Re: [DONE] wml://security/2018/dsa-4154.wml
Ср 28 мар 2018 @ 18:07 Gali Anikina: > (что приводит к отказу в обслуживании) или потенциального выполнения > > может быть так - "(что приведёт к отказу в обслуживании) или > потенциального выполнения" Зачем? Вполне обычная грамматическая конструкция.
Re: acheck_Version 0.5.5____ru.po
В Ср, 28/03/2018 в 19:19 +0300, Алексей Шилин пишет: > В письме от среда, 28 марта 2018 г. 18:48:33 MSK пользователь Gali > Anikina > написал: > > Тогда и в этих (и аналогичных) случаях поставить русские кавычки? > > > > «%s»: неизвестный отступ > > С кавычками вообще полнейший разнобой: где-то оставляют оригинальные > (как, > например, в ls), где-то заменяют... > Да согласна. Тогда я заменю их везде на русские? > > Кстати - а как вы вводите кавычки - где в раскладке клавиатуры они > > находятся - русские кавычки? Перебрала все раскладки клавиатуры > > русские > > и не нашла их. Сейчас делаю копированием. > > Для этого используется клавиша Compose. По умолчанию она не назначена > - > выполните "sudo dpkg-reconfigure keyboard-configuration", и когда > дойдёте до > настройки Compose, назначьте её, скажем, на правую Win. Тогда для > ввода > кавычек-"ёлочек" можно будет нажать Compose (и отпустить), а затем > последовательно нажать "<", "<" (естественно, в английской > раскладке), тире > вводится нажатием Compose и тремя дефисами, и так далее. Подробнее > смотрите в > Интернете. Спасибо, просто раньше не было в этом необходимости :-))) Конечно надо изучить данный вопрос, просто я думала, что они где-то есть "из коробки", поэтому и спросила
Re: acheck_Version 0.5.5____ru.po
В письме от среда, 28 марта 2018 г. 18:48:33 MSK пользователь Gali Anikina написал: > Тогда и в этих (и аналогичных) случаях поставить русские кавычки? > > «%s»: неизвестный отступ С кавычками вообще полнейший разнобой: где-то оставляют оригинальные (как, например, в ls), где-то заменяют... > Кстати - а как вы вводите кавычки - где в раскладке клавиатуры они > находятся - русские кавычки? Перебрала все раскладки клавиатуры русские > и не нашла их. Сейчас делаю копированием. Для этого используется клавиша Compose. По умолчанию она не назначена - выполните "sudo dpkg-reconfigure keyboard-configuration", и когда дойдёте до настройки Compose, назначьте её, скажем, на правую Win. Тогда для ввода кавычек-"ёлочек" можно будет нажать Compose (и отпустить), а затем последовательно нажать "<", "<" (естественно, в английской раскладке), тире вводится нажатием Compose и тремя дефисами, и так далее. Подробнее смотрите в Интернете.
Re: [DONE] wml://security/2018/dsa-4154.wml
В Ср, 28/03/2018 в 18:17 +0300, Алексей Шилин пишет: > В письме от среда, 28 марта 2018 г. 18:07:48 MSK пользователь Gali > Anikina > написал: > > Аутентификация (англизированное заимствование и привнесённое в > > русский > > язык) и идентификация (русское слово) - они вроде по смыслу > > одинаковы. > > И там и там производится сверка пользователя с чем-то - будь то > > паспорт, электронная подпись, пароль и тд. > > Соответственно и там где употребляется слово аутентификация лучше > > использовать идентификация. > > https://ru.wikipedia.org/wiki/%D0%90%D1%83%D1%82%D0%B5%D0%BD > %D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F: > > > Аутентификацию не следует путать с авторизацией (процедурой > > предоставления > > субъекту определённых прав) и идентификацией (процедурой > > распознавания > > субъекта по его идентификатору). Да, поштудирую данный вопрос :-))) > > может быть - "до выпуска релиза" ? или "до выпуска первой версии" > > Ах это прекрасное русское слово "релиз"... :) Часто в статьях про Linux встречается, поэтому и предложила :-)))
Re: acheck_Version 0.5.5____ru.po
