Re: Jessie на ядре 2.6.32
В Wed, 27 May 2015 07:08:25 +0300 Max Dmitrichenko dmitr...@gmail.com пишет: Провел тут в один день апгрейд со squeeze-wheeze-jessie (без перезагрузки), второй переход обернулся геморроем. Какой-то из весьма важных пакетов в процессе dist-upgrade вдруг ругнулся, что поверх 2.6.32 работать не будет и заабортил dist-upgrade, оставив систему в раскоряке. По-моему, это был udev, но могу ошибаться, не обратил тогда особого внимания. 26 мая 2015 г., 21:43 пользователь Victor Wagner vi...@wagner.pp.ru написал: Коллеги, Кто-нибудь в курсе, будет ли нынешний stable работать на ядре 2.6.32? А то есть OpenVZ контейнер на хосте с таким ядром (насколько я знаю, там CentOS), и его хочется поднять до текущего stable. обновлял недавно wheezy до jessie в контейнере (работает на wheezy, ядро и vzctl с openvz.org). вполне себе работает. $ sudo vzctl exec 15 uname -a Linux build 2.6.32-openvz-042stab106.4-i386 #1 SMP Fri Mar 27 15:21:22 MSK 2015 i686 GNU/Linux $ sudo vzctl exec 15 lsb_release -a No LSB modules are available. Distributor ID: Debian Description:Debian GNU/Linux 8.0 (jessie) Release:8.0 Codename: jessie $ sudo vzctl exec 15 dpkg -l apache2 Desired=Unknown/Install/Remove/Purge/Hold | Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend |/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad) ||/ Name Version Architecture Description +++-==---= ii apache22.4.10-10i386 Apache HTTP Server -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150527115731.6e84b04e@terra
Re: Jessie на ядре 2.6.32
On Wed, 27 May 2015 07:08:25 +0300 Max Dmitrichenko dmitr...@gmail.com wrote: Провел тут в один день апгрейд со squeeze-wheeze-jessie (без перезагрузки), второй переход обернулся геморроем. Какой-то из весьма важных пакетов в процессе dist-upgrade вдруг ругнулся, что поверх 2.6.32 работать не будет и заабортил dist-upgrade, оставив систему в раскоряке. По-моему, это был udev, но могу ошибаться, не обратил тогда особого внимания. Вот у меня были подозрения, что какая-то засада такого рода будет. Была вот мысль с LogJam-ом побороться, поставив Apache, который умеет custom DH parameters при EDH-обмене ключей, для этого нужен 2.4.10, и в jessie как раз он и есть. А для в Wheeze его даже в бэкпортах нету. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150527111210.108b2...@arkturus.wagner.home
Re: Jessie на ядре 2.6.32
Я немного не вкурсе, что за зверь такой OpenVZ, но почему он накладывает ограничения на используемую версию ядра? 27 мая 2015 г., 11:12 пользователь Victor Wagner vi...@wagner.pp.ru написал: On Wed, 27 May 2015 07:08:25 +0300 Max Dmitrichenko dmitr...@gmail.com wrote: Провел тут в один день апгрейд со squeeze-wheeze-jessie (без перезагрузки), второй переход обернулся геморроем. Какой-то из весьма важных пакетов в процессе dist-upgrade вдруг ругнулся, что поверх 2.6.32 работать не будет и заабортил dist-upgrade, оставив систему в раскоряке. По-моему, это был udev, но могу ошибаться, не обратил тогда особого внимания. Вот у меня были подозрения, что какая-то засада такого рода будет. Была вот мысль с LogJam-ом побороться, поставив Apache, который умеет custom DH parameters при EDH-обмене ключей, для этого нужен 2.4.10, и в jessie как раз он и есть. А для в Wheeze его даже в бэкпортах нету. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150527111210.108b2...@arkturus.wagner.home -- -- With best regards Max Dmitrichenko
Re: Jessie на ядре 2.6.32
27.05.2015 11:35, Max Dmitrichenko пишет: Я немного не вкурсе, что за зверь такой OpenVZ, но почему он накладывает ограничения на используемую версию ядра? Это своеобразная система контейнеров. В контексте текущего вопроса - дело в том, что эти контейнеры запускаются ядром физической машины и оно одно на все запущенные контейнеры. -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
[DONE] wml://security/2009/dsa-1{773,898,846,740,791,716,736,815,748,699,759,894,725,728,921,732,762,703,709,752,710,786,832,757,758,731}.wml
