Re: [DONE] wml://{security/2016/dla-400.wml}
On Mon, Apr 18, 2016 at 12:20:02PM +0500, Lev Lamberov wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA512
>
> - --- english/security/2016/dla-400.wml 2016-04-08 01:54:44.000000000 +0500
> +++ russian/security/2016/dla-400.wml 2016-04-18 12:19:50.182760075 +0500
> @@ -1,53 +1,54 @@
> - -<define-tag description>LTS security update</define-tag>
> +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov"
> +<define-tag description>обновление безопасности LTS</define-tag>
> <define-tag moreinfo>
> - -<p>This update fixes certain known vulnerabilities in pound in squeeze-lts by
> - -backporting the version in wheezy.</p>
> +<p>Данное обновление исправляет некоторые известные уязвимости в pound в выпуске squeeze-lts
> +путём обратного переноса версии из выпуска wheezy.</p>
>
> <ul>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2009-3555">CVE-2009-3555</a>
>
> - - <p>The TLS protocol, and the SSL protocol 3.0 and possibly earlier, as
> - - used in Microsoft Internet Information Services (IIS) 7.0, mod_ssl
> - - in the Apache HTTP Server 2.2.14 and earlier, OpenSSL before 0.9.8l,
> - - GnuTLS 2.8.5 and earlier, Mozilla Network Security Services (NSS)
> - - 3.12.4 and earlier, multiple Cisco products, and other products,
> - - does not properly associate renegotiation handshakes with an
> - - existing connection, which allows man-in-the-middle attackers to
> - - insert data into HTTPS sessions, and possibly other types of
> - - sessions protected by TLS or SSL, by sending an unauthenticated
> - - request that is processed retroactively by a server in a
> - - post-renegotiation context, related to a <q>plaintext injection</q>
> - - attack, aka the <q>Project Mogul</q> issue.</p></li>
> + <p>Протокол TLS, протокол SSL 3.0 и возможно более ранних версий, используемые
> + в Microsoft Internet Information Services (IIS) 7.0, mod_ssl
> + в HTTP-сервере Apache 2.2.14 и более ранних версиях, OpenSSL до версии 0.9.8l,
> + GnuTLS 2.8.5 и более ранних версиях, Mozilla Network Security Services (NSS)
> + 3.12.4 и более ранних версиях, многочисленных продуктах Cisco, а также других продуктах,
> + неправильно ассоциируют рукопожатия повторных согласований для
> + существующих соединений, что позволяет злоумышленникам, выполняющим атаки по принципу
> + человек-в-середине, вставлять данные в сессии HTTPS, а, вероятно, и в другие
> + виды сессий, защищённых с помощью TLS или SSL, путём отправки неаутентифицированного
> + запроса, который обрабатывается сервером задним числом в
> + контексте, созданном после повторного согласования, что связано с атакой <q>инъекция
> + открытого текста</q>, известной также как проблема <q>Project Mogul</q>.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3389">CVE-2011-3389</a>
>
> - - <p>The SSL protocol, as used in certain configurations in Microsoft
> - - Windows and Microsoft Internet Explorer, Mozilla Firefox, Google
> - - Chrome, Opera, and other products, encrypts data by using CBC mode
> - - with chained initialization vectors, which allows man-in-the-middle
> - - attackers to obtain plaintext HTTP headers via a blockwise
> - - chosen-boundary attack (BCBA) on an HTTPS session, in conjunction
> - - with JavaScript code that uses (1) the HTML5 WebSocket API, (2) the
> - - Java URLConnection API, or (3) the Silverlight WebClient API, aka a
> - - <q>BEAST</q> attack.</p></li>
> + <p>Протокол SSL, используемый при некоторых настройках в Microsoft
> + Windows и Microsoft Internet Explorer, Mozilla Firefox, Google
> + Chrome, Opera и других продуктах, шифрует данные, используя режим CBC
> + с сцепленными векторами инициализации, что позволяет злоумышленникам, выполняющим атаки
> + по принципу человек-в-середине, получать заголовки HTTP в виде открытого текста с помощью атаки
> + по блокам (BCBA) на сессию HTTPS вместе с
> + кодом на JavaScript, использующим (1) HTML5 WebSocket API, (2) Java
> + URLConnection API или (3) Silverlight WebClient API, что известно как
> + атака <q>BEAST</q>.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4929">CVE-2012-4929</a>
>
> - - <p>The TLS protocol 1.2 and earlier, as used in Mozilla Firefox, Google
> - - Chrome, Qt, and other products, can encrypt compressed data without
> - - properly obfuscating the length of the unencrypted data, which
> - - allows man-in-the-middle attackers to obtain plaintext HTTP headers
> - - by observing length differences during a series of guesses in which
> - - a string in an HTTP request potentially matches an unknown string in
> - - an HTTP header, aka a <q>CRIME</q> attack.</p></li>
> + <p>Протокол TLS 1.2 или более ранних версий, используемый в Mozilla Firefox, Google
> + Chrome, Qt и других продуктах, может зашифровывать сжатые данные без
> + предварительного изменения длины незашифрованных данных, что позволяет злоумышленникам,
> + выполняющим атаки по принципу человек-в-середине, получать заголовки HTTP в виде открытого
> + текста путём сравнения длин данных в ходе проверки серии предположений, в которых
> + строка в запросе HTTP потенциально совпадает с неизвестной строкой в
> + заголовке HTTP, что также известно как атака <q>CRIME</q>.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566">CVE-2014-3566</a>
>
> - - <p>The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other
> - - products, uses nondeterministic CBC padding, which makes it easier
> - - for man-in-the-middle attackers to obtain cleartext data via a
> - - padding-oracle attack, aka the <q>POODLE</q> issue.</p></li>
> + <p>Протокол SSL 3.0, используемый в OpenSSL в 1.0.1i и других
> + продуктах, использует недетерминированное добавление битов заполнителя, что упрощает
> + злоумышленника, выполняющим атаки по принципу человек-в-середине, получать данные в виде открытого текста с помощью
> + атаки на оракул заполнителя, что также известно как проблема <q>POODLE</q>.</p></li>
думаю, здесь будет более похоже на правду "с помощью атаки типа
«предсказание заполнением»"
Reply to: