Re: [DONE] wml://security/2016/dla-{379,411,442}.wml
25.04.2016 00:29, Vladimir Zhbanov пишет: > On Wed, Apr 13, 2016 at 11:57:07PM +0500, Lev Lamberov wrote: > ... > >> +Данное обновление решает указанную выше проблему, используя >> монтирования с опцией bind > монтировани_е_ Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: [DONE] wml://security/2016/dla-{379,411,442}.wml
On Wed, Apr 13, 2016 at 11:57:07PM +0500, Lev Lamberov wrote: ... > # do not modify the following line > - --- english/security/2016/dla-442.wml 2016-04-08 01:54:45.0 > +0500 > +++ russian/security/2016/dla-442.wml 2016-04-13 23:56:59.297013559 +0500 > @@ -1,32 +1,33 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > > > href="https://security-tracker.debian.org/tracker/CVE-2013-6441;>CVE-2013-6441 > > - -The template script lxc-sshd used to mount itself as /sbin/init in > the > - -container using a writable bind-mount. > +Шаблон сценария lxc-sshd используется для монтирования его в качестве > /sbin/init в > +контейнере, используя монтирования с опцией bind и возможностью > перезаписи. > > - -This update resolved the above issue by using a read-only bind-mount > - -instead preventing any form of potentially accidental damage. > +Данное обновление решает указанную выше проблему, используя > монтирования с опцией bind монтировани_е_
Re: [DONE] wml://security/2016/dla-{379,411,442}.wml
15.04.2016 11:43, Andrey Skvortsov пишет: > On 13 Apr, Lev Lamberov wrote: > >> +В eglibc, библиотеке GNU C для Debian было обнаружено несколько > для Debian, > > >> >> +при его запуске (то есть, изоляция контейнера, владельцем которого >> является суперпользователь, > после "то есть" не надо запятой Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: [DONE] wml://security/2016/dla-{379,411,442}.wml
On 13 Apr, Lev Lamberov wrote: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA512 > - --- english/security/2016/dla-411.wml 2016-04-08 01:54:44.0 > +0500 > +++ russian/security/2016/dla-411.wml 2016-04-13 23:47:17.359613544 +0500 > @@ -1,37 +1,38 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -Several vulnerabilities have been fixed in the Debian GNU C Library, > - -eglibc: > +В eglibc, библиотеке GNU C для Debian было обнаружено несколько для Debian, > +уязвимостей: > > # do not modify the following line > - --- english/security/2016/dla-442.wml 2016-04-08 01:54:45.0 > +0500 > +++ russian/security/2016/dla-442.wml 2016-04-13 23:56:59.297013559 +0500 > @@ -1,32 +1,33 @@ > - -The container config is owned by the admin or user on the host, so > we > - -do not try to guard against bad entries. However, since the mount > - -target is in the container, it's possible that the container admin > - -could divert the mount with symbolic links. This could bypass proper > - -container startup (i.e. confinement of a root-owned container by the > - -restrictive apparmor policy, by diverting the required write to > - -/proc/self/attr/current), or bypass the (path-based) apparmor policy > - -by diverting, say, /proc to /mnt in the container. > +При запуске контейнера lxc устанавливает изначальное дерево файловой > системы > +контейнера, выполняя несколько раз монтирование, которое осуществляется > в соответсвии с файлом > +настройки контейнера. > + > +Владельцем файла настройки контейнера является администратор или > пользователь узла, поэтому > +защита от плохих записей в нём отсутствует. Тем не менее, поскольку цель > монтирования > +находится в контейнере, постольку возможно, что администратор контейнера > +изменил монтирование с помощью символьных ссылок. Это может позволить > обойти настройки контейнера > +при его запуске (то есть, изоляция контейнера, владельцем которого > является суперпользователь, после "то есть" не надо запятой > +с помощью ограничивающего правила apparmor, путём изменения требуемой > записи в > +/proc/self/attr/current), либо обойти правило apparmor (на основе пути) > +путём изменения в контейнере, например, /proc на /mnt. > > - -This update implements a safe_mount() function that prevents lxc > from > - -doing mounts onto symbolic links. > +Данное обновление реализует функцию safe_mount(), которая не > позволяет lxc > +выполнять монтирование в символьные ссылки. -- Best regards, Andrey Skvortsov Secure eMail with gnupg: See http://www.gnupg.org/ PGP Key ID: 0x57A3AEAD signature.asc Description: PGP signature
[DONE] wml://security/2016/dla-{379,411,442}.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/security/2016/dla-379.wml 2016-04-08 01:54:44.0 +0500 +++ russian/security/2016/dla-379.wml 2016-04-13 23:24:05.881378974 +0500 @@ -1,34 +1,35 @@ - -LTS security update +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Several vulnerabilities were found in Samba, a SMB/CIFS implementation - -that provides a file, print, and login server. +Ð Samba, ÑеализаÑии SMB/CIFS, пÑедоÑÑавлÑÑÑей ÑлÑÐ¶Ð±Ñ Ñайлового ÑеÑвеÑа, ÑеÑвеÑа пеÑаÑи +и аÑÑенÑиÑикаÑии, бÑло обнаÑÑжено неÑколÑко ÑÑзвимоÑÑей. https://security-tracker.debian.org/tracker/CVE-2015-5252;>CVE-2015-5252 - -Jan Yenya Kasprzak and the Computer Systems Unit team at Faculty - -of Informatics, Masaryk University, reported that samba wrongly - -verified symlinks, making it possible to access resources outside - -the shared path, under certain circumstances. +Ян Yenya ÐаÑпÑжак и команда Computer Systems Unit из ÑакÑлÑÑеÑа +инÑоÑмаÑики ÐаÑаÑикова ÑнивеÑÑиÑеÑа ÑообÑили, ÑÑо samba непÑавилÑно +вÑполнÑÐµÑ Ð¿ÑовеÑÐºÑ ÑимволÑнÑÑ ÑÑÑлок, ÑÑо позволÑÐµÑ Ð¿Ñи опÑеделÑннÑÑ ÑÑловиÑÑ +полÑÑаÑÑ Ð´Ð¾ÑÑÑп к ÑеÑÑÑÑам за пÑеделами пÑÑи обÑего доÑÑÑпа. https://security-tracker.debian.org/tracker/CVE-2015-5296;>CVE-2015-5296 - -Stefan Metzmacher of SerNet and the Samba Team discovered that samba - -did not ensure that signing was negotiated when a client established - -an encrypted connection against a samba server. +ШÑеÑан ÐеÑÐ¼Ð°Ñ ÐµÑ Ð¸Ð· SerNet и команда Samba обнаÑÑжили, ÑÑо samba +не вÑполнÑÐµÑ Ð¿ÑовеÑÐºÑ ÑоглаÑÐ¾Ð²Ð°Ð½Ð¸Ñ Ð¿Ð¾Ð´Ð¿Ð¸Ñей, когда ÐºÐ»Ð¸ÐµÐ½Ñ ÑÑÑÐ°Ð½Ð°Ð²Ð»Ð¸Ð²Ð°ÐµÑ +заÑиÑÑованное Ñоединение Ñ ÑеÑвеÑом samba. https://security-tracker.debian.org/tracker/CVE-2015-5299;>CVE-2015-5299 - -Samba was vulnerable to a missing access control check in the - -VFS shadow_copy2 module, that could allow unauthorized users to - -access snapshots. +Ð Samba оÑÑÑÑÑÑвÑÐµÑ Ð¿ÑовеÑка ÑпÑÐ°Ð²Ð»ÐµÐ½Ð¸Ñ Ð´Ð¾ÑÑÑпом в модÑле +VFS shadow_copy2, ÑÑо Ð¼Ð¾Ð¶ÐµÑ Ð¿Ð¾Ð·Ð²Ð¾Ð»Ð¸ÑÑ Ð½ÐµÐ°Ð²ÑоÑизованнÑм полÑзоваÑелÑм +полÑÑаÑÑ Ð´Ð¾ÑÑÑп к ÑÑезам. - -For Debian 6 Squeeze, this issue has been fixed in samba version - -2:3.5.6~dfsg-3squeeze13. We recommend you to upgrade your samba - -packages. +Ð Debian 6 Squeeze ÑÑа пÑоблема бÑла иÑпÑавлена в samba веÑÑии +2:3.5.6~dfsg-3squeeze13. РекомендÑеÑÑÑ Ð¾Ð±Ð½Ð¾Ð²Ð¸ÑÑ Ð¿Ð°ÐºÐµÑÑ +samba. # do not modify the following line - --- english/security/2016/dla-411.wml 2016-04-08 01:54:44.0 +0500 +++ russian/security/2016/dla-411.wml 2016-04-13 23:47:17.359613544 +0500 @@ -1,37 +1,38 @@ - -LTS security update +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Several vulnerabilities have been fixed in the Debian GNU C Library, - -eglibc: +Ð eglibc, библиоÑеке GNU C Ð´Ð»Ñ Debian бÑло обнаÑÑжено неÑколÑко +ÑÑзвимоÑÑей: https://security-tracker.debian.org/tracker/CVE-2014-9761;>CVE-2014-9761 - -The math's nan* function wrongly handled payload strings, yielding - -to an unbounded stack allocation based on the length of the - -arguments. To solve this issue, payload parsing has been refactored - -out of strtod into a separate functions that nan* can call directly. +ФÑнкÑÐ¸Ñ nan* из math непÑавилÑно обÑабаÑÑÐ²Ð°ÐµÑ Ð¸Ð½ÑоÑмаÑионнÑе ÑÑÑоки, ÑÑо пÑÐ¸Ð²Ð¾Ð´Ð¸Ñ +к вÑÐ´ÐµÐ»ÐµÐ½Ð¸Ñ Ð½ÐµÐ¾Ð³ÑаниÑенного ÑÑека на оÑнове Ð´Ð»Ð¸Ð½Ñ +аÑгÑменÑов. ÐÐ»Ñ ÑеÑÐµÐ½Ð¸Ñ ÑÑой пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð³ÑаммаÑиÑеÑкий ÑÐ°Ð·Ð±Ð¾Ñ Ð¿Ð¾Ð»ÐµÐ·Ð½ÑÑ Ð´Ð°Ð½Ð½ÑÑ Ð±Ñл вÑделен +из strtod в оÑделÑнÑе ÑÑнкÑии, коÑоÑÑе nan* Ð¼Ð¾Ð¶ÐµÑ Ð²ÑзÑваÑÑ Ð½Ð°Ð¿ÑÑмÑÑ. https://security-tracker.debian.org/tracker/CVE-2015-8776;>CVE-2015-8776 - -The strftime() function made it possible to access invalid memory, - -allowing to segfault the calling application. +ФÑнкÑÐ¸Ñ strftime() позволÑÐµÑ Ð¿Ð¾Ð»ÑÑаÑÑ Ð´Ð¾ÑÑÑп к непÑавилÑной облаÑÑи памÑÑи, +ÑÑо позволÑÐµÑ Ð²ÑзÑваÑÑ Ð¾ÑибкÑ