Re: [DONE] wml://security/2020/dsa-4698.wml
Чт 11 июн 2020 @ 23:26 Galina Anikina : > On Thu, 2020-06-11 at 20:39 +0500, Lev Lamberov wrote: >> >> https://security-tracker.debian.org/tracker/CVE-2019-5108;>CVE-2019-5108> > >> >> -Mitchell Frank of Cisco discovered that when the IEEE 802.11 >> -(WiFi) stack was used in AP mode with roaming, it would trigger >> -roaming for a newly associated station before the station was >> -authenticated. An attacker within range of the AP could use >> this >> -to cause a denial of service, either by filling up a switching >> -table or by redirecting traffic away from other >> stations. >> +Митчел Фрэнк из Cisco обнаружил, что когда IEEE 802.11 (WiFi) >> +стэк используется в режиме точки доступа с роумингом, он >> включает роуминг >> +для недавно связанной станции до выполнения аутентификации этой >> +станции. Злоумышленник в области действия точки доступа может > > > > Злоумышленник, находящийся в зоне действия точки доступа... > - так сами технари-сотовики говорят (пишут) "в зоне действия вышки, > точки доступа и т.д.". В скобках можно было бы вспомнить про "человека- > в-середине" - есть такой англ термин (по смыслу дальнейшего изложения > про подмену в таблицах это становится ясно). Это не случай «человека-в-середине». >> использовать >> +эту уязвимость для вызова отказа в обслуживании путём заполнения >> таблицы >> +коммутации или путём перенаправления трафика прочь от других >> станций. >> >> > > >> https://security-tracker.debian.org/tracker/CVE-2019-19319;>CVE-2019-19319> > >> >> -Jungyeon discovered that a crafted filesystem can cause the >> ext4 >> -implementation to deallocate or reallocate journal blocks. A >> user >> -permitted to mount filesystems could use this to cause a denial >> of >> -service (crash), or possibly for privilege escalation. >> +Jungyeon обнаружил, что специально сформированная файловая >> система может >> +привести к освобождению или повторному выделению журнальных >> блоков в реализация >> +ext4. > > блоков в реализициИ ext4 > > >> Пользователь, имеющий права на монтирование файловых систем, может >> +использовать эту уязвимость для вызова отказа в обслуживании >> (аварийная >> +остановка) или повышения привилегий. > > или повышениИ Исправил на «для повышения». > > > >> >> https://security-tracker.debian.org/tracker/CVE-2019-19462;>CVE-2019-19462> > >> >> -The syzbot tool found a missing error check in the >> relay >> -library used to implement various files under debugfs. A local >> -user permitted to access debugfs could use this to cause a >> denial >> -of service (crash) or possibly for privilege >> escalation. >> +С помощью инструмента syzbot была обнаружена отсутствующая >> проверка ошибок в >> +библиотеке relay, используемой для реализации различных >> файлов в debugfs. > > "была обнаружена отсутствующая проверка ошибок в библиотеке" - возможно > не поняла но мне это неясно (в другом письме тоже об этом упоминалось). > То есть смысл неясен - если это нашли в библиотеке, то как эта проверка > там может отсутствовать? Исправил так: С помощью инструмента syzbot в библиотеке relay, используемой для реализации различных файлов в debugfs, было обнаружено отсутствие проверки ошибок. > > > >> +Локальный пользователь, имеющий права на доступ к debugfs, может >> использовать >> +эту уязвимость для вызова отказа в обслуживании (аварийная >> остановка) или >> +повышения привилегий. > > повышениИ Как и выше. > >> >> https://security-tracker.debian.org/tracker/CVE-2019-19768;>CVE-2019-19768> > >> >> -Tristan Madani reported a race condition in the blktrace >> debug >> -facility that could result in a use-after-free. A local user >> able >> -to trigger removal of block devices could possibly use this to >> -cause a denial of service (crash) or for privilege >> escalation. >> +Тристан Мадани сообщил о состоянии гонки в отладочных >> функциях blktrace, >> +которое может приводить к использованию указателей после >> освобождения памяти. > > несмотря на то, что "состояние" - оно, средний род, тем не менее мне > кажется что надо бы выразиться так- > > Тристан Мадани сообщил о состоянии гонки в отладочных функциях > blktrace, которАЯ может привЕСТИ к использованию указателей после > освобождения памяти. > То есть - гонка ... может привести > > Или тогда может акцентировать внимание читателя на > Тристан Мадани сообщил о таком состоянии гонки... что (и далее - да в > среднем роде) которое (то есть такое состояние гонки) может приводить к > использованию указателей после освобождения памяти Не согласен. Исправил, где было в женском роде на средний. >> +Локальный пользователь, способный вызвать удаление блочных >> устройств, может >> +использовать эту уязвимость для вызова отказв в обслуживании >> (аварийная остановка) > > для вызова отказА > > >> +или повышения привилегий. >> >>
Re: [DONE] wml://security/2020/dsa-4698.wml
On Thu, 2020-06-11 at 20:39 +0500, Lev Lamberov wrote: > > https://security-tracker.debian.org/tracker/CVE-2019-5108;>CVE-2019-5108 > > > -Mitchell Frank of Cisco discovered that when the IEEE 802.11 > -(WiFi) stack was used in AP mode with roaming, it would trigger > -roaming for a newly associated station before the station was > -authenticated. An attacker within range of the AP could use > this > -to cause a denial of service, either by filling up a switching > -table or by redirecting traffic away from other > stations. > +Митчел Фрэнк из Cisco обнаружил, что когда IEEE 802.11 (WiFi) > +стэк используется в режиме точки доступа с роумингом, он > включает роуминг > +для недавно связанной станции до выполнения аутентификации этой > +станции. Злоумышленник в области действия точки доступа может Злоумышленник, находящийся в зоне действия точки доступа... - так сами технари-сотовики говорят (пишут) "в зоне действия вышки, точки доступа и т.д.". В скобках можно было бы вспомнить про "человека- в-середине" - есть такой англ термин (по смыслу дальнейшего изложения про подмену в таблицах это становится ясно). > использовать > +эту уязвимость для вызова отказа в обслуживании путём заполнения > таблицы > +коммутации или путём перенаправления трафика прочь от других > станций. > > > https://security-tracker.debian.org/tracker/CVE-2019-19319;>CVE-2019-19319 > > > -Jungyeon discovered that a crafted filesystem can cause the > ext4 > -implementation to deallocate or reallocate journal blocks. A > user > -permitted to mount filesystems could use this to cause a denial > of > -service (crash), or possibly for privilege escalation. > +Jungyeon обнаружил, что специально сформированная файловая > система может > +привести к освобождению или повторному выделению журнальных > блоков в реализация > +ext4. блоков в реализициИ ext4 > Пользователь, имеющий права на монтирование файловых систем, может > +использовать эту уязвимость для вызова отказа в обслуживании > (аварийная > +остановка) или повышения привилегий. или повышениИ > > https://security-tracker.debian.org/tracker/CVE-2019-19462;>CVE-2019-19462 > > > -The syzbot tool found a missing error check in the > relay > -library used to implement various files under debugfs. A local > -user permitted to access debugfs could use this to cause a > denial > -of service (crash) or possibly for privilege > escalation. > +С помощью инструмента syzbot была обнаружена отсутствующая > проверка ошибок в > +библиотеке relay, используемой для реализации различных > файлов в debugfs. "была обнаружена отсутствующая проверка ошибок в библиотеке" - возможно не поняла но мне это неясно (в другом письме тоже об этом упоминалось). То есть смысл неясен - если это нашли в библиотеке, то как эта проверка там может отсутствовать? > +Локальный пользователь, имеющий права на доступ к debugfs, может > использовать > +эту уязвимость для вызова отказа в обслуживании (аварийная > остановка) или > +повышения привилегий. повышениИ > > https://security-tracker.debian.org/tracker/CVE-2019-19768;>CVE-2019-19768 > > > -Tristan Madani reported a race condition in the blktrace > debug > -facility that could result in a use-after-free. A local user > able > -to trigger removal of block devices could possibly use this to > -cause a denial of service (crash) or for privilege > escalation. > +Тристан Мадани сообщил о состоянии гонки в отладочных > функциях blktrace, > +которое может приводить к использованию указателей после > освобождения памяти. несмотря на то, что "состояние" - оно, средний род, тем не менее мне кажется что надо бы выразиться так- Тристан Мадани сообщил о состоянии гонки в отладочных функциях blktrace, которАЯ может привЕСТИ к использованию указателей после освобождения памяти. То есть - гонка ... может привести Или тогда может акцентировать внимание читателя на Тристан Мадани сообщил о таком состоянии гонки... что (и далее - да в среднем роде) которое (то есть такое состояние гонки) может приводить к использованию указателей после освобождения памяти > +Локальный пользователь, способный вызвать удаление блочных > устройств, может > +использовать эту уязвимость для вызова отказв в обслуживании > (аварийная остановка) для вызова отказА > +или повышения привилегий. > > https://security-tracker.debian.org/tracker/CVE-2019-20811;>CVE-2019-20811 > > > -The Hulk Robot tool found a reference-counting bug in an > error > -path in the network subsystem. The security impact of this is > -unclear. > +С помощью инструмента Hulk Robot обнаружена ошибка подсчётся ошибка подсчётА указателей https://security-tracker.debian.org/tracker/CVE-2020-0543;>CVE-2020-0543 > > > -Researchers at VU Amsterdam discovered that on some Intel > CPUs > -supporting the RDRAND and