В Ср, 28/03/2018 в 17:59 +0300, Алексей Шилин пишет: > В письме от среда, 28 марта 2018 г. 6:55:18 MSK пользователь Gali > Anikina > написал: > > "Если имя выходного файла отсутствует, то будет использовано имя > > входного " > > "файла; '-' — вывод в STDOUT\n" > > > > (Точка с запятой и тире.) > > > > > > > > Поставила > > Точку с запятой в файле вижу, тире - нет. > > В принципе, можно переформулировать: > > "Если имя выходного файла отсутствует, то будет использовано имя > входного > файла; укажите «-» для вывода в STDOUT\n" > Ага, имела в виде тире, что в кавычках Подправила - поставила ваш вариант - он вроде более подходит Сейчас выглядит так - "\n" "Если имя входного файла установлено в «-» или отсутствует, то данные " "читаются из STDIN\n" "Если имя выходного файла отсутствует, то будет использовано имя входного " "файла; укажите «-» для вывода в STDOUT\n" "\n" > > оставила английские - вот эти - кавычки (они не будут показаны > > пользователю) > > > > `%s': неизвестный отступ > > Будут показаны, почему нет? > > > msgstr "" > > "Использование: %s [ПАРАМЕТРЫ] [ВХОДНОЙ ФАЙЛ]\n" > > "\n" > > "параметры:\n" > Тогда и в этих (и аналогичных) случаях поставить русские кавычки? «%s»: неизвестный отступ Кстати - а как вы вводите кавычки - где в раскладке клавиатуры они находятся - русские кавычки? Перебрала все раскладки клавиатуры русские и не нашла их. Сейчас делаю копированием. > Возможно, "параметры" здесь стоит писать с прописной буквы несмотря > на > оригинал? Наверное не получится, вот в файле adduser_3.116_ru.po написано так- букву в букву - маленькие в английском -маленькие в русском msgid "" . "general options:\n" " --quiet | -q don't give process information to stdout\n" " --help | -h usage message\n" " --version | -vversion number and copyright\n" " --conf | -c FILE use FILE as configuration file\n" "\n" msgstr "" ... "общие параметры:\n" " --quiet | -q не выводить информацию при работе в stdout\n" " --help | -h показать справку об использовании\n" " --version | -vпоказать версию и авторские права\n" " --conf | -c ФАЙЛ использовать ФАЙЛ в качестве конфигурационного\n" "\n" А вот в этом a2ps-4.14_ru.po - так- слово OPTION переведено -как КЛЮЧИ но опять сохранили тот регистр, который был в оригинале #: src/main.c:653 #, fuzzy, c-format msgid "" "Usage: %s [OPTION]... [FILE]...\n" .7 msgstr "" "Использование: %s [КЛЮЧИ]... ФАЙЛ...\n" "\n" . А вот здесь в texinfo_ru_v_6_3_92.ro маленькими буквами msgid "" "Frequently-used options:\n" " -a, --alluse all matching manuals\n" " -k, --apropos=STRING look up STRING in all indices of all manuals\n" " -d, --directory=DIR add DIR to INFOPATH\n" " -f, --file=MANUALspecify Info manual to visit" msgstr "" "Часто используемые параметры:\n" " -a, --all использовать все подходящие справочники\n" " -k, -- apropos=СТРОКА поиск СТРОКИ во всех указателях\n" " всех справочников\n" " -d, --directory=КАТ добавить КАТалог в INFOPATH\n" " -f, --file=СПРАВОЧНИКзадать открываемый Info-справочник" А вот в apt-1.6~beta1__ru___2017.po маленькие буквы #: cmdline/apt-cache.cc msgid "" "Usage: apt-cache [options] command\n" " apt-cache [options] show pkg1 [pkg2 ...]\n" "\n" "apt-cache queries and displays available information about installed\n" "and installable packages. It works exclusively on the data acquired\n" "into the local cache via the 'update' command of e.g. apt-get. The\n" "displayed information may therefore be outdated if the last update was\n" "too long ago, but in exchange apt-cache works independently of the\n" "avail ability of the configured sources (e.g. offline).\n" msgstr "" "Использов ание: apt-cache [параметры] команда\n" " apt-cache [параметры] show пакет1 [пакет2 …]\n" "\n" "apt-cache ищет и выдаёт доступную информацию об установленных\n" "и неустановленных пакетах. Она работает только с данными локального\n" "кэша, созданного командой «update» программы apt-get. В следствие\n" "этого отображаемая информация может устаревшей, если обновление\n" "долго не выполнялось, но зато apt-cache работает независимо от\n" "доступности настроенных источников (например, без сети).\n" Получается, что делают так, как написано в английском варианте- если там заглавные буквы, то и в русском так, и тд
Re: [DONE] wml://security/2018/dsa-4154.wml
В письме от среда, 28 марта 2018 г. 18:07:48 MSK пользователь Gali Anikina написал: > Аутентификация (англизированное заимствование и привнесённое в русский > язык) и идентификация (русское слово) - они вроде по смыслу одинаковы. > И там и там производится сверка пользователя с чем-то - будь то > паспорт, электронная подпись, пароль и тд. > Соответственно и там где употребляется слово аутентификация лучше > использовать идентификация. https://ru.wikipedia.org/wiki/%D0%90%D1%83%D1%82%D0%B5%D0%BD %D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F: > Аутентификацию не следует путать с авторизацией (процедурой предоставления > субъекту определённых прав) и идентификацией (процедурой распознавания > субъекта по его идентификатору). > может быть - "до выпуска релиза" ? или "до выпуска первой версии" Ах это прекрасное русское слово "релиз"... :)
Re: [DONE] wml://security/2018/dsa-4154.wml
В Ср, 28/03/2018 в 16:50 +0500, Lev Lamberov пишет: > --- ../../english/security/2018/dsa-4154.wml 2018-03-28 > 14:22:51.0 +0500 > +++ 2018/dsa-4154.wml 2018-03-28 16:50:02.419122931 +0500 > @@ -1,25 +1,26 @@ > -security update > +#use wml::debian::translation-check translation="1.1" mindelta="1" > +обновление безопасности > > -A heap corruption vulnerability was discovered in net-snmp, a > suite of > -Simple Network Management Protocol applications, triggered when > parsing > -the PDU prior to the authentication process. A remote, > unauthenticated > -attacker can take advantage of this flaw to crash the snmpd process > -(causing a denial of service) or, potentially, execute arbitrary > code > -with the privileges of the user running snmpd. > +В net-snmp, наборе приложений Simple Network Management Protocol, > было > +обнаружено повреждение содержимого памяти, возникающее при > выполнении грамматического > +разбора PDU до запуска процесса аутентификации. Удалённый > неаутентифицированный > +злоумышленник может использовать эту уязвимость для аварийной > остановки процесса snmpd > +(что приводит к отказу в обслуживании) или потенциального выполнения > произвольного кода > +с правами пользователя, запустившего snmpd. > Удалённый неаутентифицированный злоумышленник может использовать эту уязвимость может так - Удалённый неидентифицированный злоумышленник может использовать эту уязвимость Аутентификация (англизированное заимствование и привнесённое в русский язык) и идентификация (русское слово) - они вроде по смыслу одинаковы. И там и там производится сверка пользователя с чем-то - будь то паспорт, электронная подпись, пароль и тд. Соответственно и там где употребляется слово аутентификация лучше использовать идентификация. Но может быть я не знаю всех тонкостей данного процесса. - (что приводит к отказу в обслуживании) или потенциального выполнения может быть так - "(что приведёт к отказу в обслуживании) или потенциального выполнения" > -For the oldstable distribution (jessie), these problems have been > fixed > -in version 5.7.2.1+dfsg-1+deb8u1. > +В предыдущем стабильном выпуске (jessie) эти проблемы были > исправлены > +в версии 5.7.2.1+dfsg-1+deb8u1. > > -For the stable distribution (stretch), these problems have been > fixed > -before the initial release. > +В стабильном выпуске (stretch) эти проблемы были исправлены > +до изначального выпуска. > может быть - "до выпуска релиза" ? или "до выпуска первой версии"
Re: acheck_Version 0.5.5____ru.po
В письме от среда, 28 марта 2018 г. 6:55:18 MSK пользователь Gali Anikina написал: > "Если имя выходного файла отсутствует, то будет использовано имя > входного " > "файла; '-' — вывод в STDOUT\n" > > (Точка с запятой и тире.) > > > > Поставила Точку с запятой в файле вижу, тире - нет. В принципе, можно переформулировать: "Если имя выходного файла отсутствует, то будет использовано имя входного файла; укажите «-» для вывода в STDOUT\n" > оставила английские - вот эти - кавычки (они не будут показаны > пользователю) > > `%s': неизвестный отступ Будут показаны, почему нет? > msgstr "" > "Использование: %s [ПАРАМЕТРЫ] [ВХОДНОЙ ФАЙЛ]\n" > "\n" > "параметры:\n" Возможно, "параметры" здесь стоит писать с прописной буквы несмотря на оригинал?
Re: [DONE] wml://{security/2010/dsa-1992.wml}
В Ср, 28/03/2018 в 16:45 +0500, Lev Lamberov пишет: > Ср 28 мар 2018 @ 14:29 Gali Anikina: > > > В chronyd отсутствует > > управление ограничением скорости передачи данных syslog при > > журналировании получаемых пакетов от неавторизованных узлов. Это > > позволяет злоумышленнику организовать отказ в обслуживании путём > > повторяющейся отправки некорректных cmdmon-пакетов и следовательно > > заполнения журналов, а таким образом быстрого использования всего > > имеющегося дискового пространства. > > Да, это лучше. Сделал так: > > Это позволяет злоумышленнику вызывать отказ в обслуживании путём > повторяющейся отправки некорректных cmdmon-пакетов, что приводит к > заполнению журналов, а таким образом и использованию всего дискового > пространства. O`key, отлично!
Re: acheck_Version 0.5.5____ru.po
В письме от среда, 28 марта 2018 г. 13:00:11 MSK пользователь Lev Lamberov написал: > Кстати, тут в оригинале эти обе строки имеют специально одинаковую > длину, 8 символов (благодаря пробелам). В переводе они обе имеют 9 > символов. Не уверен, но может быть убрать по одному пробелу из них? В оригинале - 9, а в переводе - 10. Но по коду я не вижу, как это могло бы повлиять на выполнение программы. Скорее всего, это сделано просто для выравнивания, и в таком случае можно использовать любое одинаковое число символов.
Re: acheck_Version 0.5.5____ru.po
В письме от вторник, 27 марта 2018 г. 21:22:43 MSK пользователь Lev Lamberov написал: > > #: ../acheck:1163 ../acheck:1167 > > msgid "Aspell Perl module not found, spelling check cancelled." > > msgstr "Модуль Perl aspell не найден, проверка правописания отменена." > > > Алексей уже писал, что тут вместо запятой должно быть двоеточие. См. > параграф 161 в http://new.gramota.ru/spravka/rules/157-dvoe Всё же не двоеточие, а тире. Здесь вторая часть является следствием первой, а не причиной.
Re: [DONE] wml://{security/2018/dsa-4146.wml}
Ср 28 мар 2018 @ 14:30 Gali Anikina: > В Ср, 28/03/2018 в 12:16 +0500, Lev Lamberov пишет: >> Ср 28 мар 2018 @ 07:43 Gali Anikina : >> >> > > +Plexus выполняет недостаточное закавычивание дважды кодированных >> > > +строк, что приводит к выполнению произвольных команд командной >> > > оболочки. >> > >> > к выполнению произвольных команд командной >> > > оболочки >> > >> > может быть "к выполнению произвольных команд оболочки пользователя" >> > ? >> > >> > так как дважды упоминается слово команда >> >> Это не оболочка пользователя. Тут может быть "командный процессор", >> "командная оболочка", "интерпретатор команд". Из этих вариантов мне >> больше нравится "командная оболочка". От "команд" два раза не уйти. > > > может быть так- > приводит к выполнению произвольных операций командной оболочки Нет, слово "операция" тут не подходит. То, о чём идёт речь, называется "командой". Может быть вместе звучит не очень, но придётся оставить так, чтобы не потерять точность перевода.
