Hallo Gerrit, erst mal Danke für die Übersetzung! On Mon, Oct 27, 2008 at 08:42:26PM +0100, Gerrit Vollmer wrote: > Hallo zusammen! > > Hab hier mal DSA-1615. Ab und zu bin ich mir nicht sicher, in wie fern > es sich um feste Begriffe handelt, wie zB bei "fastload file" o.ä... > Naja, schaut mal drüber... ><define-tag description>Verschiedene Verwundbarkeiten</define-tag> ><define-tag moreinfo> ><p>Es wurden verschiedene Verwundbarkeiten in Xulrunner, einer Laufzeitumgebung >für XUL-Anwendungen entdeckt, welche aus der Ferne ausgenutzt werden können. s/ entdeckt,/, entdeckt/ >Das <q>Common Vulnerabilities and Exposures</q> Projekt hat folgende Probleme >indentifiziert:</p> > ><ul> > ><li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2785">CVE-2008-2785</a> > > <p>Es wurde festgestellt, dass die fehlende Überprüfung von Schranken > eines Referenz-Zählers in CSS Objekten zur Ausführung beliebigen Codes s/CSS Objekten/CSS-Objekten/ > führen kann.</p></li> > ><li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2798">CVE-2008-2798</a> > > <p>Devon Hubbard, Jesse Ruderman und Martijn Wargers haben Abstürze der > der Layout-Engine entdeckt, die zur Ausführung beliebigen Codes führen s/der Layout-Engine/Layout-Engine/ > können.</p></li> s/können/könnten/ ><li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2799">CVE-2008-2799</a> > > <p>Igor Bukanov, Jesse Ruderman und Gary Kwong haben Abstürze in der > Javascript Engine entdeckt, die zur Ausführung beliebigen Codes s/Javascript Engine/Javascript-Engine/ > führen können.</p></li> s/können/könnten/ ><li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2800">CVE-2008-2800</a> > > <p><q>moz_bug_r_a4</q> hat verschiedene Verwundbarkeiten durch Cross-Scripting Hier ist dir was untergegangen: s/Cross-Scripting/Site-übergreifendes Skripting/ Und ich finde »several« ist eher »mehrere«, nicht aber zwingend auch »verschiedene«. > entdeckt.</p> > ><li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2801">CVE-2008-2801</a> > > <p>Collin Jackson und Adam Barth haben entdeckt, dass Javascript Code Ist es nicht JavaScript (auch im Original)? > im Kontext signierter JAR-Archive ausgeführt werden kann.</p></li> > ><li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2802">CVE-2008-2802</a> > > <p><q>moz_bug_r_a4</q> hat festgestellt, dass XUL-Dokumente durch den > Zugriff auf die vorkompilierte <q>fastload</q> Datei, erweiterte s/<q>fastload</q> Datei/<q>fastload</q>-Datei/ > Berechtigungen erhalten kann.</p></li> > ><li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2803">CVE-2008-2803</a> > > <p><q>moz_bug_r_a4</q> hat festgestellt, dass die fehlende Bereinigung > der Eingabe in der mozIJSSubScriptLoader.loadSubScript() Funktion s/() Funktion/()-Funktion/ > zur Ausführeung beliebigen Codes führen kann. Iceweasel selbst trifft s/Ausführeung/Ausführung/ > dies nicht, allerdings einige der Addons.</p></li> Mmmh, wären das nicht »Erweiterungen« im Deutschen? ><li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2805">CVE-2008-2805</a> > > <p>Claudio Santambrogio hat festgestellt, dass bösartigen Webseiten Achtung Site ist nicht Seite!! s/Webseiten/Websites/ > durch die fehlende Überprüfung beim Einlesen von DOM, ermöglicht wird, > den Browser dazu zu bringen, lokale Dateien auf den Server hoch zu s/bringen/zwingen/ > laden, was den Zugriff auf sensible Daten ermöglichen kann.</p></li> Das »sensibel« sehe ich im Original nicht? > ><li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2807">CVE-2008-2807</a> > > <p>Daniel Glazman hat festgestellt, dass ein Programmierfehler im Code > zum Einlesen von .properties Dateien zur Freigabe von Speicher an s/.properties Dateien/.properties-Dateien/ ggf. s/Speicher/Hauptspeicher/ > Addons führen kann. Dies kann den Zugriff auf sensible Daten s.o. Addon und sensibel > ermöglichen.</p></li> > ><li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2808">CVE-2008-2808</a> > > <p>Masahiro Yamada hat festgestellt, dass Datei-URLs beim Auflisten > von Verzeichnisinhalten nur unzureichend auskommentiert waren.</p></li> Bist Du hier sicher? escape == auskommentieren??? ><li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2809">CVE-2008-2809</a> > > <p>John G. Myers, Frank Benkstein und Nils Toedtmann haben > festgestellt, dass alternative Bezeichnungen in selbstsignierten > Zertifikaten nur unzureichend behandelt wurden, was zur > manipulation von gesicherten Verbindungen führen kann.</p></li> Nein, ich glaube Manipulation ist nicht das richtige, da nicht die Verbindung manipuliert wird, sondern eine falsche vorgegeben wird (so verstehe ich das englische Original zumindest). ><li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2811">CVE-2008-2811</a> > > <p>Greg McManus hat einen Absturz im <q>block reflow</q> Code entdeckt, s/reflow</q> Code/reflow</q>-Code/ > der zur Ausführung beliebigen Codes führen kann.</p></li> > ><li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2933">CVE-2008-2933</a> > > <p>Billy Rios hat festgestellt, dass die Übergabe eines <q>pipe</q> > Symbols (<q>|</q>) in der URL an Iceweasel dazu führen kann, dass > Chrom umfassendere Rechte erhält.</p></li> Du hast bewusst nicht die Übersetzung von wiki.debian.org/Wortliste für »privilege escalation« verwandt? ></ul> > ><p>Für die Stable-Distribution (Etch) wurden diese Probleme in der Version >1.8.0.15~pre080614d-0etch1 behoben.</p> > ><p>Für die Unstable-Distribution (Sid) wurden diese Probleme in der Version >1.9.0.1-1 behoben.</p> > ><p>Wir empfehlen, dass Sie Ihre xulrunner Pakete aktualisieren.</p> s/xulrunner Pakete/xulrunner-Pakete/ ></define-tag> > ># do not modify the following line >#include "$(ENGLISHDIR)/security/2008/dsa-1615.data" ># $Id: dsa-1615.wml,v 1.3 2008-09-13 12:23:16 florian Exp >#use wml::debian::translation-check translation="1.3" Viele Grüße Helge -- Dr. Helge Kreutzmann debian@helgefjell.de Dipl.-Phys. http://www.helgefjell.de/debian.php 64bit GNU powered gpg signed mail preferred Help keep free software "libre": http://www.ffii.de/
Attachment:
signature.asc
Description: Digital signature