[DONE] wml://security/2020/dsa-4698.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- ../../english/security/2020/dsa-4698.wml 2020-06-10 18:14:23.069971055 +0500 +++ 2020/dsa-4698.wml 2020-06-11 20:39:32.209610514 +0500 @@ -1,242 +1,245 @@ - -security update +#use wml::debian::translation-check translation="0221adc68756358d8365e312b2e3cd6dcaac2a9d" mindelta="1" maintainer="Lev Lamberov" +обновление безопасности - -Several vulnerabilities have been discovered in the Linux kernel that - -may lead to a privilege escalation, denial of service or information - -leaks. +В ядре Linux было обнаружено несколько уязвимостей, которые +могут приводить к повышению привилегий, отказу в обслуживании или утечкам +информации. https://security-tracker.debian.org/tracker/CVE-2019-2182;>CVE-2019-2182 - -Hanjun Guo and Lei Li reported a race condition in the arm64 - -virtual memory management code, which could lead to an information - -disclosure, denial of service (crash), or possibly privilege - -escalation. +Ханьцзюнь Го и Лэй Ли сообщили о состоянии гонки в коде управления виртуальной +памятью на архитектуре arm64, которое может приводить к раскрытию +информации, отказу в обслуживании (аварийная остановка) или повышению +привилегий. https://security-tracker.debian.org/tracker/CVE-2019-5108;>CVE-2019-5108 - -Mitchell Frank of Cisco discovered that when the IEEE 802.11 - -(WiFi) stack was used in AP mode with roaming, it would trigger - -roaming for a newly associated station before the station was - -authenticated. An attacker within range of the AP could use this - -to cause a denial of service, either by filling up a switching - -table or by redirecting traffic away from other stations. +Митчел Фрэнк из Cisco обнаружил, что когда IEEE 802.11 (WiFi) +стэк используется в режиме точки доступа с роумингом, он включает роуминг +для недавно связанной станции до выполнения аутентификации этой +станции. Злоумышленник в области действия точки доступа может использовать +эту уязвимость для вызова отказа в обслуживании путём заполнения таблицы +коммутации или путём перенаправления трафика прочь от других станций. https://security-tracker.debian.org/tracker/CVE-2019-19319;>CVE-2019-19319 - -Jungyeon discovered that a crafted filesystem can cause the ext4 - -implementation to deallocate or reallocate journal blocks. A user - -permitted to mount filesystems could use this to cause a denial of - -service (crash), or possibly for privilege escalation. +Jungyeon обнаружил, что специально сформированная файловая система может +привести к освобождению или повторному выделению журнальных блоков в реализация +ext4. Пользователь, имеющий права на монтирование файловых систем, может +использовать эту уязвимость для вызова отказа в обслуживании (аварийная +остановка) или повышения привилегий. https://security-tracker.debian.org/tracker/CVE-2019-19462;>CVE-2019-19462 - -The syzbot tool found a missing error check in the relay - -library used to implement various files under debugfs. A local - -user permitted to access debugfs could use this to cause a denial - -of service (crash) or possibly for privilege escalation. +С помощью инструмента syzbot была обнаружена отсутствующая проверка ошибок в +библиотеке relay, используемой для реализации различных файлов в debugfs. +Локальный пользователь, имеющий права на доступ к debugfs, может использовать +эту уязвимость для вызова отказа в обслуживании (аварийная остановка) или +повышения привилегий. https://security-tracker.debian.org/tracker/CVE-2019-19768;>CVE-2019-19768 - -Tristan Madani reported a race condition in the blktrace debug - -facility that could result in a use-after-free. A local user able - -to trigger removal of block devices could possibly use this to - -cause a denial of service (crash) or for privilege escalation. +Тристан Мадани сообщил о состоянии гонки в отладочных функциях blktrace, +которое может приводить к использованию указателей после освобождения памяти. +Локальный пользователь, способный вызвать удаление блочных устройств, может +использовать эту уязвимость для вызова отказв в обслуживании (аварийная остановка) +или повышения привилегий. https://security-tracker.debian.org/tracker/CVE-2019-20806;>CVE-2019-20806 - -A potential null pointer dereference was discovered in the tw5864 - -media driver. The security impact of this is unclear. +В медиадрайвере tw5864 было обнаружено разыменование null-указателя. +Влияние этой проблемы на безопасность пока не ясно. https://security-tracker.debian.org/tracker/CVE-2019-20811;>CVE-2019-20811 - -The Hulk Robot tool found a reference-counting bug in an error - -path in the network subsystem. The security impact of this is - -unclear. +С помощью инструмента Hulk Robot обнаружена ошибка