Cheers! Lev Lamberov --- english/security/2009/dsa-1699.wml 2014-04-30 13:16:18.0 +0600 +++ russian/security/2009/dsa-1699.wml 2015-05-27 15:22:56.870977067 +0500 @@ -1,18 +1,20 @@ -define-tag descriptionarray index error/define-tag +#use wml::debian::translation-check translation=1.3 maintainer=Lev Lamberov +define-tag descriptionошибка указателя массива/define-tag define-tag moreinfo -pAn array index error in zaptel, a set of drivers for telephony hardware, -could allow users to crash the system or escalate their privileges by -overwriting kernel memory (a href=https://security-tracker.debian.org/tracker/CVE-2008-5396;CVE-2008-5396/a)./p +pОшибка указателя массива в zaptel, наборе драйверов для телефонного оборудования, +может позволить пользователям аварийно завершить работу системы или повысить свои привилегии путём +перезаписи памяти ядра (a href=https://security-tracker.debian.org/tracker/CVE-2008-5396;CVE-2008-5396/a)./p -pFor the stable distribution (etch), this problem has been fixed in version +pВ стабильном выпуске (etch) этап проблема была исправлена в версии 1.2.11.dfsg-1+etch1./p -pFor the unstable distribution (sid) and the testing distribution -(lenny), this problem has been fixed in version 1.4.11~dfsg-3./p +pВ нестабильном (sid) и тестируемом +(lenny) выпусках эта проблема была исправлена в версии 1.4.11~dfsg-3./p -pWe recommend that you upgrade your zaptel package./p +pРекомендуется обновить пакет zaptel./p /define-tag # do not modify the following line #include $(ENGLISHDIR)/security/2009/dsa-1699.data # $Id: dsa-1699.wml,v 1.3 2014/04/30 07:16:18 pabs Exp $ + --- english/security/2009/dsa-1703.wml 2009-01-13 03:30:35.0 +0500 +++ russian/security/2009/dsa-1703.wml 2015-05-27 15:45:28.767019542 +0500 @@ -1,20 +1,22 @@ -define-tag descriptioninterpretation conflict/define-tag +#use wml::debian::translation-check translation=1.1 maintainer=Lev Lamberov +define-tag descriptionконфликт интерпретация/define-tag define-tag moreinfo -pIt was discovered that BIND, an implementation of the DNS protocol -suite, does not properly check the result of an OpenSSL function which -is used to verify DSA cryptographic signatures. As a result, -incorrect DNS resource records in zones protected by DNSSEC could be -accepted as genuine./p +pБыло обнаружено, что BIND, реализация протокола DNS, +неправильно выполняет проверку результатов функции OpenSSL, использующейся +для проверки подписей DSA. В результате +некорректные записи DNS о ресурсах в зонах, защищённых DNSSEC, могут +принимается как подлинные./p -pFor the stable distribution (etch), this problem has been fixed in -version 9.3.4-2etch4./p +pВ стабильном выпуске (etch) эта проблема была исправлена в +версии 9.3.4-2etch4./p -pFor the unstable distribution (sid) and the testing distribution -(lenny), this problem will be fixed soon./p +pВ нестабильном (sid) и тестируемом +(lenny) выпусках эта проблема будет исправлена позже./p -pWe recommend that you upgrade your BIND packages./p +pРекомендуется обновить пакеты BIND./p /define-tag # do not modify the following line #include $(ENGLISHDIR)/security/2009/dsa-1703.data # $Id: dsa-1703.wml,v 1.1 2009/01/12 22:30:35 spaillar Exp $ + --- english/security/2009/dsa-1709.wml 2009-01-21 15:53:35.0 +0500 +++ russian/security/2009/dsa-1709.wml 2015-05-27 15:48:36.451025439 +0500 @@ -1,20 +1,22 @@ -define-tag descriptionrace condition/define-tag +#use wml::debian::translation-check translation=1.1 maintainer=Lev Lamberov +define-tag descriptionсостояние гонки/define-tag define-tag moreinfo -pPaul Szabo discovered that login, the system login tool, did not -correctly handle symlinks while setting up tty permissions. If a local -attacker were able to gain control of the system utmp file, they could -cause login to change the ownership and permissions on arbitrary files, -leading to a root privilege escalation./p +pПол Сзабо обнаружил, что login, системный инструмент входа, неправильно +обрабатывает символические ссылки по время установки прав доступа tty. Если локальный +злоумышленник может