[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Fwd: Re: DSA-1615]



'tschldigung, sollte eigentlich an die Liste gehen!!

-------- Original-Nachricht --------
Betreff: Re: DSA-1615
Datum: Tue, 28 Oct 2008 19:58:44 +0100
Von: Gerrit Vollmer <gerrit.vollmer@web.de>
An: Helge Kreutzmann <debian@helgefjell.de>
Referenzen: <[🔎] 490619A2.5000804@web.de> <[🔎] 20081027205310.GA9020@ipxXXXXX>

Hallo Helge,

tut mir leid, daß da soviel zu verbessern war... Ich hatte das schon
fertig und beim Umwandeln in iso8559 habe ich es aus Versehen
gelöscht... (blöde history Funktion... ;-) ) und dann alles nochmal
gemacht...

Helge Kreutzmann schrieb:
> Hallo Gerrit,
> erst mal Danke für die Übersetzung!
> 
> On Mon, Oct 27, 2008 at 08:42:26PM +0100, Gerrit Vollmer wrote:
>> Hallo zusammen!
>>
>> Hab hier mal DSA-1615. Ab und zu bin ich mir nicht sicher, in wie fern
>> es sich um feste Begriffe handelt, wie zB bei "fastload file" o.ä...
>> Naja, schaut mal drüber...
> 
>> <define-tag description>Verschiedene Verwundbarkeiten</define-tag>
>> <define-tag moreinfo>
>> <p>Es wurden verschiedene Verwundbarkeiten in Xulrunner, einer Laufzeitumgebung
>> für XUL-Anwendungen entdeckt, welche aus der Ferne ausgenutzt werden können.
> 
> s/ entdeckt,/, entdeckt/
> 
>> Das <q>Common Vulnerabilities and Exposures</q> Projekt hat folgende Probleme
>> indentifiziert:</p>
>>
>> <ul>
>> 	
>> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2785";>CVE-2008-2785</a>
>> 	
>> 	<p>Es wurde festgestellt, dass die fehlende Überprüfung von Schranken
>> 	eines Referenz-Zählers in CSS Objekten zur Ausführung beliebigen Codes
> 
> s/CSS Objekten/CSS-Objekten/
> 
>> 	führen kann.</p></li>
>>
>> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2798";>CVE-2008-2798</a>
>> 	
>> 	<p>Devon Hubbard, Jesse Ruderman und Martijn Wargers haben Abstürze der
>> 	der Layout-Engine entdeckt, die zur Ausführung beliebigen Codes führen
> 
> s/der Layout-Engine/Layout-Engine/
> 
>> 	können.</p></li>
> 
> s/können/könnten/
> 
>> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2799";>CVE-2008-2799</a>
>> 	
>> 	<p>Igor Bukanov, Jesse Ruderman und Gary Kwong haben Abstürze in der
>> 	Javascript Engine entdeckt, die zur Ausführung beliebigen Codes
> 
> s/Javascript Engine/Javascript-Engine/
> 
>> 	führen können.</p></li>
> 
> s/können/könnten/
> 
>> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2800";>CVE-2008-2800</a>
>> 	
>> 	<p><q>moz_bug_r_a4</q> hat verschiedene Verwundbarkeiten durch Cross-Scripting
> 
> Hier ist dir was untergegangen:
> s/Cross-Scripting/Site-übergreifendes Skripting/
> 
> Und ich finde »several« ist eher »mehrere«, nicht aber zwingend auch
> »verschiedene«.
> 
>> 	entdeckt.</p>
>>
>> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2801";>CVE-2008-2801</a>
>> 	
>> 	<p>Collin Jackson und Adam Barth haben entdeckt, dass Javascript Code
> 
> Ist es nicht JavaScript (auch im Original)?
> 
>> 	im Kontext signierter JAR-Archive ausgeführt werden kann.</p></li>
>>
>> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2802";>CVE-2008-2802</a>
>> 	
>> 	<p><q>moz_bug_r_a4</q> hat festgestellt, dass XUL-Dokumente durch den
>> 	Zugriff auf die vorkompilierte <q>fastload</q> Datei, erweiterte
> 
> s/<q>fastload</q> Datei/<q>fastload</q>-Datei/
> 
>> 	Berechtigungen erhalten kann.</p></li>
>>
>> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2803";>CVE-2008-2803</a>
>> 	
>> 	<p><q>moz_bug_r_a4</q> hat festgestellt, dass die fehlende Bereinigung
>> 	der Eingabe in der mozIJSSubScriptLoader.loadSubScript() Funktion
> 
> s/() Funktion/()-Funktion/
Die Sache mit den Bindestrichen muß ich mir merken.....
> 
>> 	zur Ausführeung beliebigen Codes führen kann. Iceweasel selbst trifft
> 
> s/Ausführeung/Ausführung/  
> 
>> 	dies nicht, allerdings einige der Addons.</p></li>
> 
> Mmmh, wären das nicht »Erweiterungen« im Deutschen?
