Re: dsa-1671, dsa-1672
Hallo Jens,
Jens Seidel schrieb:
On Tue, Dec 02, 2008 at 09:59:46PM +0100, Gerrit Vollmer wrote:
Sebastian Kapfer schrieb:
Am Sonntag, den 30.11.2008, 09:57 +0100 schrieb Gerrit Vollmer:
Sooo, hätte hier dsa-1671 und dsa-1672. Bei 1671 gab's ein paar
Fachausdrücke, bei denen ich mir nicht immer sicher war:
"same origin" in Zeilen 21 und 52 meiner Übersetzung: ich habe es mal
mit "selber Ursprung" übersetzt und das Original in Klammern dazu.
ich denke, es geht um die "Same Origin Policy"
http://de.wikipedia.org/wiki/Same_Origin_Policy
Ja, du hast Recht. Danke!
Gibt's dafür eine konsistente Eindeutschung? Wenn nicht, sollten wir
uns eine ausdenken, das Problem liegt nämlich gerade "im Trend". :-)
Danke für den Link! Wenn da im Deutschen Wiki auch "Same Origin Policy"
steht, warum nicht übernehmen und die nicht ganz wörtliche Übersetzung
"Vergleich der Herkunft" in Klammern dahinter? Oder umgekehrt?
Das Ersetzen von same-origin durch "Same Origin Policy" ist gar kein Problem!
Zumindest hat man dann etwas zum Suchen. Sende mir doch einen Patch (auch mit
anderen Dingen die du bestimmt noch lokal rumliegen hast) ...
Habe ich als Patch angefügt. (Hab ihn im Verzeichnis security/2008
erstellt.)
Hab noch dsa-1617 gefunden. Da gab's die Frage nach der Übersetzung von
"DNS cache poisoning". Ich habe mir die Mails nochmal angeschaut und
mich für "bösartige DNS-Cache-Manipulationen" entschieden, mit dem
englischen Original dahinter. Wenn das zu frei ist, bin ich nicht böse,
wenn's noch geändert wird.
PS: Du hast bestimmt schon gemerkt, dass ich so gut wie gar nicht mehr aktiv
bin (keine Zeit). Um so mehr freut es mich, wenn von anderer Seite noch Patches
kommen, auch wenn du wohl selber zurzeit zeitlich sehr eingespannt bist :-)
Jo, gern! Bald wird's auch hoffentlich wieder ruhiger, dann hab ich nur
noch Weihnachtstreß! ;-)
Jens
Viele Grüße,
Gerrit
<define-tag description>Inkompatible Richtlinie</define-tag>
<define-tag moreinfo>
<p>
In DSA-1603-1 hat Debian eine Aktualisierung für den BIND 9 Domain Name Server
herausgegeben, welche einen zufälligen UDP-Quellport einführte, um die
Gefahr von bösartigen DNS-Cache-Manipulationen
(<span lang="en">DNS cache poisoning</span>)
(vom <q>Common Vulnerabilities and Exposures</q>-Projekt als
<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447">CVE-2008-1447</a>
identifiziert) abzuschwächen.
Die Ausbesserung - obwohl korrekt - war nicht kompatibel mit der Version
der SELinux Referenz-Richtlinie, die mit Debian Etch ausgeliefert wurde und die
es einem laufenden Prozess in der named_t-Domäne nicht erlaubte, Sockets
an UDP-Ports zu binden, die nicht dem Standard 'Domain' Port (53) entsprachen.
Diese Inkompatibilität betrifft sowohl die Richtlinien-Pakete für 'targeted',
als auch für 'strict', welche mit dieser Version von refpolicy geliefert
werden.
</p>
<p>
Diese Aktualisierung der refpolicy-Pakete erlaubt es named_t-Prozessen
an einen beliebigen UDP-Port zu binden.
Sobald installiert, wird das aktualisierte Paket versuchen, das Modul für
die Bind-Richtlinie zu aktualisieren, wenn es zuvor geladen und die
vorhergehende Version von refpolicy 0.0.20061018-5 oder kleiner war.
</p>
<p>
Da die Debian refpolicy-Pakete bisher nicht dafür ausgelegt sind, die
Richtlinien-Module zu aktualisieren und weil Debian Systeme, auf denen
SELinux aktiviert ist, oft bis zu einem gewissen Grad Site-spezifische
Anpassungen der Richtlinien aufweisen, ist es schwierig zu garantieren,
dass die neue Bind-Richtlinie erfolgreich aktualisiert werden kann.
Deshalb bricht die Paket-Aktualisierung nicht ab, wenn die Aktualisierung
der Bind-Richtlinie fehlschlägt.
Das neue Richtlinien-Modul befindet sich nach der Installation hier:
/usr/share/selinux/refpolicy-targeted/bind.pp.
Administratoren, die die neue Bind-Dienst-Richtlinie verwenden möchten,
können Inkompatibilitäten der Richtlinien abgleichen und die Aktualisierung
anschließend manuell vornehmen.
Eine detailliertere Diskussion zu den Korrekturmaßnahmen kann man unter
<a href="http://wiki.debian.org/SELinux/Issues/BindPortRandomization">http://wiki.debian.org/SELinux/Issues/BindPortRandomization</a>
finden.
</p>
<p>
Für die Stable-Distribution (Etch) wurde dieses Problem in Version
0.0.20061018-5.1+etch1 behoben.
</p>
<p>
Die Unstable-Distribution (Sid) ist nicht betroffen, da folgende
refpolicy-Versionen eine analoge Änderung erfuhren.
</p>
<p>
Wir empfehlen Ihnen, Ihre refpolicy-Pakete zu aktualisieren.
</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1617.data"
# $Id: dsa-1617.wml,v 1.1 2008-07-25 21:40:24 spaillar Exp $
#use wml::debian::translation-check translation="1.1"
? 1671.patch
Index: dsa-1671.wml
===================================================================
RCS file: /cvs/webwml/webwml/german/security/2008/dsa-1671.wml,v
retrieving revision 1.4
diff -u -r1.4 dsa-1671.wml
--- dsa-1671.wml 3 Dec 2008 08:26:41 -0000 1.4
+++ dsa-1671.wml 3 Dec 2008 19:30:31 -0000
@@ -18,8 +18,8 @@
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5012">CVE-2008-5012</a>
<p>Georgi Guninski, Michal Zalewski und Chris Evan entdeckten, dass das
- Canvas-Element dazu verwendet werden kann, um Einschränkungen des selben
- Ursprungs (<span lang="en">same-origin</span>) zu umgehen.</p></li>
+ Canvas-Element dazu verwendet werden kann, um Einschränkungen der
+ <q>Same Origin Policy</q> zu umgehen.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5013">CVE-2008-5013</a>
@@ -49,9 +49,9 @@
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5022">CVE-2008-5022</a>
- <p><q>moz_bug_r_a4</q> entdeckte, dass die Überprüfung des selben Ursprungs
- (<span lang="en">same-origin</span>) in
- <q>nsXMLHttpRequest::NotifyEventListeners()</q> umgangen werden kann.</p></li>
+ <p><q>moz_bug_r_a4</q> entdeckte, dass die Überprüfung der <q>Same Origin
+ Policy</q> in <q>nsXMLHttpRequest::NotifyEventListeners()</q>
+ umgangen werden kann.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5023">CVE-2008-5023</a>
Reply to: