Re: DSA-Übersetzungen
Hallo zusammen,
ich habe noch ein bisschen etwas übersetzt (siehe Anhang). Wenn ich nichts
übersehen habe, sind zur Zeit folgende DSAs übersetzt, aber noch nicht
committed:
1629
1630
1656
1657
1658
1659
1660
Schönen Abend noch,
Volker
<define-tag description>Programmierfehler</define-tag>
<define-tag moreinfo>
<p>Sebastian Krahmer entdeckte, dass Postfix, ein Programm zur Verteilung
von Emails, die Besitzverhältnisse von Postfächern nicht korrekt überprüft.
Bei bestimmten Konfigurationen ermöglicht dies, als Root Daten an beliebige
Dateien anzuhängen.</p>
<p>Nur bestimmte Konfigurationen sind betroffen; die Debian-Standardinstallation
ist nicht betroffen. Nur wenn die folgenden Kriterien erfüllt sind, ist
die Konfiguration verwundbar:</p>
<ul>
<li> Die Einstellung für die Email-Auslieferung ist <q>mailbox</q>, mit Postfix
als lokalem(8) oder virtuellem(8) Auslieferungsagenten.</li>
<li> Der Benutzer hat eine Schreibberechtigung für das Mail-Spool-Verzeichnis
(/var/spool/mail).</li>
<li> Der Benutzer kann Hardlinks erstellen, die auf Symlinks verweisen,
die sich in anderen Verzeichnissen befinden und dem Root gehören.</li>
</ul>
<p>Bitte ziehen Sie für detaillierte Informationen zur Behandlung dieses
Fehlers die <a href="http://article.gmane.org/gmane.mail.postfix.announce/110">Ankündigung</a>
des Originalautors zu rate.</p>
<p>Für die Stable-Distribution (Etch) wurde dieses Problem in der
Version 2.3.8-2+etch1 behoben.</p>
<p>Für die Testing-Distribution (Lenny) wurde dieses Problem in der
Version 2.5.2-2lenny1 behoben.</p>
<p>Für die Unstable-Distribution (Sid) wurde dieses Problem in der
Version 2.5.4-1 behoben.</p>
<p>Wir empfehlen Ihnen, Ihr postfix-Paket zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1629.data"
# $Id: dsa-1629.wml,v 1.2 2008-08-20 10:27:33 thijs Exp $
#use wml::debian::translation-check translation="1.2"
<define-tag description>Diensteverweigerung / Informationsenthüllung</define-tag>
<define-tag moreinfo>
<p>Im Linux Kernel wurden mehrere Verwundbarkeiten entdeckt, die zu einer
Diensteverweigerung (<q>denial of service</q>) oder zur Ausführung
beliebigen Codes führen können. Das <q>Common
Vulnerabilities and Exposures</q>-Project identifiziert folgende Probleme:</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6282">CVE-2007-6282</a>
<p>Dirk Nehring entdeckte eine Verwundbarkeit im IPsec-Code, die es entfernten
Benutzern ermöglicht, eine Diensteverweigerung auszulösen, indem sie
ein speziell angefertigtes ESP-Paket senden.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0598">CVE-2008-0598</a>
<p>Tavis Ormandy entdeckte ein Verwundbarkeit, die es lokalen Benutzern
erlaubt, auf nicht initialisierten Kernelspeicher zuzugreifen, was
möglicherweise zur Enthüllung sensibler Informationen führt. Dieses
Problem besteht nur für amd64-Kernel-Images.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2729">CVE-2008-2729</a>
<p>Andi Kleen entdeckte, dass nicht initialisierter Kernelspeicher in
Ausnahmefällen in den Userspace übertragen werden kann. Dadurch kann
es lokalen Benutzern möglich sein, Zugriff auf sensible Daten zu erlangen.
Nur die Debian-Kernel für amd64 sind betroffen.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2812">CVE-2008-2812</a>
<p>Alan Cox entdeckte ein Problem in verschiedenen tty-Treibern, das es
lokalen Benutzern erlaubt, eine Diensteverweigerung (NULL-Zeiger-Dereferenz)
auszulösen und möglicherweise umfassendere Rechte zu erlangen.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2826">CVE-2008-2826</a>
<p>Gabriel Campana entdeckte einen Integer-Überlauf im sctp-Code, der
von lokalen Benutzern ausgenutzt werden kann, um eine Diensteverweigerung
auszulösen.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2931">CVE-2008-2931</a>
<p>Miklos Szeredi berichtete von einer fehlenden Privilegienüberprüfung
in der Funktion do_change_type(). Dadurch ist es lokalen Benutzern
trotz beschränkter Rechter möglich, die Eigenschaften von Mount-Points
zu verändern.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3272">CVE-2008-3272</a>
<p>Tobias Klein berichtete ein lokal ausnutzbares Datenleck in der
Funktion snd_seq_oss_synth_make_info(), welches es lokalen Benutzern
ermöglichen könnte, Zugang zu sensiblen Informationen zu erlangen.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3275">CVE-2008-3275</a>
<p>Zoltan Sogor entdeckte einen Kodierfehler im VFS, der es lokalen
Benutzern ermöglicht, ein Leck im Kernelspeicher auszunutzen, um eine
Diensteverweigerung auszulösen.</p></li>
</ul>
<p>Für die Stable-Distribution (Etch) wurden diese Probleme in der
Version 2.6.18.dfsg.1-22etch2 behoben.</p>
<p>Wir empfehlen, dass Sie die Pakete linux-2.6, fai-kernels und user-mode-linux
aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1630.data"
# $Id: dsa-1630.wml,v 1.3 2008-08-27 19:30:51 spaillar Exp $
#use wml::debian::translation-check translation="1.3"
<define-tag description>Null-Zeiger-Derefenz, Ressourcenerschöpfung</define-tag>
<define-tag moreinfo>
<p>Mehrere Diensteverweigerungsverwundbarkeiten (<q>denial of service</q>)
wurden im ClamAV Anti-Virus-Toolkit entdeckt:</p>
<p>Nicht ausreichende Überprüfung auf out-of-memory-Bedingungen führen zu
Null-Zeiger-Dereferenzen
(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3912">CVE-2008-3912</a>).</p>
<p>Nicht korrekte Behandlung führt zu Speicherlecks
(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3913">CVE-2008-3913</a>)
und Lecks in Dateideskriptoren
(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3914">CVE-2008-3914</a>).</p>
<p>Für die Stable-Distribution (Etch) wurden diese Probleme in Version
0.90.1dfsg-4etch15 behoben.</p>
<p>Für die Unstable-Distribution (Sid) und die Testing-Distribution
(Lenny) wurden diese Probleme in Version 0.94.dfsg-1 behoben.</p>
<p>Wir empfehlen Ihnen, Ihr clamav-Paket zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1660.data"
# $Id: dsa-1660.wml,v 1.1 2008-10-26 14:41:36 spaillar Exp $
#use wml::debian::translation-check translation="1.1"
Reply to: