[DONE] wml://security/2019/dsa-4523.wml

[Lev Lamberov]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

- --- ../../english/security/2019/dsa-4523.wml  2019-09-16 10:33:03.001096606 
+0500
+++ 2019/dsa-4523.wml   2019-09-16 10:36:05.512060796 +0500
@@ -1,24 +1,24 @@
- -security update
+#use wml::debian::translation-check 
translation="0456abbb23451d7f30489ae619f922a5e496ab38" mindelta="1" 
maintainer="Lev Lamberov"
+обновление безопасности
 
- -Multiple security issues have been found in Thunderbird which could
- -potentially result in the execution of arbitrary code, cross-site
- -scripting, information disclosure and a covert content attack on S/MIME
- -encryption using a crafted multipart/alternative message.
+В Thunderbird были обнаружены многочисленные уязвимости, которые могут
+приводить к выполнению произвольного кода, межсайтовому скриптингу, раскрытию
+информации и атакам на зашифрованное S/MIME содержимое с помощью
+специально сформированного многосекционных/альтернативных сообщений.
 
- -For the oldstable distribution (stretch), these problems have been fixed
- -in version 1:60.9.0-1~deb9u1.
+В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены
+в версии 1:60.9.0-1~deb9u1.
 
- -For the stable distribution (buster), these problems have been fixed in
- -version 1:60.9.0-1~deb10u1.
+В стабильном выпуске (buster) эти проблемы были исправлены в
+версии 1:60.9.0-1~deb10u1.
 
- -We recommend that you upgrade your thunderbird packages.
+Рекомендуется обновить пакеты thunderbird.
 
- -For the detailed security status of thunderbird please refer to
- -its security tracker page at:
+С подробным статусом поддержки безопасности thunderbird можно ознакомиться 
на
+соответствующей странице отслеживания безопасности по адресу
 https://security-tracker.debian.org/tracker/thunderbird;>\
 https://security-tracker.debian.org/tracker/thunderbird
 
 
 # do not modify the following line
 #include "$(ENGLISHDIR)/security/2019/dsa-4523.data"
- -# $Id: $
-BEGIN PGP SIGNATURE-
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=Ra0O
-END PGP SIGNATURE-

[DONE] wml://security/2019/dsa-4522.wml

[Lev Lamberov]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

- --- ../../english/security/2019/dsa-4522.wml  2019-09-16 10:03:19.673320805 
+0500
+++ 2019/dsa-4522.wml   2019-09-16 10:31:09.398965280 +0500
@@ -1,16 +1,16 @@
- -security update
+#use wml::debian::translation-check 
translation="64df8b7cbdb988a89301afa6f6ab20b50ec1a4a9" mindelta="1" 
maintainer="Lev Lamberov"
+обновление безопасности
 
- -Multiple vulnerabilities have been discovered in faad2, the Freeware 
Advanced
- -Audio Coder. These vulnerabilities might allow remote attackers to cause
- -denial-of-service, or potentially execute arbitrary code if crafted MPEG AAC
- -files are processed.
+В faad2, Freeware Advanced Audio Coder, были обнаружены многочисленные
+уязвимости, которые могут позволить удалённым злоумышленникам вызывать
+отказ в обслуживании или выполнять произвольный код в случае обработки
+специально сформированных файлов в формате MPEG AAC.
 
- -For the oldstable distribution (stretch), these problems have been fixed
- -in version 2.8.0~cvs20161113-1+deb9u2.
+В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены
+в версии 2.8.0~cvs20161113-1+deb9u2.
 
- -We recommend that you upgrade your faad2 packages.
+Рекомендуется обновить пакеты faad2.
 
 
 # do not modify the following line
 #include "$(ENGLISHDIR)/security/2019/dsa-4522.data"
- -# $Id: $
-BEGIN PGP SIGNATURE-
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=qX2J
-END PGP SIGNATURE-

Re: Соотнесение процесса и поля QoS

[Dmitry Alexandrov]

Dmitry Alexandrov <321...@gmail.com> wrote:
> Pavel Volkov  wrote:
>> добиться, чтобы пакеты, генерируемые избранными процессами, например 
>> Firefox, содержали в заголовке определённое значение TOS?  По этому признаку 
>> я хочу заворачивать их в VPN-интерфейс на роутере.
>
> SOCKS proxy не проще настроить, не?  Или у вас процессы недоверенные?  Ну 
> тогда можно в сочетании с мандатным контролем — чтобы никуда, кроме него, не 
> подключались (остается, правда, проблема с утечками DNS).

Которая, впрочем, в контексте вашего решения и не проблема, поскольку 
попроцессная выборка не предполагает обработки DNS запросов вообще — они все 
пойдут прямо.  О чем тому, кто возможно будет читать эту ветку в поисках, 
скажем, средств для обхода цензуры, надо иметь в виду.


signature.asc
Description: PGP signature

Re: Соотнесение процесса и поля QoS

[Dmitry Alexandrov]

Pavel Volkov  wrote:
> Хочу странного.

Да нет, идея звучит очень здраво.  Но на всякий случай спрошу:

> Как вы думаете, можно ли добиться, чтобы пакеты, генерируемые избранными 
> процессами, например Firefox, содержали в заголовке определённое значение 
> TOS?  По этому признаку я хочу заворачивать их в VPN-интерфейс на роутере.

SOCKS proxy не проще настроить, не?  Или у вас процессы недоверенные?  Ну тогда 
можно в сочетании с мандатным контролем — чтобы никуда, кроме него, не 
подключались (остается, правда, проблема с утечками DNS).

> Может быть при запуске этих процессов как-то менять им GID?  Но я бы хотел, 
> чтобы создаваемые ими файлы всё-таки имели исходный GID.

В любом случае, что тогда точно не подходит, то это смена GID — процесс ведь 
вправе поменять группу на основную для пользователя.

Тут нужна какая-то изоляция.  Под описанное решение — подмена ToS Нетфильтром, 
подходят cgroups, свойство зовется net_cls.classid.


signature.asc
Description: PGP signature

Re: Соотнесение процесса и поля QoS

[Pavel Volkov]

On воскресенье, 15 сентября 2019 г. 18:37:11 MSK, Andrey Jr. Melnikov 
wrote:

запусти в соседнем namespace с отдельной IPшкой и заворачивай как попало
куда попало.


Когда-то я так делал, но с какой-то версии Firefox при запуске из сетевого 
неймспейса стал рисоваться уродливый дифолтный курсор мыши вместо моего 
красивого.

Validation failed

[Debian Webmaster]

*** Errors validating /srv/www.debian.org/www/intro/cn.ru.html: ***
Line 204, character 88:  document type does not allow element "INPUT" here;
missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6", "PRE",
"DIV", "ADDRESS" start-tag
Line 205, character 7:  end tag for "FORM" which is not finished
Line 207, character 97:  document type does not allow element "INPUT" here;
missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6", "PRE",
"DIV", "ADDRESS" start-tag
Line 208, character 7:  end tag for "FORM" which is not finished
Line 210, character 134:  document type does not allow element "INPUT"
here; missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6",
"PRE", "DIV", "ADDRESS" start-tag
Line 211, character 7:  end tag for "FORM" which is not finished
Line 213, character 63:  document type does not allow element "INPUT" here;
missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6", "PRE",
"DIV", "ADDRESS" start-tag
Line 214, character 7:  end tag for "FORM" which is not finished
Line 216, character 56:  document type does not allow element "INPUT" here;
missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6", "PRE",
"DIV", "ADDRESS" start-tag
Line 217, character 7:  end tag for "FORM" which is not finished
Line 219, character 51:  document type does not allow element "INPUT" here;
missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6", "PRE",
"DIV", "ADDRESS" start-tag
Line 220, character 7:  end tag for "FORM" which is not finished
Line 222, character 54:  document type does not allow element "INPUT" here;
missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6", "PRE",
"DIV", "ADDRESS" start-tag
Line 223, character 7:  end tag for "FORM" which is not finished
Line 225, character 112:  document type does not allow element "INPUT"
here; missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6",
"PRE", "DIV", "ADDRESS" start-tag
Line 226, character 7:  end tag for "FORM" which is not finished
Line 228, character 56:  document type does not allow element "INPUT" here;
missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6", "PRE",
"DIV", "ADDRESS" start-tag
Line 229, character 7:  end tag for "FORM" which is not finished
Line 231, character 62:  document type does not allow element "INPUT" here;
missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6", "PRE",
"DIV", "ADDRESS" start-tag
Line 232, character 7:  end tag for "FORM" which is not finished
Line 234, character 57:  document type does not allow element "INPUT" here;
missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6", "PRE",
"DIV", "ADDRESS" start-tag
Line 235, character 7:  end tag for "FORM" which is not finished
Line 237, character 102:  document type does not allow element "INPUT"
here; missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6",
"PRE", "DIV", "ADDRESS" start-tag
Line 238, character 7:  end tag for "FORM" which is not finished
Line 240, character 65:  document type does not allow element "INPUT" here;
missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6", "PRE",
"DIV", "ADDRESS" start-tag
Line 241, character 7:  end tag for "FORM" which is not finished
Line 243, character 56:  document type does not allow element "INPUT" here;
missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6", "PRE",
"DIV", "ADDRESS" start-tag
Line 244, character 7:  end tag for "FORM" which is not finished
Line 246, character 112:  document type does not allow element "INPUT"
here; missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6",
"PRE", "DIV", "ADDRESS" start-tag
Line 247, character 7:  end tag for "FORM" which is not finished
Line 249, character 57:  document type does not allow element "INPUT" here;
missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6", "PRE",
"DIV", "ADDRESS" start-tag
Line 250, character 7:  end tag for "FORM" which is not finished
Line 252, character 61:  document type does not allow element "INPUT" here;
missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6", "PRE",
"DIV", "ADDRESS" start-tag
Line 253, character 7:  end tag for "FORM" which is not finished
Line 255, character 58:  document type does not allow element "INPUT" here;
missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6", "PRE",
"DIV", "ADDRESS" start-tag
Line 256, character 7:  end tag for "FORM" which is not finished
Line 258, character 92:  document type does not allow element "INPUT" here;
missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6", "PRE",
"DIV", "ADDRESS" start-tag
Line 259, character 7:  end tag for "FORM" which is not finished
Line 261, character 86:  document type does not allow element "INPUT" here;
missing one of "P", "H1", "H2", "H3", "H4", "H5", "H6", "PRE",
"DIV", "ADDRESS" start-tag
Line 262, character 7:  end tag for "FORM" which is 

Re: Соотнесение процесса и поля QoS

[Andrey Jr. Melnikov]

Pavel Volkov  wrote:
> Хочу странного.
> Как вы думаете, можно ли добиться, чтобы пакеты, генерируемые избранными 
> процессами, например Firefox, содержали в заголовке определённое значение 
> TOS?
> По этому признаку я хочу заворачивать их в VPN-интерфейс на роутере.
запусти в соседнем namespace с отдельной IPшкой и заворачивай как попало
куда попало.

> Я налуркал, что в iptables есть таблица owner, где можно матчить по UID, 
> GID, PID.
> Я использую nftables, там есть матчинг по UID, GID.
> Может быть при запуске этих процессов как-то менять им GID?
LD_PRELOAD тебе в руки.
https://unix.stackexchange.com/questions/210982/bind-unix-program-to-specific-network-interface

Соотнесение процесса и поля QoS

[Pavel Volkov]

Хочу странного.
Как вы думаете, можно ли добиться, чтобы пакеты, генерируемые избранными 
процессами, например Firefox, содержали в заголовке определённое значение 
TOS?

По этому признаку я хочу заворачивать их в VPN-интерфейс на роутере.

Я налуркал, что в iptables есть таблица owner, где можно матчить по UID, 
GID, PID.

Я использую nftables, там есть матчинг по UID, GID.
Может быть при запуске этих процессов как-то менять им GID?
Но я бы хотел, чтобы создаваемые ими файлы всё-таки имели исходный GID.