[DONE] wml://security/2018/dsa-4154.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- ../../english/security/2018/dsa-4154.wml 2018-03-28 14:22:51.0 +0500 +++ 2018/dsa-4154.wml 2018-03-28 16:50:02.419122931 +0500 @@ -1,25 +1,26 @@ - -security update +#use wml::debian::translation-check translation="1.1" mindelta="1" +обновление безопаÑноÑÑи - -A heap corruption vulnerability was discovered in net-snmp, a suite of - -Simple Network Management Protocol applications, triggered when parsing - -the PDU prior to the authentication process. A remote, unauthenticated - -attacker can take advantage of this flaw to crash the snmpd process - -(causing a denial of service) or, potentially, execute arbitrary code - -with the privileges of the user running snmpd. +Ð net-snmp, набоÑе пÑиложений Simple Network Management Protocol, бÑло +обнаÑÑжено повÑеждение ÑодеÑжимого памÑÑи, возникаÑÑее пÑи вÑполнении гÑаммаÑиÑеÑкого +ÑазбоÑа PDU до запÑÑка пÑоÑеÑÑа аÑÑенÑиÑикаÑии. УдалÑннÑй неаÑÑенÑиÑиÑиÑованнÑй +злоÑмÑÑленник Ð¼Ð¾Ð¶ÐµÑ Ð¸ÑполÑзоваÑÑ ÑÑÑ ÑÑзвимоÑÑÑ Ð´Ð»Ñ Ð°Ð²Ð°Ñийной оÑÑановки пÑоÑеÑÑа snmpd +(ÑÑо пÑÐ¸Ð²Ð¾Ð´Ð¸Ñ Ðº оÑÐºÐ°Ð·Ñ Ð² обÑлÑживании) или поÑенÑиалÑного вÑÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ Ð¿ÑоизволÑного кода +Ñ Ð¿Ñавами полÑзоваÑелÑ, запÑÑÑивÑего snmpd. - -For the oldstable distribution (jessie), these problems have been fixed - -in version 5.7.2.1+dfsg-1+deb8u1. +РпÑедÑдÑÑем ÑÑабилÑном вÑпÑÑке (jessie) ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ +в веÑÑии 5.7.2.1+dfsg-1+deb8u1. - -For the stable distribution (stretch), these problems have been fixed - -before the initial release. +Ð ÑÑабилÑном вÑпÑÑке (stretch) ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ +до изнаÑалÑного вÑпÑÑка. - -We recommend that you upgrade your net-snmp packages. +РекомендÑеÑÑÑ Ð¾Ð±Ð½Ð¾Ð²Ð¸ÑÑ Ð¿Ð°ÐºÐµÑÑ net-snmp. - -For the detailed security status of net-snmp please refer to its - -security tracker page at: - -https://security-tracker.debian.org/tracker/net-snmp;>https://security-tracker.debian.org/tracker/net-snmp +С подÑобнÑм ÑÑаÑÑÑом поддеÑжки безопаÑноÑÑи net-snmp можно ознакомиÑÑÑÑ Ð½Ð° +ÑооÑвеÑÑÑвÑÑÑей ÑÑÑаниÑе оÑÑÐ»ÐµÐ¶Ð¸Ð²Ð°Ð½Ð¸Ñ Ð±ÐµÐ·Ð¾Ð¿Ð°ÑноÑÑи по адÑеÑÑ +https://security-tracker.debian.org/tracker/net-snmp;>\ +https://security-tracker.debian.org/tracker/net-snmp # do not modify the following line #include "$(ENGLISHDIR)/security/2018/dsa-4154.data" - -# $Id: dsa-4154.wml,v 1.1 2018/03/28 09:22:51 carnil Exp $ -BEGIN PGP SIGNATURE- iQIzBAEBCgAdFiEE3mumcdV9mwCc9oZQXudu4gIW0qUFAlq7gXcACgkQXudu4gIW 0qXgTg/8CjWWnvxs8XWGvdXCzA53HlUuphq12vuHwa52f2JWbgKOUf8vB1IhZa34 CSlGA/wXd1eSe3SebrtqBvKPjJQhLxbn1Nht4dDV02UPEn2sl8Mj1noLS29agz0Q q0lDGNRPMpaFcBxmyHDRD5GXdot2SY7ce6OOf4GtsnkrMX//GNZ/h8NwG9NvZCVq hVJ5lF+u0Gwp9z9jd2ddAWgNhCrBBbb+/UR+uKZyrk1m77tKrURL3E/QVnWObVqr Ur5z7Evs6ZdehK0ub6rvUYS01kK9xJRGWvGDi+ylUkMDBW8HnI95jyWcKwzIgD57 pWteHHb1srQcpO5sGKBbM5MO5DSgkrBXsXrVSIQxbPH5xjlcHTbL4shdWDuefgSo VIA8MtQBjtmiVPdlxPLSi4pkKHgf553damF0XRcR5b4AdfDVQ5ZQsbJTHbGoZecF 62k8FC5DrTI3TRZZmTs4voXgEvFwVgKm4c/8OSUuKlgq/P+RAsYmnTCt0XElltBl 0AwvUNcMul5Qll+H32klOYeHO+bzBKwoXmX+r7lZ/bMo0xe+B3glg1qsTpcAL8dy pEtKTqSfNvwF+/5E5hOkiZ/8LunSr7vBH34Yrgn86d7jH1Em4WyVvoV0jEsgczA4 zzp+7zJbPsjKcrq8AAbhbWX8j47BxuNd9QEcMkZsPR2hUg2ZjPQ= =Hx88 -END PGP SIGNATURE-