Gebe ich Dir Recht, in mancher Fachzeitschrift habe da aber auch schon
im Deutschen "Addon" gelesen, weswegen ich gar nicht auf die Idee
gekommen bin, das zu übersetzen. Ist aber definitiv schöner.
> 
>> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2805";>CVE-2008-2805</a>
>> 	
>> 	<p>Claudio Santambrogio hat festgestellt, dass bösartigen Webseiten
> 
> Achtung Site ist nicht Seite!!
> 
> s/Webseiten/Websites/
> 
>> 	durch die fehlende Überprüfung beim Einlesen von DOM, ermöglicht wird,
>> 	den Browser dazu zu bringen, lokale Dateien auf den Server hoch zu
> 
> s/bringen/zwingen/
Bei "zwingen" hatte ich so ein Bild im Kopf, daß da ein böses Skript den
Browser haut und so zwingt, etwas schlimmes zu tun - da habe ich es
etwas weniger bildlich und "harmloser" ausdrücken wollen ;-)
> 
>> 	laden, was den Zugriff auf sensible Daten ermöglichen kann.</p></li>
> 
> Das »sensibel« sehe ich im Original nicht?
> 
>> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2807";>CVE-2008-2807</a>
>> 	
>> 	<p>Daniel Glazman hat festgestellt, dass ein Programmierfehler im Code
>> 	zum Einlesen von .properties Dateien zur Freigabe von Speicher an
> 
> s/.properties Dateien/.properties-Dateien/
> 
> ggf. s/Speicher/Hauptspeicher/
> 
>> 	Addons führen kann. Dies kann den Zugriff auf sensible Daten
> 
> s.o. Addon und sensibel
> 
>> 	ermöglichen.</p></li>
>>
>> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2808";>CVE-2008-2808</a>
>> 	
>> 	<p>Masahiro Yamada hat festgestellt, dass Datei-URLs beim Auflisten
>> 	von Verzeichnisinhalten nur unzureichend auskommentiert waren.</p></li>
> 
> Bist Du hier sicher? escape == auskommentieren???
Ne, war ich nicht, s. meine andere Mail...
> 
>> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2809";>CVE-2008-2809</a>
>> 	
>> 	<p>John G. Myers, Frank Benkstein und Nils Toedtmann haben
>> 	festgestellt, dass alternative Bezeichnungen in selbstsignierten
>> 	Zertifikaten nur unzureichend behandelt wurden, was zur
>> 	manipulation von gesicherten Verbindungen führen kann.</p></li>
> 
> Nein, ich glaube Manipulation ist nicht das richtige, da nicht die
> Verbindung manipuliert wird, sondern eine falsche vorgegeben wird (so
> verstehe ich das englische Original zumindest).
Hm, in dem Fall würde ich bei meiner Version bleiben (OK, großes M bei
Manipulation), aber im Prinzip wird doch die Verbindung manipuliert, in
dem ein falsche vorgekaukelt wird.
> 
>> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2811";>CVE-2008-2811</a>
>> 	
>> 	<p>Greg McManus hat einen Absturz im <q>block reflow</q> Code entdeckt,
> 
> s/reflow</q> Code/reflow</q>-Code/
> 
>> 	der zur Ausführung beliebigen Codes führen kann.</p></li>
>>
>> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2933";>CVE-2008-2933</a>
>> 	
>> 	<p>Billy Rios hat festgestellt, dass die Übergabe eines <q>pipe</q>
>> 	Symbols (<q>|</q>) in der URL an Iceweasel dazu führen kann, dass
>> 	Chrom umfassendere Rechte erhält.</p></li>
> 
> Du hast bewusst nicht die Übersetzung von wiki.debian.org/Wortliste
> für »privilege escalation« verwandt?
Äh, nein... Hatte nicht nachgeschaut, weil ich dachte, eine ähnliche
Stelle in einer anderen DSA gesehen zu haben - habe mir dazu das
englische Original aber nicht angeschaut...
> 
>> </ul>
>>
>> <p>Für die Stable-Distribution (Etch) wurden diese Probleme in der Version
>> 1.8.0.15~pre080614d-0etch1 behoben.</p>
>>
>> <p>Für die Unstable-Distribution (Sid) wurden diese Probleme in der Version
>> 1.9.0.1-1 behoben.</p>
>>
>> <p>Wir empfehlen, dass Sie Ihre xulrunner Pakete aktualisieren.</p>
> 
> s/xulrunner Pakete/xulrunner-Pakete/
> 
>> </define-tag>
>>
>> # do not modify the following line
>> #include "$(ENGLISHDIR)/security/2008/dsa-1615.data"
>> # $Id: dsa-1615.wml,v 1.3 2008-09-13 12:23:16 florian Exp 
>> #use wml::debian::translation-check translation="1.3"
> 
> Viele Grüße
> 
>              Helge
Viele Grüße,
Gerrit


Reply to: