Re: systemd (sysvinit осиротел, галактико опасносте!)
On Mon, 29 Feb 2016 23:25:19 +0300 Artem Chuprinawrote: > Sergey B Kirpichev -> debian-russian@lists.debian.org @ Mon, 29 Feb > 2016 21:53:13 +0300: > > >> На gentoo уйдем. > > SBK> А с генты куда пойдете, путешественники? > > На FreeBSD. У меня что-то linux-only софтины выходят из употребления > одна за другой. > > Или будем грузиться с busybox в качестве init, тоже вариант... > Поддержку embedded систем Линус забросит еще не скоро, а туда systemd > не влезет. > Проблема в том что в embedded как раз полюбили systemd, wayland, etc. Сужу по докладу с LVEE (докладчик от collabora) и потрохам того же OpenELEC. -- WBR, Andrey Tataranovich
Re: systemd (sysvinit осиротел, галактико опасносте!)
Sergey B Kirpichev -> debian-russian@lists.debian.org @ Mon, 29 Feb 2016 21:53:13 +0300: >> На gentoo уйдем. SBK> А с генты куда пойдете, путешественники? На FreeBSD. У меня что-то linux-only софтины выходят из употребления одна за другой. Или будем грузиться с busybox в качестве init, тоже вариант... Поддержку embedded систем Линус забросит еще не скоро, а туда systemd не влезет.
Re: systemd (sysvinit осиротел, галактико опасносте!)
On Mon, Feb 29, 2016 at 09:26:42PM +0300, Artem Chuprina wrote: > На gentoo уйдем. А с генты куда пойдете, путешественники?
Re: systemd (sysvinit осиротел, галактико опасносте!)
Sergey B Kirpichev -> Debian Russian Mailing List @ Mon, 29 Feb 2016 20:48:15 +0300: >> Заведен RFA для sysvinit (18 Jan): >> https://bugs.debian.org/811377 >> пока нашелся только один герой, предложивший помощь. >> >> Желающие? SBK> И тишина... Так вот они какие, севе^Wкритики systemd и прочие разные SBK> тру-юниксвей-гуру. Так дело-то не в sysvinit-core, а в том, что две трети гуевых софтин тянут за собой systemd-logind по цепочке жестких зависимостей. На gentoo уйдем. P.S. Я тут, кстати, глянул краем глаза на lxc.service в jessie. Ну, в общем, как и ожидалось. Оттуда вызывается тот же, по сути, init script, тоже на sh, тоже с source каких-то "библиотек", только вообще без никакого стандарта, и читается в результате еще хуже, чем раньше. Кто там чего говорил про то, что init-скрипты SysV init тяжело читать и непонятно, как чинить, если не работают? С приплыздом, граждане. Починка этого места анонсировалась как одна из ценных фич systemd. Починили, ага... P.P.S. Это пока что единственный service-файл, в который мне пришлось заглянуть. Я не утверждаю, что они все такие. Я утверждаю, что грабли оказались подложены прямо под первый же шаг. LXC в леннартовском описании systemd фигурировал как тесно связанная с systemd подсистема. Если уж тесная связь такая, то я боюсь себе представить, как связаны не столь близкие к systemd подсистемы. Ну, все, которые не linux-only...
Re: [DONE] wml://{security/2016/dsa-3495.wml}
On Mon, Feb 29, 2016 at 09:50:34PM +0500, Lev Lamberov wrote: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA512 > > - --- english/security/2016/dsa-3495.wml 2016-02-29 16:08:27.0 > +0500 > +++ russian/security/2016/dsa-3495.wml2016-02-29 21:49:59.739278786 > +0500 > @@ -1,47 +1,49 @@ > - -security update > +#use wml::debian::translation-check translation="1.1" maintainer="Lev > Lamberov" > +обновление безопасности > > - -Markus Krell discovered that xymon, a network- and > - -applications-monitoring system, was vulnerable to the following > - -security issues: > +Маркус Крелл обнаружил, что xymon, система мониторинга сети и > +приложений, уязвима к следующим > +проблемам безопасности: > > > > href="https://security-tracker.debian.org/tracker/CVE-2016-2054;>CVE-2016-2054 > > - - The incorrect handling of user-supplied input in the config > - - command can trigger a stack-based buffer overflow, resulting in > - - denial of service (via application crash) or remote code > execution. > + Некорректная обработка передаваемых пользователем входных данных в > команде config > + может приводить к переполнению буфера, что приводит к > + отказу в обслуживании (из-за аварийной остановки приложения) или > удалённому выполнению кода. > > href="https://security-tracker.debian.org/tracker/CVE-2016-2055;>CVE-2016-2055 > > - - The incorrect handling of user-supplied input in the config > - - command can lead to an information leak by serving sensitive > - - configuration files to a remote user. > + Некорректная обработка передаваемых пользователем данных в команде > config > + может приводить к утечке информации из-за передачи файлов > + настроек удалённому пользователю. > > href="https://security-tracker.debian.org/tracker/CVE-2016-2056;>CVE-2016-2056 > > - - The commands handling password management do not properly validate > - - user-supplied input, and are thus vulnerable to shell command > - - injection by a remote user. > + Команды, обрабатывающие управлением паролями, неправильно выполняют > + проверку передаваемых пользователем входных данных, и потому уязвимы к > инъекции команд тут "обрабатывающие" как-то не лепится... может быть лучше сказать "команды, относящиеся к управлению паролями", или "служащие для управления", или "предназначенные", или "для работы"? слово "управление" можно заменить на "администрирование", например, "команды для работы с администрированием паролей" > + командной оболочки, которая может быть выполнена удалённым > пользователем. > > href="https://security-tracker.debian.org/tracker/CVE-2016-2057;>CVE-2016-2057 > > - - Incorrect permissions on an internal queuing system allow a user > - - with a local account on the xymon master server to bypass all > - - network-based access control lists, and thus inject messages > - - directly into xymon. > + Некорректные права доступа к внутренней системе очереди позволяют > пользователю, > + имеющему локальную учётную запись на главном сервере xymon, обойти все > + управляющие списки прав сетевого доступа и ввести сообщения > + напрямую в xymon. > > href="https://security-tracker.debian.org/tracker/CVE-2016-2058;>CVE-2016-2058 > > - - Incorrect escaping of user-supplied input in status webpages can > - - be used to trigger reflected cross-site scripting attacks. > + Некорректное экранирование передаваемых пользователем данных на > страницах > + статуса может использоваться для осуществления атак по принципу > межсайтового > + скриптинга. > > > > - -For the stable distribution (jessie), these problems have been fixed in > - -version 4.3.17-6+deb8u1. > +В стабильном выпуске (jessie) эти проблемы были исправлены в > +версии 4.3.17-6+deb8u1. > > - -We recommend that you upgrade your xymon packages. > +Рекомендуется обновить пакеты xymon. >
Re: systemd (sysvinit осиротел, галактико опасносте!)
2016-02-07 12:26 GMT+03:00 Sergey B Kirpichev: > Заведен RFA для sysvinit (18 Jan): > https://bugs.debian.org/811377 > пока нашелся только один герой, предложивший помощь. > > Желающие? И тишина... Так вот они какие, севе^Wкритики systemd и прочие разные тру-юниксвей-гуру.
[DONE] wml://{security/2016/dsa-3495.wml}
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/security/2016/dsa-3495.wml2016-02-29 16:08:27.0 +0500 +++ russian/security/2016/dsa-3495.wml 2016-02-29 21:49:59.739278786 +0500 @@ -1,47 +1,49 @@ - -security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи - -Markus Krell discovered that xymon, a network- and - -applications-monitoring system, was vulnerable to the following - -security issues: +ÐаÑкÑÑ ÐÑелл обнаÑÑжил, ÑÑо xymon, ÑиÑÑема мониÑоÑинга ÑеÑи и +пÑиложений, ÑÑзвима к ÑледÑÑÑим +пÑоблемам безопаÑноÑÑи: https://security-tracker.debian.org/tracker/CVE-2016-2054;>CVE-2016-2054 - - The incorrect handling of user-supplied input in the config - - command can trigger a stack-based buffer overflow, resulting in - - denial of service (via application crash) or remote code execution. + ÐекоÑÑекÑÐ½Ð°Ñ Ð¾Ð±ÑабоÑка пеÑедаваемÑÑ Ð¿Ð¾Ð»ÑзоваÑелем Ð²Ñ Ð¾Ð´Ð½ÑÑ Ð´Ð°Ð½Ð½ÑÑ Ð² команде config + Ð¼Ð¾Ð¶ÐµÑ Ð¿ÑиводиÑÑ Ðº пеÑÐµÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ Ð±ÑÑеÑа, ÑÑо пÑÐ¸Ð²Ð¾Ð´Ð¸Ñ Ðº + оÑÐºÐ°Ð·Ñ Ð² обÑлÑживании (из-за аваÑийной оÑÑановки пÑиложениÑ) или ÑдалÑÐ½Ð½Ð¾Ð¼Ñ Ð²ÑÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ ÐºÐ¾Ð´Ð°. https://security-tracker.debian.org/tracker/CVE-2016-2055;>CVE-2016-2055 - - The incorrect handling of user-supplied input in the config - - command can lead to an information leak by serving sensitive - - configuration files to a remote user. + ÐекоÑÑекÑÐ½Ð°Ñ Ð¾Ð±ÑабоÑка пеÑедаваемÑÑ Ð¿Ð¾Ð»ÑзоваÑелем даннÑÑ Ð² команде config + Ð¼Ð¾Ð¶ÐµÑ Ð¿ÑиводиÑÑ Ðº ÑÑеÑке инÑоÑмаÑии из-за пеÑедаÑи Ñайлов + наÑÑÑоек ÑдалÑÐ½Ð½Ð¾Ð¼Ñ Ð¿Ð¾Ð»ÑзоваÑелÑ. https://security-tracker.debian.org/tracker/CVE-2016-2056;>CVE-2016-2056 - - The commands handling password management do not properly validate - - user-supplied input, and are thus vulnerable to shell command - - injection by a remote user. + ÐомандÑ, обÑабаÑÑваÑÑие ÑпÑавлением паÑолÑми, непÑавилÑно вÑполнÑÑÑ + пÑовеÑÐºÑ Ð¿ÐµÑедаваемÑÑ Ð¿Ð¾Ð»ÑзоваÑелем Ð²Ñ Ð¾Ð´Ð½ÑÑ Ð´Ð°Ð½Ð½ÑÑ , и поÑÐ¾Ð¼Ñ ÑÑÐ·Ð²Ð¸Ð¼Ñ Ðº инÑекÑии команд + командной оболоÑки, коÑоÑÐ°Ñ Ð¼Ð¾Ð¶ÐµÑ Ð±ÑÑÑ Ð²Ñполнена ÑдалÑннÑм полÑзоваÑелем. https://security-tracker.debian.org/tracker/CVE-2016-2057;>CVE-2016-2057 - - Incorrect permissions on an internal queuing system allow a user - - with a local account on the xymon master server to bypass all - - network-based access control lists, and thus inject messages - - directly into xymon. + ÐекоÑÑекÑнÑе пÑава доÑÑÑпа к внÑÑÑенней ÑиÑÑеме оÑеÑеди позволÑÑÑ Ð¿Ð¾Ð»ÑзоваÑелÑ, + имеÑÑÐµÐ¼Ñ Ð»Ð¾ÐºÐ°Ð»ÑнÑÑ ÑÑÑÑнÑÑ Ð·Ð°Ð¿Ð¸ÑÑ Ð½Ð° главном ÑеÑвеÑе xymon, обойÑи вÑе + ÑпÑавлÑÑÑие ÑпиÑки пÑав ÑеÑевого доÑÑÑпа и ввеÑÑи ÑообÑÐµÐ½Ð¸Ñ + напÑÑмÑÑ Ð² xymon. https://security-tracker.debian.org/tracker/CVE-2016-2058;>CVE-2016-2058 - - Incorrect escaping of user-supplied input in status webpages can - - be used to trigger reflected cross-site scripting attacks. + ÐекоÑÑекÑное ÑкÑаниÑование пеÑедаваемÑÑ Ð¿Ð¾Ð»ÑзоваÑелем даннÑÑ Ð½Ð° ÑÑÑаниÑÐ°Ñ + ÑÑаÑÑÑа Ð¼Ð¾Ð¶ÐµÑ Ð¸ÑполÑзоваÑÑÑÑ Ð´Ð»Ñ Ð¾ÑÑÑеÑÑÐ²Ð»ÐµÐ½Ð¸Ñ Ð°Ñак по пÑинÑÐ¸Ð¿Ñ Ð¼ÐµÐ¶ÑайÑового + ÑкÑипÑинга. - -For the stable distribution (jessie), these problems have been fixed in - -version 4.3.17-6+deb8u1. +Ð ÑÑабилÑном вÑпÑÑке (jessie) ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ Ð² +веÑÑии 4.3.17-6+deb8u1. - -We recommend that you upgrade your xymon packages. +РекомендÑеÑÑÑ Ð¾Ð±Ð½Ð¾Ð²Ð¸ÑÑ Ð¿Ð°ÐºÐµÑÑ xymon. # do not modify the following line -BEGIN PGP SIGNATURE- iQIcBAEBCgAGBQJW1HbVAAoJEF7nbuICFtKl69wP/jLT0UMJ15WXMDp1arrg3z9M AbTc6ksLJFSvyZ8DO7WvNGoJlmCuhA/HPHofTnB8qUTJ0/85EKBqvu8oEg1IiS81 eoKRHZscZyfIRGQqnDNmqQe7dL1Mg/E/eKNYzvuKTie4FTbehsuG+flXLSVxH/BV GLOhgIE/+mxC/BiK+AMeJ8VFDXzsYKmTtSUdKNr4lKlvvHdE25k6Sn/azfW16wAR iy8F0LFCESusCLSdHkAeFvBoKYKAi6fU9wF8JAP+SVUO9sHWGHmuLWMhzUxk3OYS cTVQ2L8NUZL4g9Wv01WOeUDVeSuSe0IqYZ9Aqm4MgtinzUN/KFkh8/2a4MDTQzu+ BYbm+vmEQT68Sv9KOTz9Xj14VN6kWhbJUjt0KVlhIr2Tu1XRcIlKFtHhPLtGjM0S 1wS6JEE6pn0sQJpy/7ySmYlvOUnkhi7M5JKRU4O4T9RnADJiy5scpPlKh4kJIM+e