[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [RFR] wml://webwml/portuguese/security/2005/dsa-925.wml



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 01/06/2006 03:01 PM, Marco Carvalho wrote:
> ------------------------------------------------------------------------
> #use wml::debian::translation-check translation="1.3" maintainer="Marco Carvalho"
> <define-tag description>várias vulnerabilidades</define-tag>
> <define-tag moreinfo>
> <p>Várias vulnerabilidades foram descobertas no phpBB, um sistema de
> fórums para web com diversas funcionalidades. O projeto Common
> Vulnerabilities and Exposures identificou os seguintes problemas:</p>

	Marco, você se importaria de fazer uma rápida pesquisa pra verificar
se outros projetos ou empresas de segurança fazem a tradução de Common
Vulnerabilities and Exposures?  Seria bom pensarmos em traduzir desde o
começo. :-)


> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3310";>CVE-2005-3310</a>
>     <p>Múltiplos erros de interpretação permitem que usuários remotos autenticados
>     injetem scripts web arbitrários quando avatares remotos e upoload de avatares
>     estão habilitados.</p></li>

	upoload -> upload


> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3416";>CVE-2005-3416</a>
> 
>     <p>O phpBB permite que atacantes remotos transponham as verificações de segurança quando
>     os registros globais estão habilitados e a função de início de sessão não foi chamada
>     para manipular a sessão.</p></li>

	Marco, tem um detalhe importante aqui, "register_globals" é um parâmetro do
arquivo de configuração, você pode até traduzir o "conceito" mas tem que citar o
parâmetro entre aspas em algum local, ou então dizer: quando o parâmetro "register_globals"


> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3417";>CVE-2005-3417</a>
> 
>     <p>O phpBB permite que atacantes remotos modifiquem variáveis globais e transponham
>     os mecanismos de segurança.</p></li>
> 
> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3418";>CVE-2005-3418</a>
> 
>     <p>Múltiplas vulnerabilidades de cross-site scripting (XSS) permitem que atacantes
>     remotos injetem scripts web arbitrários.</p></li>

	Alguma idéia pra traduzir "cross-site scripting" ou melhor deixar em inglês?



> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3419";>CVE-2005-3419</a>
> 
>     <p>Uma vulnerabilidade de injeção SQL permite que atacantes remotos executem comandos
>     SQL arbitrários.</p></li>
> 
> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3420";>CVE-2005-3420</a>
> 
>     <p>O phpBB permite que atacantes remotos modifiquem expressões regulares e executem 
>     código PHP através do parâmetro signature_bbcode_uid.</p></li>
> 
> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3536";>CVE-2005-3536</a>
> 
>     <p>Falta de limpeza no tipo de tópico permite que atacantes remotos injetem
>     comandos SQL arbitrários.</p></li>

	Acho que fica melhor Falta de limpeza na entrada (ou na inserção) do tipo...
> 
> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3537";>CVE-2005-3537</a>
> 
>     <p>Falta de requisição de validação permite que atacantes remotos editem mensagens
>     privadas de outros usuários.</p></li>

	Acho que aqui não é falta de "requisição de validação" é falta de validação nas
requisições.


> <p>A antiga distribuição estável (woody) não contém os pacotes phpbb2.</p>

	"woody"


> <p>Para a distribuição estável (sarge) estes problemas foram corrigidos na
> versão 2.0.13+1-6sarge2.</p>

	"sarge"

> 
> <p>Para a distribuição instável (sid) estes problemas foram corrigidos na
> versão 2.0.18-1.</p>

	"sid"


> <p>Recomendamos que você atualize seus pacotes phpbb2.</p>
> </define-tag>
> 
> # do not modify the following line
> #include "$(ENGLISHDIR)/security/2005/dsa-925.data"

	Id do CVS

	Abraço,


- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
Comment: Using GnuPG with Debian - http://enigmail.mozdev.org

iD8DBQFDvrrSCjAO0JDlykYRAtXzAJ98zex2Wm9nQMSZRaZj9SzQ4vS5mwCfQA+6
LStS9f7/uWZLS5J4hZvwe8s=
=O4Ux
-----END PGP SIGNATURE-----



Reply to: