Re: [DONE] wml://security/2016/dla-{387,412,439}.wml
On Sun, Apr 17, 2016 at 07:36:40PM +0500, Lev Lamberov wrote: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA512 > > - --- english/security/2016/dla-387.wml 2016-04-08 01:54:44.0 > +0500 > +++ russian/security/2016/dla-387.wml 2016-04-17 19:03:37.626158409 +0500 > @@ -1,50 +1,51 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -The Qualys Security team discovered two vulnerabilities in the roaming > - -code of the OpenSSH client (an implementation of the SSH protocol > - -suite). > - - > - -SSH roaming enables a client, in case an SSH connection breaks > - -unexpectedly, to resume it at a later time, provided the server also > - -supports it. > - - > - -The OpenSSH server doesn't support roaming, but the OpenSSH client > - -supports it (even though it's not documented) and it's enabled by > - -default. > +Команда Qualys Security обнаружила две уязвимости в коде автоматической > настройки > +сети в клиенте OpenSSH (реализации набора протоколов > +SSH). > + > +Автоматическая настройка сети SSH позволяет клиенту в случаях, когда > SSH-соединение > +прерывается неожиданно, восстанавливать его при условии того, что сервер тоже > +поддерживает эту возможность. > + > +Сервер OpenSSH не поддерживает автоматическую настройку сети, а клиент > OpenSSH > +поддерживает эту возможность (даже несмотря на то, что она не описана в > документации), в клиенте > +она включена по умолчанию. > > > > href="https://security-tracker.debian.org/tracker/CVE-2016-0777;>CVE-2016-0777 > > - -An information leak (memory disclosure) can be exploited by a rogue > - -SSH server to trick a client into leaking sensitive data from the > - -client memory, including for example private keys. > +Утечка информации (раскрытие содержимого памяти) может использоваться > SSH-сервером > +злоумышленника для того, чтобы клиент передал чувствительные данные из > +клиентской памяти, включая закрытые ключи. > > href="https://security-tracker.debian.org/tracker/CVE-2016-0778;>CVE-2016-0778 > > - -A buffer overflow (leading to file descriptor leak), can also be > - -exploited by a rogue SSH server, but due to another bug in the code > - -is possibly not exploitable, and only under certain conditions (not > - -the default configuration), when using ProxyCommand, ForwardAgent or > +Переполнение буфера (приводящее к утечке файловых дескрипторов) может > +использоваться SSH-сервером злоумышленника, но из-за другой ошибки в коде > +оно, вероятно, может использоваться только при определённых условиях (не > +при настройках по умолчанию) при использовании ProxyCommand, > ForwardAgent или > ForwardX11. > > > > - -This security update completely disables the roaming code in the OpenSSH > - -client. > +Данное обновление безопасности полностью отключает код автоматической > настройки сети в > +клиенте OpenSSH. > > - -It is also possible to disable roaming by adding the (undocumented) > - -option UseRoaming no to the global /etc/ssh/ssh_config file, or to > the > - -user configuration in ~/.ssh/config, or by passing -oUseRoaming=no on > - -the command line. > - - > - -Users with passphrase-less privates keys, especially in non interactive > - -setups (automated jobs using ssh, scp, rsync+ssh etc.) are advised to > - -update their keys if they have connected to an SSH server they don't > - -trust. > +Кроме того, автоматическую настройку можно отключить, добавив (не > описанную в документации) > +опцию UseRoaming no в глобальный файл /etc/ssh/ssh_config, либо в > +пользовательские настройки в ~/.ssh/config, либо передав -oUseRoaming=no > +в командной строку. > + > +Пользователям, использующим закрытые ключи без паролей, особенно при > неинтерактивной > +настройке (автоматические задачи, использующие ssh, scp, rsync+ssh и т. д.), > рекомендуется > +обновить свои ключи в том случае, если они подключались к SSH-серверу, > которому они > +не доверяют. > > - -More details about identifying an attack and mitigations can be found in > - -the Qualys Security Advisory. > +Дополнительную информацию об определении атак этого вида и средствах > минимазации рисков можно найти > +в рекомендации по безопасности Qualys. > > > # do not modify the following line > - --- english/security/2016/dla-412.wml 2016-04-08 01:54:44.0 > +0500 > +++ russian/security/2016/dla-412.wml 2016-04-17 19:13:06.556928051 +0500 > @@ -1,51 +1,52 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -This update fixes the CVEs described below. > +Данное обновление исправляет описанные ниже CVE. > > > > href="https://security-tracker.debian.org/tracker/CVE-2015-7566;>CVE-2015-7566 > > - -Ralf Spenneberg of OpenSource Security reported that the visor > - -driver
Re: [DONE] wml://security/2015/dla-{130,365,195,339}.wml
20.04.2016 16:45, Andrey Skvortsov пишет: > On 20 Apr, Lev Lamberov wrote: > >> +в том случае, когда включены комментарии. Это позволяет удалённым >> злоумышленникам вводить > я бы написал короче: > "скриптингу (XSS), если включены комментарии." > >> +произвольный веб-сценарий или код HTML при помощи специального >> сформированного комментария. > Может лучше "специально сформированного"? Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: [DONE] wml://security/2015/dla-{376,337,261,194}.wml
20.04.2016 21:06, Vladimir Zhbanov пишет: > On Wed, Apr 20, 2016 at 04:29:52PM +0500, Lev Lamberov wrote: >> +использовать эту уязвимость для повышению привилегий и выполнения >> произвольного > повышени_я_ > >> +Сообщено, что верси 0.31+bzr413-1.1+deb6u1 пакета aptdaemon (в которой > верси_я_ Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: [DONE] wml://security/2015/dla-{376,337,261,194}.wml
On Wed, Apr 20, 2016 at 04:29:52PM +0500, Lev Lamberov wrote: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA512 > > - --- english/security/2015/dla-194.wml 2016-04-07 03:10:34.0 > +0500 > +++ russian/security/2015/dla-194.wml 2016-04-20 16:29:37.320844825 +0500 > @@ -1,10 +1,11 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.1" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -Adam Sampson discovered a buffer overflow in the handling of the > - -XAUTHORITY environment variable in das-watchdog, a watchdog daemon to > - -ensure a realtime process won't hang the machine. A local user can > - -exploit this flaw to escalate his privileges and execute arbitrary > - -code as root. > +Адам Сэмпсон обнаружил переполнение буфера в коде обработки > +переменной окружения XAUTHORITY в das-watchdog, службе watchdog для > +проверки того, чтобы процессы реального времени не приводили к зависанию > машины. Локальный пользователь может > +использовать эту уязвимость для повышению привилегий и выполнения > произвольного повышени_я_ > +кода от лица суперпользователя. > > > # do not modify the following line > - --- english/security/2015/dla-261.wml 2016-04-07 03:10:35.0 > +0500 > +++ russian/security/2015/dla-261.wml 2016-04-20 16:27:45.915376474 +0500 > @@ -1,9 +1,10 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.1" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -It was reported that version 0.31+bzr413-1.1+deb6u1 of aptdaemon (which > - -fixed href="https://security-tracker.debian.org/tracker/CVE-2015-1323;>CVE-2015-1323) > was not installable if you have Python 2.5 installed. > +Сообщено, что верси 0.31+bzr413-1.1+deb6u1 пакета aptdaemon (в которой верси_я_
Tidy validation failed
*** /srv/www.debian.org/www/international/l10n/po/pl.ru.html line 760 column 317 - Warning: replacing invalid numeric character reference 130 -- You received this mail for the language code ru. Please edit webwml/english/devel/website/validation.data if this is not accurate. Please also update webwml/english/devel/website/ with the new coordinator(s) data.
Re: [DONE] wml://security/2015/dla-{214,157,262,191}.wml
On Wed, Apr 20, 2016 at 04:48:42PM +0500, Lev Lamberov wrote: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA512 > > - --- english/security/2015/dla-157.wml 2016-04-09 01:32:24.0 > +0500 > +++ russian/security/2015/dla-157.wml 2016-04-20 16:40:33.559268024 +0500 > @@ -1,10 +1,11 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -Several vulnerabilities have been discovered in OpenJDK, an > - -implementation of the Oracle Java platform, resulting in the execution > - -of arbitrary code, information disclosure or denial of service. > +В OpenJDK, реализации платформы Oracle Java, было обнаружено несколько > +уязвимостей, которые приводят к выполнению произвольного > +кода, раскрытию информации или отказу в обслуживании. > > - -For Debian 6 Squeeze, these issues have been fixed in openjdk-6 > version 6b34-1.13.6-1~deb6u1 > +В Debian 6 Squeeze эти проблемы были исправлены в openjdk-6 версии > 6b34-1.13.6-1~deb6u1 > > > # do not modify the following line > - --- english/security/2015/dla-191.wml 2016-04-07 03:10:34.0 > +0500 > +++ russian/security/2015/dla-191.wml 2016-04-20 16:48:08.632618399 +0500 > @@ -1,11 +1,12 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.1" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -Hiroya Ito of GMO Pepabo, Inc. reported that checkpw, a password > - -authentication program, has a flaw in processing account names which > - -contain double dashes. A remote attacker can use this flaw to cause a > - -denial of service (infinite loop). > +Хиройа Ито из GMO Pepabo, Inc. сообщил, что checkpw, программа > +парольной аутентификации, содержит уязвимость к код обработке имён учётных > записей, _в_ код_е_ обработк_и_
[DONE] wml://security/2015/dla-{214,157,262,191}.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/security/2015/dla-157.wml 2016-04-09 01:32:24.0 +0500 +++ russian/security/2015/dla-157.wml 2016-04-20 16:40:33.559268024 +0500 @@ -1,10 +1,11 @@ - -LTS security update +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Several vulnerabilities have been discovered in OpenJDK, an - -implementation of the Oracle Java platform, resulting in the execution - -of arbitrary code, information disclosure or denial of service. +Ð OpenJDK, ÑеализаÑии плаÑÑоÑÐ¼Ñ Oracle Java, бÑло обнаÑÑжено неÑколÑко +ÑÑзвимоÑÑей, коÑоÑÑе пÑиводÑÑ Ðº вÑÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ Ð¿ÑоизволÑного +кода, ÑаÑкÑÑÑÐ¸Ñ Ð¸Ð½ÑоÑмаÑии или оÑÐºÐ°Ð·Ñ Ð² обÑлÑживании. - -For Debian 6 Squeeze, these issues have been fixed in openjdk-6 version 6b34-1.13.6-1~deb6u1 +Ð Debian 6 Squeeze ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ Ð² openjdk-6 веÑÑии 6b34-1.13.6-1~deb6u1 # do not modify the following line - --- english/security/2015/dla-191.wml 2016-04-07 03:10:34.0 +0500 +++ russian/security/2015/dla-191.wml 2016-04-20 16:48:08.632618399 +0500 @@ -1,11 +1,12 @@ - -LTS security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Hiroya Ito of GMO Pepabo, Inc. reported that checkpw, a password - -authentication program, has a flaw in processing account names which - -contain double dashes. A remote attacker can use this flaw to cause a - -denial of service (infinite loop). +ХиÑойа ÐÑо из GMO Pepabo, Inc. ÑообÑил, ÑÑо checkpw, пÑогÑамма +паÑолÑной аÑÑенÑиÑикаÑии, ÑодеÑÐ¶Ð¸Ñ ÑÑзвимоÑÑÑ Ðº код обÑабоÑке имÑн ÑÑÑÑнÑÑ Ð·Ð°Ð¿Ð¸Ñей, +ÑодеÑжаÑÐ¸Ñ Ð´Ð²Ð¾Ð¹Ð½Ñе ÑиÑе. УдалÑннÑй злоÑмÑÑленник Ð¼Ð¾Ð¶ÐµÑ Ð¸ÑполÑзоваÑÑ ÑÑÑ ÑÑзвимоÑÑÑ Ð´Ð»Ñ Ð²Ñзова +оÑказа в обÑлÑживании (беÑконеÑнÑй Ñикл). - -Thanks to Markus Koschany who prepared the Debian package. +ÐÑÑажаем благодаÑноÑÑÑ ÐаÑкÑÑÑ ÐоÑани, коÑоÑÑй подгоÑовил Ð¿Ð°ÐºÐµÑ Debian. # do not modify the following line - --- english/security/2015/dla-214.wml 2016-04-08 01:27:55.0 +0500 +++ russian/security/2015/dla-214.wml 2016-04-20 16:39:24.944377629 +0500 @@ -1,11 +1,12 @@ - -LTS security update +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -In some cases, XML::LibXML did not respect the request to disable entities - -expansion. Applications handling untrusted XML files can then be tricked - -into disclosing the content of local files. +РнекоÑоÑÑÑ ÑиÑÑаÑиÑÑ ÑÑнкÑÐ¸Ñ XML::LibXML не вÑполнÑÐµÑ Ð·Ð°Ð¿ÑÐ¾Ñ Ð½Ð° оÑклÑÑение ÑаÑкÑÑÑÐ¸Ñ +ÑÑÑноÑÑей. ÐÑиложениÑ, обÑабаÑÑваÑÑие недовеÑеннÑе докÑменÑÑ XML, могÑÑ +ÑаÑкÑÑваÑÑ ÑодеÑжимое локалÑнÑÑ Ñайлов. - -In Debian 6 Squeeze, this issue has been fixed in libxml-libxml-perl - -version 1.70.ds-1+deb6u1. +Ð Debian 6 Squeeze ÑÑа пÑоблема бÑла иÑпÑавлена в libxml-libxml-perl +веÑÑии 1.70.ds-1+deb6u1. # do not modify the following line - --- english/security/2015/dla-262.wml 2016-04-07 03:10:35.0 +0500 +++ russian/security/2015/dla-262.wml 2016-04-20 16:44:36.052925596 +0500 @@ -1,10 +1,11 @@ - -LTS security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Evgeny Sidorov discovered that libcrypto++, a general purpose C++ - -cryptographic library, did not properly implement blinding to mask - -private key operations for the Rabin-Williams digital signature - -algorithm. This could allow remote attackers to mount a timing attack - -and retrieve the user's private key. +Ðвгений СидоÑов обнаÑÑжил, ÑÑо libcrypto++, кÑипÑогÑаÑиÑеÑÐºÐ°Ñ Ð±Ð¸Ð±Ð»Ð¸Ð¾Ñека C++ +обÑего назнаÑениÑ, непÑавилÑно ÑеализÑÐµÑ Ð±Ð»Ð¾ÐºÐ¸ÑÐ¾Ð²ÐºÑ Ð´Ð»Ñ Ð¼Ð°ÑкиÑÐ¾Ð²Ð°Ð½Ð¸Ñ +опеÑаÑий Ñ Ð·Ð°ÐºÑÑÑÑми клÑÑами Ð´Ð»Ñ Ð°Ð»Ð³Ð¾ÑиÑма ÑиÑÑовой подпиÑи +Рабина-УилÑÑмÑа. ÐÑо Ð¼Ð¾Ð¶ÐµÑ Ð¿Ð¾Ð·Ð²Ð¾Ð»Ð¸ÑÑ ÑдалÑннÑм злоÑмÑÑленникам вÑзÑваÑÑ Ð°ÑÐ°ÐºÑ Ð¿Ð¾ Ñаймингам +и полÑÑиÑÑ Ð·Ð°ÐºÑÑÑÑе клÑÑи полÑзоваÑелей. # do not modify the following line -BEGIN PGP
Re: [DONE] wml://security/2015/dla-{130,365,195,339}.wml
On 20 Apr, Lev Lamberov wrote: > # do not modify the following line > - --- english/security/2015/dla-339.wml 2016-04-08 01:24:54.0 > +0500 > +++ russian/security/2015/dla-339.wml 2016-04-20 16:36:50.858217716 +0500 > @@ -1,10 +1,11 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -HTML::Scrubber is vulnerable to a cross-site scripting (XSS) > vulnerability > - -when the comment feature is enabled. It allows remote attackers to inject > - -arbitrary web script or HTML via a crafted comment. > +Функция HTML::Scrubber уязвима к межсайтовому скриптингу (XSS), что > проявляется > +в том случае, когда включены комментарии. Это позволяет удалённым > злоумышленникам вводить я бы написал короче: "скриптингу (XSS), если включены комментарии." > +произвольный веб-сценарий или код HTML при помощи специального > сформированного комментария. Может лучше "специально сформированного"? -- Best regards, Andrey Skvortsov Secure eMail with gnupg: See http://www.gnupg.org/ PGP Key ID: 0x57A3AEAD signature.asc Description: PGP signature
[DONE] wml://security/2015/dla-{130,365,195,339}.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/security/2015/dla-130.wml 2016-04-09 01:32:23.0 +0500 +++ russian/security/2015/dla-130.wml 2016-04-20 16:31:15.988893298 +0500 @@ -1,9 +1,10 @@ - -LTS security update +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Segfault in server caused by malformed network packet. - -See: http://tracker.firebirdsql.org/browse/CORE-4630;>http://tracker.firebirdsql.org/browse/CORE-4630 +ÐÑло обнаÑÑжено, ÑÑо ÑпеÑиалÑно ÑÑоÑмиÑованнÑй Ð¿Ð°ÐºÐµÑ Ð¼Ð¾Ð¶ÐµÑ Ð²ÑзÑваÑÑ Ð¾ÑÐ¸Ð±ÐºÑ ÑегменÑиÑованиÑ. +См.: http://tracker.firebirdsql.org/browse/CORE-4630;>http://tracker.firebirdsql.org/browse/CORE-4630 - -For Debian 6 Squeeze, these issues have been fixed in firebird2.1 version 2.1.3.18185-0.ds1-11+squeeze2 +Ð Debian 6 Squeeze ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ Ð² firebird2.1 веÑÑии 2.1.3.18185-0.ds1-11+squeeze2 # do not modify the following line - --- english/security/2015/dla-195.wml 2016-04-07 03:10:34.0 +0500 +++ russian/security/2015/dla-195.wml 2016-04-20 16:35:02.196761524 +0500 @@ -1,10 +1,11 @@ - -LTS security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Hanno Boeck discovered a stack-based buffer overflow in the - -asn1_der_decoding function in Libtasn1, a library to manage ASN.1 - -structures. A remote attacker could take advantage of this flaw to cause - -an application using the Libtasn1 library to crash, or potentially to - -execute arbitrary code. +Ханно ÐÑк обнаÑÑжил пеÑеполнение бÑÑеÑа в ÑÑнкÑии +asn1_der_decoding в Libtasn1, библиоÑеке Ð´Ð»Ñ ÑабоÑÑ Ñо ÑÑÑÑкÑÑÑами +ASN.1. УдалÑннÑй злоÑмÑÑленник Ð¼Ð¾Ð¶ÐµÑ Ð¸ÑполÑзоваÑÑ ÑÑÑ ÑÑзвимоÑÑÑ Ð´Ð»Ñ +аваÑийной оÑÑановки пÑиложениÑ, иÑполÑзÑÑÑего библиоÑÐµÐºÑ Libtasn1, или Ð´Ð»Ñ +поÑенÑиалÑного вÑÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ Ð¿ÑоизволÑного кода. # do not modify the following line - --- english/security/2015/dla-339.wml 2016-04-08 01:24:54.0 +0500 +++ russian/security/2015/dla-339.wml 2016-04-20 16:36:50.858217716 +0500 @@ -1,10 +1,11 @@ - -LTS security update +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -HTML::Scrubber is vulnerable to a cross-site scripting (XSS) vulnerability - -when the comment feature is enabled. It allows remote attackers to inject - -arbitrary web script or HTML via a crafted comment. +ФÑнкÑÐ¸Ñ HTML::Scrubber ÑÑзвима к межÑайÑÐ¾Ð²Ð¾Ð¼Ñ ÑкÑипÑÐ¸Ð½Ð³Ñ (XSS), ÑÑо пÑоÑвлÑеÑÑÑ +в Ñом ÑлÑÑае, когда вклÑÑÐµÐ½Ñ ÐºÐ¾Ð¼Ð¼ÐµÐ½ÑаÑии. ÐÑо позволÑÐµÑ ÑдалÑннÑм злоÑмÑÑленникам вводиÑÑ +пÑоизволÑнÑй веб-ÑÑенаÑий или код HTML пÑи помоÑи ÑпеÑиалÑного ÑÑоÑмиÑованного комменÑаÑиÑ. - -For Debian 6 squeeze, this has been fixed in libhtml-scrubber-perl version +Ð Debian 6 squeeze ÑÑа пÑоблема бÑла иÑпÑавлена в libhtml-scrubber-perl веÑÑии 0.08-4+deb6u1. - --- english/security/2015/dla-365.wml 2016-04-07 03:10:36.0 +0500 +++ russian/security/2015/dla-365.wml 2016-04-20 16:33:21.968382707 +0500 @@ -1,11 +1,12 @@ - -LTS security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -It was discovered that there was an injection vulnerability in - -foomatic-filters which is used by printer spoolers to convert - -incoming PostScript data into the printer's native format. +ÐÑло обнаÑÑжено, ÑÑо в foomatic-filters, коÑоÑÑе иÑполÑзÑÑÑÑÑ ÑиÑÑемой +бÑÑеÑизаÑии Ð´Ð»Ñ Ð¿ÑинÑеÑов Ð´Ð»Ñ Ð¿ÑеобÑÐ°Ð·Ð¾Ð²Ð°Ð½Ð¸Ñ Ð²Ñ Ð¾Ð´ÑÑÐ¸Ñ Ð´Ð°Ð½Ð½ÑÑ Ð² ÑоÑмаÑе +PostScript в Ñодной ÑоÑÐ¼Ð°Ñ Ð¿ÑинÑеÑа, имееÑÑÑ Ð²Ð¾Ð·Ð¼Ð¾Ð¶Ð½Ð¾ÑÑÑ Ð¸Ð½ÑекÑии. - -For Debian 6 Squeeze, this issue has been fixed in foomatic-filters - -version 4.0.5-6+squeeze2+deb6u11 +Ð Debian 6 Squeeze ÑÑа пÑоблема бÑла иÑпÑавлена в foomatic-filters +веÑÑии 4.0.5-6+squeeze2+deb6u11 # do not modify the following line -BEGIN PGP SIGNATURE- iQIcBAEBCgAGBQJXF2nVAAoJEF7nbuICFtKlDjgP/1B4fRbRovgnSgBCFEh2CKDl x4P9bHai0I6WjpYI3RkmuxO9gveDdEjSHySr9p7zbQo7WDFSK/iR0uKF2q5AZafr x1IAIcjMHu+Ez3CK75aktmIxT3IGJd0v3tPX41oqCeJC73dq/hXYqjp+hjCItcod
[DONE] wml://security/2015/dla-{376,337,261,194}.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/security/2015/dla-194.wml 2016-04-07 03:10:34.0 +0500 +++ russian/security/2015/dla-194.wml 2016-04-20 16:29:37.320844825 +0500 @@ -1,10 +1,11 @@ - -LTS security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Adam Sampson discovered a buffer overflow in the handling of the - -XAUTHORITY environment variable in das-watchdog, a watchdog daemon to - -ensure a realtime process won't hang the machine. A local user can - -exploit this flaw to escalate his privileges and execute arbitrary - -code as root. +Ðдам СÑмпÑон обнаÑÑжил пеÑеполнение бÑÑеÑа в коде обÑабоÑки +пеÑеменной окÑÑÐ¶ÐµÐ½Ð¸Ñ XAUTHORITY в das-watchdog, ÑлÑжбе watchdog Ð´Ð»Ñ +пÑовеÑки Ñого, ÑÑÐ¾Ð±Ñ Ð¿ÑоÑеÑÑÑ ÑеалÑного вÑемени не пÑиводили к завиÑÐ°Ð½Ð¸Ñ Ð¼Ð°ÑинÑ. ÐокалÑнÑй полÑзоваÑÐµÐ»Ñ Ð¼Ð¾Ð¶ÐµÑ +иÑполÑзоваÑÑ ÑÑÑ ÑÑзвимоÑÑÑ Ð´Ð»Ñ Ð¿Ð¾Ð²ÑÑÐµÐ½Ð¸Ñ Ð¿Ñивилегий и вÑÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ Ð¿ÑоизволÑного +кода Ð¾Ñ Ð»Ð¸Ñа ÑÑпеÑполÑзоваÑелÑ. # do not modify the following line - --- english/security/2015/dla-261.wml 2016-04-07 03:10:35.0 +0500 +++ russian/security/2015/dla-261.wml 2016-04-20 16:27:45.915376474 +0500 @@ -1,9 +1,10 @@ - -LTS security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -It was reported that version 0.31+bzr413-1.1+deb6u1 of aptdaemon (which - -fixed https://security-tracker.debian.org/tracker/CVE-2015-1323;>CVE-2015-1323) was not installable if you have Python 2.5 installed. +СообÑено, ÑÑо веÑÑи 0.31+bzr413-1.1+deb6u1 пакеÑа aptdaemon (в коÑоÑой +иÑпÑавлена https://security-tracker.debian.org/tracker/CVE-2015-1323;>CVE-2015-1323) не Ð¼Ð¾Ð¶ÐµÑ Ð±ÑÑÑ ÑÑÑановлена в Ñом ÑлÑÑае, еÑли ÑÑÑановлен Python 2.5. - -This has been fixed in version 0.31+bzr413-1.1+deb6u2. +ÐÑа пÑоблема бÑла иÑпÑавлена в веÑÑии 0.31+bzr413-1.1+deb6u2. # do not modify the following line - --- english/security/2015/dla-337.wml 2016-04-07 03:10:36.0 +0500 +++ russian/security/2015/dla-337.wml 2016-04-20 16:26:38.211291893 +0500 @@ -1,10 +1,11 @@ - -LTS security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -busybox, a collection of tiny utilities for small and embedded systems, - -was vulnerable to crashing when handling a specially crafted zip file. - -The issue was discovered by Gustavo Grieco. +busybox, Ð½Ð°Ð±Ð¾Ñ Ð½ÐµÐ±Ð¾Ð»ÑÑÐ¸Ñ ÑÑÐ¸Ð»Ð¸Ñ Ð´Ð»Ñ Ð²ÑÑÑаиваемÑÑ ÑиÑÑем, ÑодеÑÐ¶Ð¸Ñ +ÑÑзвимоÑÑÑ, пÑиводÑÑÑÑ Ðº аваÑийной оÑÑановке пÑи обÑабоÑке ÑпеÑиалÑно ÑÑоÑмиÑованного Ñайла zip. +ÐÑа пÑоблема бÑла обнаÑÑжена ÐÑÑÑаво ÐÑико. - -For Debian 6 Squeeze, this issue has been fixed in busybox version +Ð Debian 6 Squeeze ÑÑа пÑоблема бÑла иÑпÑавлена в busybox веÑÑии 1.17.1-8+deb6u11. - --- english/security/2015/dla-376.wml 2016-04-07 03:10:37.0 +0500 +++ russian/security/2015/dla-376.wml 2016-04-20 16:24:55.519238654 +0500 @@ -1,11 +1,13 @@ - -LTS security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Mono's string-to-double parser may crash, on specially crafted input. This - -could theoretically lead to arbitrary code execution. +Ðод Ð´Ð»Ñ Ð³ÑаммаÑиÑеÑкого ÑазбоÑа ÑÑÑок пÑи пÑеобÑазовании ÑÑÑок в веÑеÑÑвеннÑе ÑиÑла двойной ÑоÑноÑÑи +из Mono Ð¼Ð¾Ð¶ÐµÑ Ð·Ð°Ð²ÐµÑÑиÑÑ ÑабоÑÑ Ð¿Ñи обÑабоÑке ÑпеÑиалÑно ÑÑоÑмиÑованнÑÑ Ð²Ñ Ð¾Ð´Ð½ÑÑ Ð´Ð°Ð½Ð½ÑÑ . ТеоÑеÑиÑеÑки ÑÑо +Ð¼Ð¾Ð¶ÐµÑ Ð¿ÑиводиÑÑ Ðº вÑÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ Ð¿ÑоизволÑного кода. - -This issue has been fixed in Debian 6 Squeeze with the version - -2.6.7-5.1+deb6u2 of mono. We recommend that you upgrade your - -mono packages. +ÐÑа пÑоблема бÑла иÑпÑавлена в Debian 6 Squeeze в веÑÑии +2.6.7-5.1+deb6u2 пакеÑа mono. РекомендÑеÑÑÑ Ð¾Ð±Ð½Ð¾Ð²Ð¸ÑÑ +пакеÑÑ mono. # do not modify the following line -BEGIN PGP SIGNATURE- iQIcBAEBCgAGBQJXF2glAAoJEF7nbuICFtKlNEMP/3eA/vnU60/RiKjxE0Mzu5yb iQYcM69T1AGosLBokfxJ32uQlMqKentC0aACbl/gRpbO+QDkjBjA+R/ZmBKjMBEV
[DONE] wml://security/2015/dla-{330,285,241,183}.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/security/2015/dla-183.wml 2016-04-09 01:32:24.0 +0500 +++ russian/security/2015/dla-183.wml 2016-04-20 16:22:06.416259440 +0500 @@ -1,10 +1,11 @@ - -LTS security update +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Ilja van Sprundel, Alan Coopersmith and William Robinet discovered - -multiple issues in libxfont's code to process BDF fonts, which might - -result in privilege escalation. +ÐлÑÑ Ð²Ð°Ð½ ШпÑÑнделÑ, Ðлан ÐÑпеÑÑÐ¼Ð¸Ñ Ð¸ УилÑÑм Робине обнаÑÑжили +многоÑиÑленнÑе пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð² коде libxfont Ð´Ð»Ñ Ð¾Ð±ÑабоÑки ÑÑиÑÑов BDF, коÑоÑÑе могÑÑ +пÑиводиÑÑ Ðº повÑÑÐµÐ½Ð¸Ñ Ð¿Ñивилегий. - -For Debian 6 Squeeze, these issues have been fixed in libxfont version 1:1.4.1-5+deb6u1 +Ð Debian 6 Squeeze ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ Ð² libxfont веÑÑии 1:1.4.1-5+deb6u1 # do not modify the following line - --- english/security/2015/dla-241.wml 2016-04-07 03:10:34.0 +0500 +++ russian/security/2015/dla-241.wml 2016-04-20 16:20:32.028989207 +0500 @@ -1,14 +1,15 @@ - -LTS security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -The following vulnerabilities were discovered in the Squeeze LTS's - -prior Wireshark version: +РвеÑÑии Wireshark из Squeeze LTS бÑли обнаÑÑÐ¶ÐµÐ½Ñ Ð¸ иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ +ÑледÑÑÑие ÑÑзвимоÑÑи: https://security-tracker.debian.org/tracker/CVE-2015-3811;>CVE-2015-3811 - -The WCP dissector could crash while decompressing data. +ÐиÑÑекÑÐ¾Ñ WCP Ð¼Ð¾Ð¶ÐµÑ Ð°Ð²Ð°Ñийно завеÑÑиÑÑ ÑабоÑÑ Ð¿Ñи ÑаÑпаковке даннÑÑ . - --- english/security/2015/dla-285.wml 2016-04-07 03:10:35.0 +0500 +++ russian/security/2015/dla-285.wml 2016-04-20 16:19:16.679906417 +0500 @@ -1,9 +1,10 @@ - -LTS security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Jonathan Foote discovered that the BIND DNS server does not properly - -handle TKEY queries. A remote attacker can take advantage of this flaw - -to mount a denial of service via a specially crafted query triggering an - -assertion failure and causing BIND to exit. +ÐжонаÑан ФÑÑÑ Ð¾Ð±Ð½Ð°ÑÑжил, ÑÑо DNS-ÑеÑÐ²ÐµÑ BIND непÑавилÑно обÑабаÑÑÐ²Ð°ÐµÑ +запÑоÑÑ TKEY. УдалÑннÑй злоÑмÑÑленник Ð¼Ð¾Ð¶ÐµÑ Ð¸ÑполÑзоваÑÑ ÑÑÑ ÑÑзвимоÑÑÑ +Ð´Ð»Ñ Ð²Ñзова оÑказа в обÑлÑживании пÑи помоÑи ÑпеÑиалÑно ÑÑоÑмиÑованного запÑоÑа, пÑиводÑÑего +к оÑибке ÑÑвеÑÐ¶Ð´ÐµÐ½Ð¸Ñ Ð¸ завеÑÑÐµÐ½Ð¸Ñ ÑабоÑÑ BIND. # do not modify the following line - --- english/security/2015/dla-330.wml 2016-04-07 03:10:36.0 +0500 +++ russian/security/2015/dla-330.wml 2016-04-20 16:17:28.727622250 +0500 @@ -1,11 +1,12 @@ - -LTS security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Gustavo Grieco discovered with a fuzzer that unzip was vulnerable to a - -heap overflow and to a denial of service with specially crafted - -password-protected ZIP archives. +ÐÑÑÑаво ÐÑико обнаÑÑжил Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ fuzzer, ÑÑо unzip ÑÑзвим к +пеÑÐµÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ Ð´Ð¸Ð½Ð°Ð¼Ð¸ÑеÑкой памÑÑи и оÑÐºÐ°Ð·Ñ Ð² обÑлÑживании пÑи обÑабоÑке ÑпеÑиалÑно ÑÑоÑмиÑованнÑÑ +ZIP аÑÑ Ð¸Ð²Ð¾Ð², заÑиÑÑннÑÑ Ð¿Ð°Ñолем. - -For the Debian 6 squeeze, these issues haven been fixed in unzip - -6.0-4+deb6u3. +Ð the Debian 6 squeeze ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ Ð² unzip +веÑÑии 6.0-4+deb6u3. # do not modify the following line -BEGIN PGP SIGNATURE- iQIcBAEBCgAGBQJXF2ZkAAoJEF7nbuICFtKlKG8P/jfTmXUASZBhcTQ7yXkezXf+ msNuSYg1kiYwk1Tlqrzq4aIYtNwh+qtpN21bOXWAutuJXrudOypiEDYIknGKOneg flS/yXY85p8EuFiAQZ9tco4B6g9/ovJj6zCIW/InwpAfW3Qh2gtIttcRRpbJT7Uw V6nyFb4JR0T5mxLZScWsRIR1QF/rv+97hn5kTI4OjCy2WQvOvQBIi/UrZfatUcYx IYVELsIahamRiPBOWc1YrPkVwASC4spg8KqaRJs4ou1C8Iu4j+Pa8Esz6miuuSaX rOVbjSQUWUoNzH5PRManHtO925cDbqC2gGlxY0zHnYLsbPU/E/io8wyQnORxgNRz LJADDt27AL5Sx/dENcI++EJuuLyXwMuR4c625LSYz+yco1bD9UfE5rCM0H9pMe5R NMnSMV/QcZnEE6fZfkZlppPk1bP24BYe5irKdzpdebyZbvS4VQRngVfxpx3QgqWf LaIc1I9aQ/JMXC2GTFWuKu8OIzCuLDd5C1djp6VqEjyg1alptbDMoJbKPliacRbh YH13xS4eo3R5lLqPf1iBA+pZEh06knpdY4hM1roWVF6K2mIZSbjAiFyf8Z5Z/Cmf lWvga5zHOz4odD9Kng7JM6CPnHxoo+V6p1byftu5tn7MmM93vUiQ9Vj//nzURFeA KlmbwHBz0foiMOIXPagY =hIbk
Re: Оповещения при смене заголовков окна
On Wed, 20 Apr 2016 10:51:26 +0300 Ильяwrote: > Хочу визуальные оповещения для web skype, а т.к. > никаких программных интерфейсов к нему не нашел, то сделал > скрипт: > > if ( wmctrl -l | grep ') Skype') ; then > gpio write 0 1 # led on > else > gpio write 0 0 # led off > fi > > и cron задание: > > */1 * * * *userDISPLAY=:0.0 /home/user/bak/skype.sh > >> /dev/null > > Такой костыль работает, но хотелось бы узнать существуют ли > другие варианты решения. > > Чем можно заменить крон и wmctrl ? Хотелось бы запускать > скрипт по событию (event) > > Среда: Raspbian GNU/Linux 8.0 (jessie), lxde > Возможно не в тему, но есть плагин skypeweb для pidgin, а заодно всего, что на libpurple. https://github.com/EionRobb/skype4pidgin/tree/master/skypeweb Можно пересобрать пакет отсюда: http://www.tataranovich.com/debian/pool/jessie/main/p/pidgin-skypeweb/ -- WBR, Andrey Tataranovich
Оповещения при смене заголовков окна
Хочу визуальные оповещения для web skype, а т.к. никаких программных интерфейсов к нему не нашел, то сделал скрипт: if ( wmctrl -l | grep ') Skype') ; then gpio write 0 1 # led on else gpio write 0 0 # led off fi и cron задание: */1 * * * *userDISPLAY=:0.0 /home/user/bak/skype.sh >> /dev/null Такой костыль работает, но хотелось бы узнать существуют ли другие варианты решения. Чем можно заменить крон и wmctrl ? Хотелось бы запускать скрипт по событию (event) Среда: Raspbian GNU/Linux 8.0 (jessie), lxde
Re: DDTP
Коллеги, приветствую всех. Не могу войти по логину moonray. Где сбросить пароль тоже не вижу. Поможите? Sergey Rogozha On 15 Apr 2016 19:02, "Sergey Alyoshin"wrote: > Здравствуйте > > Наблюдаю некоторое затишье в рецензировании переводов описаний пакетов > Debian. > Нужно больше активных рецензентов (и переводчиков). > > http://ddtp.debian.net/ddtss/index.cgi/ru >
Re: [DONE] wml://security/2015/dla-{311,327,363,206,369,289}.wml
19.04.2016 23:30, Vladimir Zhbanov пишет: > On Tue, Apr 19, 2016 at 12:33:50PM +0500, Lev Lamberov wrote: >> +отключает директиву ..raw, что позволяет удалённым злоумышленника добавлять > злоумышленника_м_ > >> +с помощью векторов, связанных с высокой и шириной окна. > высо_т_ой Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: [DONE] wml://security/2015/dla-{374,147,172,258}.wml
19.04.2016 23:18, Vladimir Zhbanov пишет: > On Tue, Apr 19, 2016 at 12:42:46PM +0500, Lev Lamberov wrote: >> +для динамичных веб-приложений, неправильно выполняет очистку опции > динамических Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: [DONE] wml://{security/2016/dla-400.wml}
19.04.2016 22:30, Vladimir Zhbanov пишет: > On Mon, Apr 18, 2016 at 12:20:02PM +0500, Lev Lamberov wrote: >> - -The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other >> - -products, uses nondeterministic CBC padding, which makes it easier >> - -for man-in-the-middle attackers to obtain cleartext data via a >> - -padding-oracle attack, aka the POODLE issue. >> +Протокол SSL 3.0, используемый в OpenSSL в 1.0.1i и других >> +продуктах, использует недетерминированное добавление битов заполнителя, >> что упрощает >> +злоумышленника, выполняющим атаки по принципу человек-в-середине, >> получать данные в виде открытого текста с помощью >> +атаки на оракул заполнителя, что также известно как проблема >> POODLE. > думаю, здесь будет более похоже на правду "с помощью атаки типа > «предсказание заполнением»" Тут не «предсказание заполнением», поскольку заполнение производится шифрователем, то есть в данном случае не на стороне злоумышленника. В Poodle злоумышленник от лица клиента отправляет данные на сервер и получает ответ, при накоплении данных (после нескольких запросов) можно выполнить расшифровку из-за того, что заполнение (добавление, например, нолей для того, чтобы сообщение имело строго определённую длину) выполняется предсказуемым образом. Поэтому исправил на "с помощью атаки по предсказанию заполнения". signature.asc Description: OpenPGP digital signature