DSAs
Hallo,
hier endlich mal wieder einige DSAs. Ich habe mich mit 1721 und 1722
ziemlich schwer getan, es wäre gut, wenn mal jemand mit etwas mehr
technischem Verstand einen Blick drauf werfen könnte.
Es wirft sich für mich die Frage auf, ob Übersetzungen von jemandem
wie mir, der manchmal nicht genau weiß, worum es geht, überhaupt
nützlich sind oder eher verwirren. Vor allem, weil ich das Gefühl
habe, dass die Originale manchmal nicht so richtig präzise sind. Wenn
ich dann noch nicht richtig präzise Übersätze gibt es wohl hin und
wieder einen Stille-Post-Effekt.
Man könnte sich sowieso fragen, wie wichtig es ist, die DSAs überhaupt
zu übersetzen. Gibt es jemanden, der mit den DSAs im Prinzip etwas
anfangen kann, der aber kein English versteht? Vielleicht sollte ich
lieber die Zeit, die ich dafür aufwenden kann, damit verbringen,
etwas zu übersetzen, was auch der "Normalbevölkerung" nutzt.
Ich habe auch eine Anmerkung bezüglich copyadvisatory.pl. Es entstehen
häufiger Sätze wie
"Für die Unstable-Distribution (Sid) wurden diese Probleme in Version
behoben version 4.2.6-1."
Ich habe dann immer das Gefühl, dass das Ändern dieser Sätze bei mir
länger dauert, als alles selber zu tippen. Das ist teilweise ein
Wortstellungsproblem, teilweise sind in der Übersetzung aber auch
Begriffe enthalten, die im englischen Text nicht stehen (Version):
s/(?:,)?( )?these problems have been fixed in/$1wurden diese Probleme
in Version behoben/;
Wer betreut das Skript momentan? Im Skript selber ist bei 2006
Schluss: "Written in 2000-2006 by Peter Karlsson". Vielleicht könnte
man da ein oder zwei Dinge ändern.
Viele Grüße,
Volker
<define-tag description>mehrere Verwundbarkeiten</define-tag>
<define-tag moreinfo>
<p>In TYPO3, einem System für die Betreuung von Web-Inhalten, wurden
mehrere entfernt auszunutzende Verwundbarkeiten entdeckt.</p>
<p>Marcus Krause und Michael Stucki vom TYPO3 Sicherheitsteam entdeckten,
dass der jumpUrl-Mechanismus geheime Streuwerte (<q>hashes</q>) enthüllt,
was es entfernten Angreifern ermöglicht, die Zugangskontrolle zu umgehen,
indem sie den korrekten Wert als URL-Parameter vorlegen. Dies ermöglicht
es, den Inhalt beliebiger Dateien zu lesen.</p>
<p>Jelmer de Hen und Dmitry Dulepov entdeckten mehrere Verwundbarkeiten
für Site-übergreifendes Skripting im Backend der Benutzerschnittstelle,
die es entfernten Angreifern erlaubt, beliebige Webskripte oder HTML-Code
einzuschleusen.</p>
<p>Da es sehr wahrscheinlich ist, dass Ihr Chiffrierschlüssel ungeschützt
war, empfehlen wir Ihnen, den Schlüssel mit Hilfe des Installationsprogrammes
zu ändern, nachdem sie das Update installiert haben.</p>
<p>Für die Stable-Distribution (Etch) wurden diese Probleme in Version
4.0.2+debian-8 behoben.</p>
<p>Für die Testing-Distribution (Lenny) wurden diese Probleme in Version
4.2.5-1+lenny1 behoben.</p>
<p>Für die Unstable-Distribution (Sid) wurden diese Probleme in Version
4.2.6-1 behoben.</p>
<p>Wir empfehlen Ihnen, Ihr typo3-Paket zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1720.data"
# $Id: dsa-1720.wml,v 1.1 2009-02-10 18:58:46 joey Exp $
#use wml::debian::translation-check translation="1.1"
<define-tag description>mehrere Verwundbarkeiten</define-tag>
<define-tag moreinfo>
<p>Mehrere lokale Verwundbarkeiten wurden im PAM-Modul für MIT Kerberos
entdeckt. Das <q>Common Vulnerabilities and Exposures</q>-Projekt
identifiziert folgende Probleme:</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0360">CVE-2009-0360</a>
<p>Russ Allbery entdeckte, dass das Kerberos-PAM-Modul Konfigurationseinstellungen
aus Umgebungsvariablen verwendet, wenn es aus einem setuid-Kontext gestartet wurde.
Wenn ein Angreifer mit Hilfe der PAM-Authentifikation ein setuid-Programm
mit Kerberos-Einstellungen versieht, die es unter seine Kontrolle bringen,
kann das zu lokaler Privilegienerweiterung führen.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0361">CVE-2009-0361</a>
<p>Derek Chan entdeckte, dass das Kerberos-PAM-Modul es erlaubt,
Benutzer-Credentials zu reinitialisieren, wenn es aus einem
setuid-Kontext gestartet wurde. Das kann zu einer lokalen Privilegienerweiterung
oder lokaler Diensteverweigerung (<q>denial of service</q>) durch
Überschreiben der Credential-Cache-Datei führen.</p></li>
</ul>
<p>Für die Stable-Distribution (Etch) wurden diese Probleme in Version
2.6-1etch1 behoben.</p>
<p>Für die kommende Stable-Distribution (Lenny) wurden diese Probleme in
Version 3.11-4 behoben.</p>
<p>Für die Unstable-Distribution (Sid) werden diese Probleme bald behoben
sein.</p>
<p>Wir empfehlen Ihnen, Ihr libpam-krb5-Paket zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1721.data"
# $Id: dsa-1721.wml,v 1.1 2009-02-12 23:21:00 spaillar Exp $
#use wml::debian::translation-check translation="1.1"
<define-tag description>mehrere Verwundbarkeiten</define-tag>
<define-tag moreinfo>
<p>In Moodle, einem Online-Betreuungssystem für Kurse, wurden mehrere
Verwundbarkeiten entdeckt. Das <q>Common Vulnerabilities and Exposures</q>-Projekt
identifiziert die folgenden Probleme:</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0500">CVE-2009-0500</a>
<p>Informationen, die in den <q>log tables</q> gespeichert ist, wurde
nicht angemessen bereinigt, wodurch Angreifer beliebigen Code einschleusen
konnten.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0502">CVE-2009-0502</a>
<p>Gewisse Eingaben über die Funktion "Login as" wurde nicht angemessen
bereinigt, was das Einschleusen beliebiger Webskripte erlaubte.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5153">CVE-2008-5153</a>
<p>Dmitry E. Oboukhov entdeckte, dass das SpellCheker-Plugin auf unsichere
Art und Weise Temporärdateien erstellte, was Diensteverweigerungsangriffe
(<q>denial of service</q>) erlaubte. Das Plugin wird durch dieses
Update entfernt, da es nicht genutzt wird.</p></li>
</ul>
<p>Für die Stable-Distribution (Etch) wurden diese Probleme in Version
1.6.3-2+etch2 behoben.</p>
<p>Für die Testing-Distribution (Lenny) wurden diese Probleme in Version
1.8.2.dfsg-3+lenny1 behoben.</p>
<p>Für die Unstable-Distribution (Sid) wurden diese Probleme in Version
1.8.2.dfsg-4 behoben.</p>
<p>Wir empfehlen Ihnen, Ihr moodle-Paket zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1724.data"
# $Id: dsa-1724.wml,v 1.1 2009-02-13 20:39:45 joey Exp $
#use wml::debian::translation-check translation="1.1"
<define-tag description>Programmierfehler</define-tag>
<define-tag moreinfo>
<p>Bas van Schaik entdeckte, dass WebSVN, ein Werkzeug, mit dem
Subversion-Depots über das Internet angesehen werden können, den Zugriff
auf private Depots nicht erfolgreich beschränkt, wodurch entfernte
Angreifer maßgebliche Teile derer Inhalte lesen können.</p>
<p>Die alte Stable-Distribution (Etch) ist nicht von diesem Problem betroffen.</p>
<p>Für die Stable-Distribution (Lenny) wurde dieses Problem in
Version 2.0-4+lenny1 behoben.</p>
<p>Für die Unstable-Distribution (Sid) wurde dieses Problem ebenfalls in
Version 2.0-4+lenny1 behoben.</p>
<p>Wir empfehlen Ihnen, Ihr websvn-Paket zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1725.data"
# $Id: dsa-1725.wml,v 1.1 2009-02-15 16:34:53 spaillar Exp $
#use wml::debian::translation-check translation="1.1"
<define-tag description>Programmierfehler</define-tag>
<define-tag moreinfo>
<p>Derek Chan entdeckte, dass das PAM-Modul für die Heimdal-Kerberos-Implementierung
es erlaubt, Benutzer-Credentials zu reinitialisieren, wenn es aus einem
setuid-Kontext gestartet wurde. Das kann zu einer lokalen Privilegienerweiterung
oder einer lokalen Diensteverweigerung (<q>denial of service</q>) durch
Überschreiben der Credential-Cache-Datei führen.</p>
<p>Für die Stable-Distribution (Etch) wurde dieses Problem in
Version 2.5-1etch1 behoben.</p>
<p>Für die kommende Stable-Distribution (Lenny) wurde dieses Problem in
Version 3.10-2.1 behoben.</p>
<p>Für die Unstable-Distribution (Sid) wird dieses Problem bald behoben sein.</p>
<p>Wir empfehlen Ihnen, Ihr libpam-heimdal-Paket zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1722.data"
# $Id: dsa-1722.wml,v 1.1 2009-02-12 23:21:00 spaillar Exp $
#use wml::debian::translation-check translation="1.1"
<define-tag description>unzureichende Eingabebereinigung</define-tag>
<define-tag moreinfo>
<p>Michael Brooks entdeckte, dass phpMyAdmin, ein Tool für die Administration
von MySQL über das Internet, Eingaben unzureichend bereinigt. Dies erlaubt
es entfernten Angreifern, Code auf dem Webserver auszuführen.</p>
<p>Für die Stable-Distribution (Etch) wurde dieses Problem in Version
2.9.1.1-10 behoben.</p>
<p>Für die Testing- (Lenny) und Unstable-Distribution (Sid) wurde dieses
Problem in Version 2.11.8.1-5 behoben.</p>
<p>Wir empfehlen Ihnen, Ihr phpmyadmin-Paket zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1723.data"
# $Id: dsa-1723.wml,v 1.1 2009-02-12 23:21:00 spaillar Exp $
#use wml::debian::translation-check translation="1.1"
Reply to:
- Follow-Ups:
- Re: DSAs
- From: Jens Seidel <jensseidel@users.sf.net>