Re: [DONE] wml://{security/2010/dsa-1992.wml}
Ср 28 мар 2018 @ 14:29 Gali Anikina: > В chronyd отсутствует > управление ограничением скорости передачи данных syslog при > журналировании получаемых пакетов от неавторизованных узлов. Это > позволяет злоумышленнику организовать отказ в обслуживании путём > повторяющейся отправки некорректных cmdmon-пакетов и следовательно > заполнения журналов, а таким образом быстрого использования всего > имеющегося дискового пространства. Да, это лучше. Сделал так: Это позволяет злоумышленнику вызывать отказ в обслуживании путём повторяющейся отправки некорректных cmdmon-пакетов, что приводит к заполнению журналов, а таким образом и использованию всего дискового пространства.
Re: [DONE] wml://{security/2018/dsa-4146.wml}
В Ср, 28/03/2018 в 12:16 +0500, Lev Lamberov пишет: > Ср 28 мар 2018 @ 07:43 Gali Anikina: > > > > +Plexus выполняет недостаточное закавычивание дважды кодированных > > > +строк, что приводит к выполнению произвольных команд командной > > > оболочки. > > > > к выполнению произвольных команд командной > > > оболочки > > > > может быть "к выполнению произвольных команд оболочки пользователя" > > ? > > > > так как дважды упоминается слово команда > > Это не оболочка пользователя. Тут может быть "командный процессор", > "командная оболочка", "интерпретатор команд". Из этих вариантов мне > больше нравится "командная оболочка". От "команд" два раза не уйти. может быть так- приводит к выполнению произвольных операций командной оболочки
Re: [DONE] wml://{security/2010/dsa-1992.wml}
В Ср, 28/03/2018 в 12:11 +0500, Lev Lamberov пишет: > > > > из-за заполнения журналов > > > > может быть "из-за переполнения журналов" > > Журнал не может переполнится, так как у журнала в данном случае нет > ограничений. Он может только занять всё место на диске. Мне не > нравится > ни свой, ни ваш варианты. Честно сказать, не могу придумать, как > сделать > лучше. > > Спасибо! Может быть так- https://security-tracker.debian.org/tracker/CVE-2010- 0294">CVE-2010-0294 - - chronyd lacks of a rate limit control to the syslog facility when logging - - received packets from unauthorized hosts. This allows an attacker to - - cause denial of service conditions via filling up the logs and thus disk - - space by repeatedly sending invalid cmdmon packets. + В chronyd отсутствует управление ограничением скорости передачи данных syslog при журналировании получаемых пакетов от неавторизованных узлов. Это позволяет злоумышленнику вызывать отказ в обслуживании из-за заполнения журналов, а таким образом и дискового пространства, путём повторяющейся отправки некорректных cmdmon-пакетов. В chronyd отсутствует управление ограничением скорости передачи данных syslog при журналировании получаемых пакетов от неавторизованных узлов. Это позволяет злоумышленнику организовать отказ в обслуживании путём повторяющейся отправки некорректных cmdmon-пакетов и следовательно заполнения журналов, а таким образом быстрого использования всего имеющегося дискового пространства.
Re: Системы управления сервером?
artiom -> debian-russian@lists.debian.org @ Tue, 27 Mar 2018 23:35:21 +0300: >> >> >> В идеале пишутся тесты. Часть заранее, часть по мере наступания на >> >> >> грабли :) Код на Haskell и Scala даже и не тестируется >> автомагически, >> >> >> настолько мало там багов, что написание тестов не окупается. >> >> >> >> >> > Ну это две параллельные задачи. Часто тесты нельзя написать. >> >> >> >> Если тесты нельзя написать, то код негодный. Другое дело, что на >> >> написание тестов не всегда хватает ресурса. >> >> >> > Ну почему сразу "код"? А взаимодействие с аппаратурой? Моки каждый раз >> > делать? >> >> Не каждый. Для unit-тестирования да, а для acceptance подключать >> аппаратуру, ага. >> > А она бажная. Как факт. Потому что тоже разрабатывается. Именно поэтому для acceptance, или, точнее, для integration, ее надо подключать. >> >> Если более тысячи программистов отвечают за одно место в коде, код >> >> работать не будет. В больших конторах за каждое место в коде отвечает >> >> очень небольшое количество людей, а протоколы взаимодействия между кодом >> >> разных отделов компактны. >> >> >> >> >> За коммитами джуниоров просто присматривают вручную. Недолго, >> человек >> >> >> либо обучается, либо идет искать работу в другом месте. >> >> >> >> >> > Да тут вопрос не о джуниорах. Всё сложнее. Но, в любом случае, код >> >> > сложный, хотелось бы видеть, что уйдёт в репозиторий. >> >> >> >> В одной из контор у нас были любители почитать код, уходящий в >> >> репозиторий. Ну, репозиторий был настроен так, чтобы рассылать коммиты >> >> желающим. По почте. Тем же способом присматривали за джуниорами. >> >> >> > Примерно так и есть, но почта заменяется ccollab (или, в общем случае, >> > любым web интерфейсом), и код не проходит в репозиторий без одобрения. >> >> Тут важный момент - не веб или почта "код не проходит в репозиторий без >> одобрения". У нас проходил. Мой point в том, что проблем от этого не >> происходит. >> > Возможно. Надо подумать над этим. Раньше я даже не предполагал такой > практики. Собственно, системы управления версиями придуманы ровно для этой ситуации. Чтобы заменить трехслойную бюрократию ревью, которая работает месяц, но тоже пропускает баги, возможностью найти и откатить изменение, если оно оказалось неудачным. А чтобы неудачное изменение не долетело до заказчика, существует релизный цикл. И ревью его необходимости не отменяет. >> >> Практика показывает, что читать код _до_ попадания в репозиторий - не >> >> очень хорошая идея. Благо репозиторий позволяет, если что, откатить. >> >> >> > Но сборки уже будут собраны и отправлены на тестирование, так не лучше >> > ли - не допустить? >> > Какая практика? >> > В чём нехорошесть данной идеи? >> >> Тормозной путь. Между моментом изменения кода и моментом, когда код >> будет изменен, проходит время. > Как минус, так и плюс. В течение этого времени в системе присутствуют и старые, и новые баги. Где плюс? >> Либо это очень большое время, либо >> ревьюер работает с частыми прерываниями. Если у него содержательная >> работа не обезьянья, то частые прерывания очень сильно снижают его >> продуктивность. Так и так изрядно падает КПД. >> > Ну, допустим, пара дней на ревью - это большое время? Офигительно. За это время я успею еще много чего сделать, и оно будет пересекаться по коду с теми изменениями, и если изменение не примут как есть, то попытка что-то там подкрутить приведет к конфликтам с точки зрения VCS. А разбор конфликта - одно из самых багопродуцирующих действий. И результатом его оказывается патч, разбираться в котором - уже два полных рабочих дня, а не просто задержка на пару дней. > Да, с прерываниями. Но сложно постоянно концентрироваться на ревью и > ждать ответов автора (который в этом время уже над другим работает), к > тому же, ревьюверов бывает несколько. Я про прерывания не процесса ревью, а про прерывания процесса своей работы необходимостью ревью. Для ревью надо загрузить в голову контекст той задачи, к которой относится просматриваемый код. Он там неизбежно заменит контекст своей задачи. После ревью придется снова грузить свой. Это время, и в случае сложной задачи весьма изрядное. От 15 минут до часа каждая перегрузка, а их тут две. >> >> Это вот понятное употребление ревью. Очень громоздкое, но цена ошибки >> >> там такова, что оно окупается. >> >> >> > В случае того, что есть сейчас, коммиты тоже обосновываются: к ним >> > привязана задача, после чего проверяются (перед репозиторием). >> >> А "в случае того, что есть сейчас" непонятно, окупается ли этот >> тормозной путь. >> > Продукт окупается. > "Тормозной путь", скорее всего, да. > Не от хорошей жизни, а из-за некоторых разработчиков и сжатых сроков. Вот тут уже сомнения. Если сжатые сроки, то потеря в среднем получаса на каждое ревью... Это какие же должны быть разработчики, чтобы оно окупалось? >> >> >>
Re: acheck_Version 0.5.5____ru.po
Ср 28 мар 2018 @ 06:55 Gali Anikina: > msgid "ERROR" > msgstr "ОШИБКА" > > #: ../Common.pm:110 > msgid "WARNING " > msgstr "ВНИМАНИЕ " Кстати, тут в оригинале эти обе строки имеют специально одинаковую длину, 8 символов (благодаря пробелам). В переводе они обе имеют 9 символов. Не уверен, но может быть убрать по одному пробелу из них? В остальном, как мне кажется, всё хорошо.
Re: [DONE] wml://{security/2018/dsa-4146.wml}
Ср 28 мар 2018 @ 07:43 Gali Anikina: >> +Plexus выполняет недостаточное закавычивание дважды кодированных >> +строк, что приводит к выполнению произвольных команд командной >> оболочки. > > к выполнению произвольных команд командной >> оболочки > > может быть "к выполнению произвольных команд оболочки пользователя" ? > > так как дважды упоминается слово команда Это не оболочка пользователя. Тут может быть "командный процессор", "командная оболочка", "интерпретатор команд". Из этих вариантов мне больше нравится "командная оболочка". От "команд" два раза не уйти.
Re: [DONE] wml://{security/2010/dsa-1992.wml}
Ср 28 мар 2018 @ 07:40 Gali Anikina: >> +В chrony, паре программ, используемых для контроля точности >> системных часов > > Может быть так - > > В паре программ chrony, используемых для контроля точности системных > часов компьютера, было обнаружено несколько уязвимостей. Если так, то смысл будет примерно такой: "есть несколько программ, а в двух из них...". Это не то. Исправил на "В chrony, парной программе...". > написано > с поддельным адресом и портом источника > > а так? > с поддельными адресом и портом источника > что приводит к исчерпанию памяти > > может быть > что приводит к полному использованию памяти > > Слово "исчерпать" на мой взгляд довольно редко изменяют так свободно, > как другие слова в русском языке В этом контексте слова "исчерпать", "исчерпание" используют, см. в поиске по запросу "исчерпание памяти". >> из-за заполнения журналов > > может быть "из-за переполнения журналов" Журнал не может переполнится, так как у журнала в данном случае нет ограничений. Он может только занять всё место на диске. Мне не нравится ни свой, ни ваш варианты. Честно сказать, не могу придумать, как сделать лучше. Спасибо!
Re: [DONE] wml://security/2012/dsa-2567.wml
Ср 28 мар 2018 @ 07:13 Gali Anikina: > Несколько различных уязвимостей в процессе обработки GnuPG позволяют > злоумышленникам создать ситуацию, при которой RT некорректно > подписывает исходящую почту. > > или > > Несколько различных уязвимостей в процессе обработки GnuPG позволяют > злоумышленникам вызвать ситуацию, при которой RT некорректно > подписывает исходящую почту. > > > позволяют - настоящее время > > вызывать ситуацию, -тоже настоящее время > > Думаю, что здесь надо использовать будущее время-так как это позволит > "в будущем" создать проблемы для пользователя Злоумышленник создаёт ситуацию, в этой ситуации выполняется неправильное подписывание. То есть, оно не обязательно в будущем, оно одновременно с ситуацией. Сделал так: "Несколько различных уязвимостей в процессе обработки GnuPG позволяют злоумышленникам создавать ситуацию, при которой RT некорректно подписывает исходящую почту." Спасибо за предложенные варианты!
Re: [DONE] wml://security/2018/dsa-4151.wml
Ср 28 мар 2018 @ 07:01 Gali Anikina: > > "которое возникает в ходе проверки сертификатов x509" > переполнение - оно Исправил. Спасибо!