во время изменения пароля в Samba можно > +ввести код на языке Perl. > > - -This upload to Debian Squeeze LTS fixes this issues. However, if you > - -upgrade to this fixed package revision, please note that Samba password > - -changes will stop working until the sambaHashHook parameter in gosa.conf > - -has been updated to accept base64 encoded password strings from the PHP > - -code of GOsa. > +Данное обновление Debian Squeeze LTS исправляет эту проблему. Тем не > менее, если вы > +выполнили обновление до этого редакции пакета, обратите внимание на то, что > возможность изменения этоЙ > +пароля Samba перестанет работать до тех пор, пока параметр sambaHashHook в > gosa.conf > +не будет обновлён так, чтобы от PHP-кода GOsa можно было принимать > закодированные в base64 > +парольные строки. И ты постил в рассылку этот перевод. Что-то поменялось? -- Best regards, Andrey Skvortsov Secure eMail with gnupg: See http://www.gnupg.org/ PGP Key ID: 0x57A3AEAD signature.asc Description: PGP signature
Re: [DONE] wml://security/2016/dla-4{43,09,08}.wml
On 13 Apr, Lev Lamberov wrote: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA512 > > - --- english/security/2016/dla-408.wml 2016-04-08 01:54:44.0 > +0500 > +++ russian/security/2016/dla-408.wml 2016-04-13 12:10:23.291211064 +0500 > @@ -1,21 +1,22 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -GOsa is a combination of system-administrator and end-user web > interface, > - -designed to handle LDAP based setups. > +GOsa представляет собой комбинацию веб-интерфейса системного > администратора и конечного пользователя, > +которая разработана для обслуживания систем на основе LDAP. > > - -GOsa upstream reported a code injection vulnerability in the Samba > plugin > - -code of GOsa. During Samba password changes it has been possible to > - -inject malicious Perl code. > +Разработчики основной ветки GOsa сообщили о возможности инъекции кода в > коде дополнения Samba > +для GOsa. Во время изменения пароля в Samba можно > +ввести код на языке Perl. > > - -This upload to Debian Squeeze LTS fixes this issues. However, if you > - -upgrade to this fixed package revision, please note that Samba password > - -changes will stop working until the sambaHashHook parameter in gosa.conf > - -has been updated to accept base64 encoded password strings from the PHP > - -code of GOsa. > +Данное обновление Debian Squeeze LTS исправляет эту проблему. Тем не > менее, если вы > +выполнили обновление до этого редакции пакета, обратите внимание на то, что > возможность изменения этоЙ > +пароля Samba перестанет работать до тех пор, пока параметр sambaHashHook в > gosa.conf > +не будет обновлён так, чтобы от PHP-кода GOsa можно было принимать > закодированные в base64 > +парольные строки. -- Best regards, Andrey Skvortsov Secure eMail with gnupg: See http://www.gnupg.org/ PGP Key ID: 0x57A3AEAD signature.asc Description: PGP signature
Re: [DONE] wml://security/2016/dla-{402,392,406,423}.wml
On 12 Apr, Lev Lamberov wrote: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA512 > > - --- english/security/2016/dla-392.wml 2016-04-08 01:54:44.0 > +0500 > +++ russian/security/2016/dla-392.wml 2016-04-12 23:43:29.848537670 +0500 > @@ -1,16 +1,17 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -High-Tech Bridge Security Research Lab discovered a path traversal > - -vulnerability in a popular webmail client Roundcube. Vulnerability can be > - -exploited to gain access to sensitive information and under certain > - -circumstances to execute arbitrary code and totally compromise the > vulnerable > - -server. > +Сотрудники High-Tech Bridge Security Research Lab обнаружили уязвимости, > проявляющуюся в обходе уязвимостЬ > +пути в популярном веб-клиенте электронной почты Roundcube. Уязвимость может > использоваться > +для получения доступа к чувствительной информации, а при некоторых условиях > и для > +выполнения произвольного кода и полной компрометации уязвимого > +сервера. > > - -The vulnerability exists due to insufficient sanitization of > _skin HTTP POST > - -parameter in "/index.php" script when changing between different skins of > the > - -web application. A remote authenticated attacker can use path traversal > - -sequences (e.g. "../../") to load a new skin from arbitrary location on the > - -system, readable by the webserver. > +Указанная уязвимость имеет место из-за недостаточной очистки параметра > HTTP POST _skin > +в сценарии "/index.php" при выполнении изменения оформления > +веб-приложения. Удалённый аутентифицированный злоумышленник может > использовать последовательности > +обхода пути (напр. "../../") для загрузки новой темы оформления из > произвольного места в > +системе, в которому веб-сервер имеет доступ с правами для чтения. _К_ которому > > > # do not modify the following line > - --- english/security/2016/dla-402.wml 2016-04-08 01:54:44.0 > +0500 > +++ russian/security/2016/dla-402.wml 2016-04-12 23:39:10.552118139 +0500 > @@ -1,13 +1,14 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -Two security flaws have been found and solved in libtiff, library that > provides > - -support for handling Tag Image File Format (TIFF). These flaws concern out > of > - -bounds reads in the TIFFRGBAImage interface, when parsing unsupported > values > - -related to LogLUV and CIELab. href="https://security-tracker.debian.org/tracker/CVE-2015-8665;>CVE-2015-8665 > was reported by limingxing and > - - href="https://security-tracker.debian.org/tracker/CVE-2015-8683;>CVE-2015-8683 > by zzf of Alibaba. > +В libtiff, библиотеке, предоставляющей поддержку обработки изображений в > формате > +TIFF, были обнаружены и исправлены две уязвимости. Эти уязвимости касаются > чтения за пределами > +выделенного буфера памяти в интерфейсе TIFFRGBAImage при выполнении > грамматического разбора неподдерживаемых значений, > +связанных с LogLUV и CIELab. Об href="https://security-tracker.debian.org/tracker/CVE-2015-8665;>CVE-2015-8665 > сообщил limingxing, а "О" вместо "Об". Следующее слово же с согласной начинается. > +об href="https://security-tracker.debian.org/tracker/CVE-2015-8683;>CVE-2015-8683 > сообщил zzf из Alibaba. Аналогично "о" вместо "об". > > - -For Debian 6 Squeeze, these issues have been fixed in tiff > version > - -3.9.4-5+squeeze13. We recommend you to upgrade your tiff packages. > +В Debian 6 Squeeze эти проблемы были исправлены в tiff версии > +3.9.4-5+squeeze13. Рекомендуется обновить пакеты tiff. > > > # do not modify the following line > - --- english/security/2016/dla-406.wml 2016-04-08 01:54:44.0 > +0500 > +++ russian/security/2016/dla-406.wml 2016-04-12 23:46:07.171320045 +0500 > @@ -1,21 +1,22 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -Several flaws were discovered in the CSRF authentication code of > - -phpMyAdmin. > +В коде CSRF-аутентификации phpMyAdmin было обнаружено несколько > +уязвимостей. > > > > href="https://security-tracker.debian.org/tracker/CVE-2016-2039;>CVE-2016-2039 > > - -The XSRF/CSRF token is generated with a weak algorithm using > - -functions that do not return cryptographically secure values. > +Токен XSRF/CSRF создаётся при помощи слабого алгоритма, используя > +функции, которые не возвращают криптографически безопасных > значений. > > href="https://security-tracker.debian.org/tracker/CVE-2016-2041;>CVE-2016-2041 > > - -The comparison of the XSRF/CSRF token parameter with the value saved > - -in the session is vulnerable to timing attacks. Moreover, the > - -comparison could be bypassed if the XSRF/CSRF token matches a
Re: [DONE] wml://{users/com/alterweb.wml}
On 12 Apr, Lev Lamberov wrote: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA512 > > - --- english/users/com/alterweb.wml 2016-04-12 21:43:40.0 +0500 > +++ russian/users/com/alterweb.wml2016-04-12 22:49:36.920011308 +0500 > @@ -1,6 +1,7 @@ > # From: Martien Mortiaux> # https://lists.debian.org/debian-www/2016/03/msg00060.html > # > +#use wml::debian::translation-check translation="1.1" maintainer="Lev > Lamberov" > > AlterWeb > https://www.alterweb.nl/magento/hosting/ > @@ -8,16 +9,16 @@ > #use wml::debian::users > > > - -AlterWeb supplies webshops based on and hosting for Magento. We > distinguish > - -ourselves by focusing on security, speed, reliability and good > service. Debian > - -is used for all our servers, desktops and laptops. > - - > - -We compile Debian from source packages for an optimal configuration > on our > - -servers. They are managed with Ansible and we use NGINX, PHP, MySQL, > Redis, > - -Varnishe and New Relic packages > +AlterWeb предоставляет услуги хостинга для Magento, а также > веб-магазины на основе этого продукта. Наша компания > +отличается особым вниманием к безопасности, скорости работы, надёжности > и отличному обслуживанию. Debian > +используется на всех наших серверах, настольных компьютерах и > ноутбуках. > + > +Мы собираем Debian из пактов с исходным кодом для оптимальной > настройки под пакЕтов > +наши серверы. Серверы управляются с помощью Ansible, также мы используем > пакеты NGINX, PHP, MySQL, Redis, > +Varnishe и New Relic > -- Best regards, Andrey Skvortsov Secure eMail with gnupg: See http://www.gnupg.org/ PGP Key ID: 0x57A3AEAD signature.asc Description: PGP signature