Re: systemd (sysvinit осиротел, галактико опасносте!)

2016-02-29 Пенетрантность Andrey Tataranovich 
On Mon, 29 Feb 2016 23:25:19 +0300
Artem Chuprina  wrote:

> Sergey B Kirpichev -> debian-russian@lists.debian.org  @ Mon, 29 Feb
> 2016 21:53:13 +0300:
> 
>  >> На gentoo уйдем.
> 
>  SBK> А с генты куда пойдете, путешественники?
> 
> На FreeBSD.  У меня что-то linux-only софтины выходят из употребления
> одна за другой.
> 
> Или будем грузиться с busybox в качестве init, тоже вариант...
> Поддержку embedded систем Линус забросит еще не скоро, а туда systemd
> не влезет.
> 

Проблема в том что в embedded как раз полюбили systemd, wayland, etc.
Сужу по докладу с LVEE (докладчик от collabora) и потрохам того же
OpenELEC.

-- 
WBR, Andrey Tataranovich

Re: systemd (sysvinit осиротел, галактико опасносте!)

2016-02-29 Пенетрантность Artem Chuprina 
Sergey B Kirpichev -> debian-russian@lists.debian.org  @ Mon, 29 Feb 2016 
21:53:13 +0300:

 >> На gentoo уйдем.

 SBK> А с генты куда пойдете, путешественники?

На FreeBSD.  У меня что-то linux-only софтины выходят из употребления
одна за другой.

Или будем грузиться с busybox в качестве init, тоже вариант...
Поддержку embedded систем Линус забросит еще не скоро, а туда systemd не
влезет.

Re: systemd (sysvinit осиротел, галактико опасносте!)

2016-02-29 Пенетрантность Sergey B Kirpichev 
On Mon, Feb 29, 2016 at 09:26:42PM +0300, Artem Chuprina wrote:
> На gentoo уйдем.

А с генты куда пойдете, путешественники?

Re: systemd (sysvinit осиротел, галактико опасносте!)

2016-02-29 Пенетрантность Artem Chuprina 
Sergey B Kirpichev -> Debian Russian Mailing List  @ Mon, 29 Feb 2016 20:48:15 
+0300:

 >> Заведен RFA для sysvinit (18 Jan):
 >> https://bugs.debian.org/811377
 >> пока нашелся только один герой, предложивший помощь.
 >>
 >> Желающие?

 SBK> И тишина...  Так вот они какие, севе^Wкритики systemd и прочие разные
 SBK> тру-юниксвей-гуру.

Так дело-то не в sysvinit-core, а в том, что две трети гуевых софтин
тянут за собой systemd-logind по цепочке жестких зависимостей.

На gentoo уйдем.

P.S. Я тут, кстати, глянул краем глаза на lxc.service в jessie.  Ну, в
общем, как и ожидалось.  Оттуда вызывается тот же, по сути, init script,
тоже на sh, тоже с source каких-то "библиотек", только вообще без
никакого стандарта, и читается в результате еще хуже, чем раньше.  Кто
там чего говорил про то, что init-скрипты SysV init тяжело читать и
непонятно, как чинить, если не работают?  С приплыздом, граждане.
Починка этого места анонсировалась как одна из ценных фич systemd.
Починили, ага...

P.P.S. Это пока что единственный service-файл, в который мне пришлось
заглянуть.  Я не утверждаю, что они все такие.  Я утверждаю, что грабли
оказались подложены прямо под первый же шаг.  LXC в леннартовском
описании systemd фигурировал как тесно связанная с systemd подсистема.
Если уж тесная связь такая, то я боюсь себе представить, как связаны не
столь близкие к systemd подсистемы.  Ну, все, которые не linux-only...

Re: [DONE] wml://{security/2016/dsa-3495.wml}

2016-02-29 Пенетрантность Vladimir Zhbanov 
On Mon, Feb 29, 2016 at 09:50:34PM +0500, Lev Lamberov wrote:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA512
> 
> - --- english/security/2016/dsa-3495.wml  2016-02-29 16:08:27.0 
> +0500
> +++ russian/security/2016/dsa-3495.wml2016-02-29 21:49:59.739278786 
> +0500
> @@ -1,47 +1,49 @@
> - -security update
> +#use wml::debian::translation-check translation="1.1" maintainer="Lev 
> Lamberov"
> +обновление безопасности
>  
> - -Markus Krell discovered that xymon, a network- and
> - -applications-monitoring system, was vulnerable to the following
> - -security issues:
> +Маркус Крелл обнаружил, что xymon, система мониторинга сети и
> +приложений, уязвима к следующим
> +проблемам безопасности:
>  
>  
>  
>   href="https://security-tracker.debian.org/tracker/CVE-2016-2054;>CVE-2016-2054
>  
> - -  The incorrect handling of user-supplied input in the config
> - -  command can trigger a stack-based buffer overflow, resulting in
> - -  denial of service (via application crash) or remote code 
> execution.
> +  Некорректная обработка передаваемых пользователем входных данных в 
> команде config
> +  может приводить к переполнению буфера, что приводит к
> +  отказу в обслуживании (из-за аварийной остановки приложения) или 
> удалённому выполнению кода.
>  
>   href="https://security-tracker.debian.org/tracker/CVE-2016-2055;>CVE-2016-2055
>  
> - -  The incorrect handling of user-supplied input in the config
> - -  command can lead to an information leak by serving sensitive
> - -  configuration files to a remote user.
> +  Некорректная обработка передаваемых пользователем данных в команде 
> config
> +  может приводить к утечке информации из-за передачи файлов
> +  настроек удалённому пользователю.
>  
>   href="https://security-tracker.debian.org/tracker/CVE-2016-2056;>CVE-2016-2056
>  
> - -  The commands handling password management do not properly validate
> - -  user-supplied input, and are thus vulnerable to shell command
> - -  injection by a remote user.
> +  Команды, обрабатывающие управлением паролями, неправильно выполняют
> +  проверку передаваемых пользователем входных данных, и потому уязвимы к 
> инъекции команд

тут "обрабатывающие" как-то не лепится...
может быть лучше сказать "команды, относящиеся к управлению
паролями", или "служащие для управления", или "предназначенные",
или "для работы"?
слово "управление" можно заменить на "администрирование",
например, "команды для работы с администрированием паролей"

> +  командной оболочки, которая может быть выполнена удалённым 
> пользователем.
>  
>   href="https://security-tracker.debian.org/tracker/CVE-2016-2057;>CVE-2016-2057
>  
> - -  Incorrect permissions on an internal queuing system allow a user
> - -  with a local account on the xymon master server to bypass all
> - -  network-based access control lists, and thus inject messages
> - -  directly into xymon.
> +  Некорректные права доступа к внутренней системе очереди позволяют 
> пользователю,
> +  имеющему локальную учётную запись на главном сервере xymon, обойти все
> +  управляющие списки прав сетевого доступа и ввести сообщения
> +  напрямую в xymon.
>  
>   href="https://security-tracker.debian.org/tracker/CVE-2016-2058;>CVE-2016-2058
>  
> - -  Incorrect escaping of user-supplied input in status webpages can
> - -  be used to trigger reflected cross-site scripting attacks.
> +  Некорректное экранирование передаваемых пользователем данных на 
> страницах
> +  статуса может использоваться для осуществления атак по принципу 
> межсайтового
> +  скриптинга.
>  
>  
>  
> - -For the stable distribution (jessie), these problems have been fixed in
> - -version 4.3.17-6+deb8u1.
> +В стабильном выпуске (jessie) эти проблемы были исправлены в
> +версии 4.3.17-6+deb8u1.
>  
> - -We recommend that you upgrade your xymon packages.
> +Рекомендуется обновить пакеты xymon.
>

Re: systemd (sysvinit осиротел, галактико опасносте!)

2016-02-29 Пенетрантность Sergey B Kirpichev 
2016-02-07 12:26 GMT+03:00 Sergey B Kirpichev :
> Заведен RFA для sysvinit (18 Jan):
> https://bugs.debian.org/811377
> пока нашелся только один герой, предложивший помощь.
>
> Желающие?

И тишина...  Так вот они какие, севе^Wкритики systemd и прочие разные
тру-юниксвей-гуру.

[DONE] wml://{security/2016/dsa-3495.wml}

2016-02-29 Пенетрантность Lev Lamberov 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

- --- english/security/2016/dsa-3495.wml2016-02-29 16:08:27.0 
+0500
+++ russian/security/2016/dsa-3495.wml  2016-02-29 21:49:59.739278786 +0500
@@ -1,47 +1,49 @@
- -security update
+#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov"
+обновление 
безопасности
 
- -Markus Krell discovered that xymon, a network- and
- -applications-monitoring system, was vulnerable to the following
- -security issues:
+Маркус Крелл обнаружил, что xymon, система 
мониторинга сети и
+приложений, уязвима к следующим
+проблемам безопасности:
 
 
 
 https://security-tracker.debian.org/tracker/CVE-2016-2054;>CVE-2016-2054
 
- -  The incorrect handling of user-supplied input in the config
- -  command can trigger a stack-based buffer overflow, resulting in
- -  denial of service (via application crash) or remote code 
execution.
+  Некорректная обработка передаваемых 
пользователем входных данных в команде 
config
+  может приводить к переполнению буфера, 
что приводит к
+  отказу в обслуживании (из-за аварийной 
остановки приложения) или удалённому 
выполнению кода.
 
 https://security-tracker.debian.org/tracker/CVE-2016-2055;>CVE-2016-2055
 
- -  The incorrect handling of user-supplied input in the config
- -  command can lead to an information leak by serving sensitive
- -  configuration files to a remote user.
+  Некорректная обработка передаваемых 
пользователем данных в команде config
+  может приводить к утечке информации из-за 
передачи файлов
+  настроек удалённому пользователю.
 
 https://security-tracker.debian.org/tracker/CVE-2016-2056;>CVE-2016-2056
 
- -  The commands handling password management do not properly validate
- -  user-supplied input, and are thus vulnerable to shell command
- -  injection by a remote user.
+  Команды, обрабатывающие управлением 
паролями, неправильно выполняют
+  проверку передаваемых пользователем вх
одных данных, и потому уязвимы к инъекции 
команд
+  командной оболочки, которая может быть 
выполнена удалённым пользователем.
 
 https://security-tracker.debian.org/tracker/CVE-2016-2057;>CVE-2016-2057
 
- -  Incorrect permissions on an internal queuing system allow a user
- -  with a local account on the xymon master server to bypass all
- -  network-based access control lists, and thus inject messages
- -  directly into xymon.
+  Некорректные права доступа к 
внутренней системе очереди позволяют 
пользователю,
+  имеющему локальную учётную запись на 
главном сервере xymon, обойти все
+  управляющие списки прав сетевого доступа 
и ввести сообщения
+  напрямую в xymon.
 
 https://security-tracker.debian.org/tracker/CVE-2016-2058;>CVE-2016-2058
 
- -  Incorrect escaping of user-supplied input in status webpages can
- -  be used to trigger reflected cross-site scripting attacks.
+  Некорректное экранирование 
передаваемых пользователем данных на 
страницах
+  статуса может использоваться для 
осуществления атак по принципу 
межсайтового
+  скриптинга.
 
 
 
- -For the stable distribution (jessie), these problems have been fixed in
- -version 4.3.17-6+deb8u1.
+В стабильном выпуске (jessie) эти проблемы 
были исправлены в
+версии 4.3.17-6+deb8u1.
 
- -We recommend that you upgrade your xymon packages.
+Рекомендуется обновить пакеты xymon.
 
 
 # do not modify the following line
-BEGIN PGP SIGNATURE-
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