получить контроль над системным файлом utmp, то он может +заставить login изменить владельца и прав доступа произвольных файлов, +что приводит к повышению привилегий вплоть до получения прав суперпользователя./p -pFor the stable distribution (etch), this problem has been fixed in -version 4.0.18.1-7+etch1./p +pВ стабильном выпуске (etch) эта проблема была исправлена в +версии 4.0.18.1-7+etch1./p -pFor the unstable distribution (sid), this problem has been fixed in -version 4.1.1-6./p +pВ нестабильном выпуске (sid) эта проблема была исправлена в +версии 4.1.1-6./p -pWe recommend that you upgrade your shadow package./p +pРекомендуется обновить пакет shadow./p /define-tag # do not modify the following line #include $(ENGLISHDIR)/security/2009/dsa-1709.data # $Id: dsa-1709.wml,v 1.1 2009/01/21 10:53:35 spaillar Exp $ + --- english/security/2009/dsa-1710.wml 2009-01-26
Re: Jessie на ядре 2.6.32
Max Dmitrichenko dmitr...@gmail.com writes: 26 мая 2015 г., 21:43 Victor Wagner vi...@wagner.pp.ru написал: Кто-нибудь в курсе, будет ли нынешний stable работать на ядре 2.6.32? А то есть OpenVZ контейнер на хосте с таким ядром (насколько я знаю, там CentOS), и его хочется поднять до текущего stable. Какой-то из весьма важных пакетов в процессе dist-upgrade вдруг ругнулся, что поверх 2.6.32 работать не будет и заабортил dist-upgrade, оставив систему в раскоряке. По-моему, это был udev, но могу ошибаться, не обратил тогда особого внимания. Если я правильно понимаю функцию OpenVZ — поддержка окружений, подобных chroot и LXC — Udev не будет критичен для работы дочерней системы. Достаточно будет MAKEDEV(8) и devpts. Во всяком случае, необходимости применять Udev в chroot (schroot) у меня пока не было. С другой стороны, eglibc в Jessie требует 3.4.0 — что обходимо лишь пересборкой. AIUI. -- FSF associate member #7257 np. Undercurrent — Jami Sieber … B6A0 230E 334A Потому, что это нарушает логический порядок обсуждения. Почему мне не следует писать ответ над цитируемым сообщением?
[DONE] wml://security/{2001/dsa-041,2012/dsa-2536,2001/dsa-068,2004/dsa-617,2010/dsa-2135,1999/19990215a,2000/20000108}.wml
Вот теперь должно быть переведённых на русский язык файла. Cheers! Lev Lamberov --- english/security/1999/19990215a.wml 2003-09-04 09:12:54.0 +0600 +++ russian/security/1999/19990215a.wml 2015-05-27 23:35:42.831905994 +0500 @@ -1,15 +1,17 @@ -define-tag moreinfoWe have received reports about two buffer overflows in the -super package which was distributed as part of Debian GNU/Linux. Firstly, for -per-user .supertab files super didn't check for a buffer overflow when creating -the path to the user's .supertab file. Secondly another buffer overflow did -allow ordinary users to overflow super by creating a nasty personal .supertab -file. We recommend you upgrade your super packages immediately. +#use wml::debian::translation-check translation=1.8 maintainer=Lev Lamberov +define-tag moreinfoМы получили сообщения о двух переполнениях буфера в +пакете super, который поставляется в составе Debian GNU/Linux. Во-первых, +super не выполняет проверку пользовательских файлов .supertab на предмет переполнения буфера при создании +пути к пользовательскому файлу .supertab. Во-вторых, другое переполнение буфера +может быть вызвано обычными пользователями путём использования некорректного личного +файла .supertab. Рекомендуется как можно скорее обновить пакеты super. -pAn analysis of the super vulnerability is available at this -a href=http://www.securityfocus.com/archive/1/12713;Securityfocus archive page/a. +pАнализ уязвимости super доступен на этой +a href=http://www.securityfocus.com/archive/1/12713;архивной странице Securityfocus/a. /define-tag -define-tag descriptionBuffer overflow in super./define-tag +define-tag descriptionпереполнение буфера в super/define-tag # do not modify the following line #include '$(ENGLISHDIR)/security/1999/19990215a.data' + --- english/security/2000/2108.wml 2002-05-13 14:54:26.0 +0600 +++ russian/security/2000/2108.wml 2015-05-27 23:40:19.463914685 +0500 @@ -1,15 +1,17 @@ -define-tag moreinfoThe version of nvi that was distributed with Debian -GNU/Linux 2.1 has an error in the default /etc/init.d/nviboot script: it did -not handle filenames with embedded spaces correctly. This made it possible to -remove files in the root directory by creating entries in /var/tmp/vi.recover. +#use wml::debian::translation-check translation=1.5 maintainer=Lev Lamberov +define-tag moreinfoВерсия nvi, поставляемая в составе Debian +GNU/Linux 2.1, содержит ошибку в сценарии /etc/init.d/nviboot по умолчанию: программа +некорректно обрабатывает имена файлов, содержащие пробелы. Поэтому можно +удалять файлы в корневом каталоге путём создания записей в файле /var/tmp/vi.recover. -pThis has been fixed in version 1.79-9.1 . We recommend you upgrade your nvi -package immediately. +pЭта уязвимость была исправлена в версии 1.79-9.1. Рекомендуется как можно скорее обновить +пакет nvi. -pIf you use a customized version of nviboot please make sure your version -does not suffer from this problem. If you upgrade dpkg will offer to replace -it with the new safe version if needed./define-tag -define-tag descriptionincorrect file removal in boot script/define-tag +pЕсли вы используете собственную версию nviboot, то убедитесь, что ваша версия не +содержит указанной проблемы. Если вы выполните обновление, dpkg в случае необходимости предложит вам заменить +вашу версию на новую безопасную версию./define-tag +define-tag descriptionнекорректное удаление файлов в сценарии загрузки/define-tag # do not modify the following line #include '$(ENGLISHDIR)/security/2000/2108.data' + --- english/security/2001/dsa-041.wml 2011-05-26 16:05:40.0 +0600 +++ russian/security/2001/dsa-041.wml 2015-05-27 23:18:50.715874194 +0500 @@ -1,14 +1,16 @@ -define-tag moreinfoChrister Öberg of Wkit Security AB found a problem in joe -(Joe's Own Editor). joe will look for a configuration file in three locations: -The current directory, the users homedirectory ($HOME) and in /etc/joe. Since -the configuration file can define commands joe will run (for example to check -spelling) reading it from the current directory can be dangerous: An attacker -can leave a .joerc file in a writable directory, which would be read when a -unsuspecting user starts joe in that directory. +#use wml::debian::translation-check translation=1.4 maintainer=Lev Lamberov +define-tag moreinfoКристер Оберг из Wkit Security AB обнаружил проблему в joe +(Joe's Own Editor). joe производит поиск файла настроек в трёх местах: +текущем каталоге, пользовательском домашнем каталоге ($HOME) и в /etc/joe. Поскольку +файл настройки может содержать определения команд, запускаемых joe (например, для проверки +правописания), то чтение файла настройки из текущего каталога может быть опасно: злоумышленник +может оставить файл .joerc в каталоге, в который он может производить запись, файл затем будет +прочитан, когда пользователь запустит joe в этом каталоге. -pThis has been fixed in version 2.8-15.3 and we recommend that you upgrade
Re: [DONE] wml://security/2005/dsa-{77,81,80,67,74}2.wml
27 мая 2015 г., 0:58 пользователь Vladimir Zhbanov vzhba...@gmail.com написал: On Tue, May 26, 2015 at 01:56:15AM +0500, Lev Lamberov wrote: +pМаркус Майснер обнаружил, что программа cvsbug из CVS, которая +обслуживает популярную систему управления версиями Concurrent Versions System, используется временные файлы +небезопасным способом./p в программе... временные файлы используются или программа... использует временные файлы Исправил. Спасибо!
Re: Jessie на ядре 2.6.32
Victor Wagner vi...@wagner.pp.ru wrote: Коллеги, Кто-нибудь в курсе, будет ли нынешний stable работать на ядре 2.6.32? Нет. Пересобрать libc и всё-всё-всё - предлагать? А то есть OpenVZ контейнер на хосте с таким ядром (насколько я знаю, там CentOS), и его хочется поднять до текущего stable. Выкинуть OpenVZ и собрать lxc контейнер. Самый правильный вариант. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/hhrh3c-som@woofie.cef.spbstu.ru