[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[DONE] wml://security/2000/2000{0902a,1014,0830a,1121a,1013a,1225a,0821,1014a,0612}.wml



Cheers!
Lev Lamberov
--- english/security/2000/20000612.wml	2001-04-21 20:15:35.000000000 +0600
+++ russian/security/2000/20000612.wml	2015-10-08 00:10:43.741868845 +0500
@@ -1,19 +1,21 @@
+#use wml::debian::translation-check translation="1.7" maintainer="Lev Lamberov"
 <define-tag moreinfo>
-There is a widely-reported problem with the handling of POSIX capabilities
-in the Linux kernel that can lead to root compromise in setuid applications.
-This bug does <em>not</em> affect kernels in the 2.0 or earlier series; the
-2.0 kernels installed by default in Debian GNU/Linux 2.1 (slink) are
-<em>not</em> vulnerable. If you are running a kernel with a version of
-2.1.*, 2.2.*, or 2.3.*, you should upgrade immediately.
+В ядре Linux присутствует проблема, связанная с обработкой возможностей POSIX,
+которая может приводить к компрометации суперпользователя в приложениях с установленными флагами доступа, позволяющими запускать их от лица владельца.
+Данная ошибка <em>не</em> касается ядер 2.0 и более ранних версий;
+ядра 2.0, устанавливаемые по умолчанию в Debian GNU/Linux 2.1 (slink)
+<em>не</em> подвержены данной уязвимости. Если вы используете ядро версий
+2.1.*, 2.2.* или 2.3.*, то вам следует как можно скорее выполнить обновление.
 
-<p>The Debian kernel source package currently in potato,
-kernel-source-2.2.15-3, and binaries built from it, such as
-kernel-image-2.2.15-2 (or more recent versions), are patched to prevent this
-vulnerability. If you prefer to download kernel source from a mirror of
-ftp.kernel.org instead of using the debian package, you should download
-2.2.16 or better.
+<p>Пакет Debian с исходным кодом ядра для potato,
+kernel-source-2.2.15-3, а также двоичные пакеты, собранные из него, такие как
+kernel-image-2.2.15-2 (и более свежие версии) были
+исправлены. Если вы предпочитаете загружать исходный код ядра с зеркала
+ftp.kernel.org, а не получая его их пакета Debian, вам следует загрузить
+версию 2.2.16 или более свежую.
 </define-tag>
-<define-tag description>bug in capabilities handling allows root exploits</define-tag>
+<define-tag description>ошибка в возможнстях, позволяющая компрометировать суперпользователя</define-tag>
 
 # do not modify the following line
 #include '$(ENGLISHDIR)/security/2000/20000612.data'
+
--- english/security/2000/20000821.wml	2001-04-19 21:52:09.000000000 +0600
+++ russian/security/2000/20000821.wml	2015-10-07 23:58:26.293836126 +0500
@@ -1,15 +1,17 @@
-<define-tag moreinfo>On versions of Zope prior to 2.2.1 it was possible for a
-user with the ability to edit DTML to gain unauthorized access to extra roles
-during a request. A fix was previously announced in the Debian GNU/Linux zope package
-2.1.6-5.1, but that package did not fully address the issue and has been
-superseded by this announcement. More information is available at <a
+#use wml::debian::translation-check translation="1.3" maintainer="Lev Lamberov"
+<define-tag moreinfo>В версиях Zope вплоть до 2.2.1 пользователь, способный
+отредактировать DTML, может получить неавторизованный доступ к дополнительным ролям
+во время запроса. Исправление ранее было представлено в пакете Debian GNU/Linux zope
+версии 2.1.6-5.1, но оно не полностью решает указанную проблему и
+аннулируется данным сообщением. Дополнительная информация доступа по адресу <a
 href=http://www.zope.org/Products/Zope/Hotfix_2000-08-17/security_alert>http://www.zope.org/Products/Zope/Hotfix_2000-08-17/security_alert</a>.
 
-<p>Debian GNU/Linux 2.1 (slink) did not include zope, and <em>is not</em> vulnerable.
-Debian GNU/Linux 2.2 (potato) does include zope and <em>is</em> vulnerable to this issue.
-A fixed package for Debian GNU/Linux 2.2 (potato) is available in zope
+<p>Debian GNU/Linux 2.1 (slink) не содержит zope, и потому <em>не</em> подвержен данной уязвимости.
+Debian GNU/Linux 2.2 (potato) содержит zope и <em>подвержен</em> данной проблеме.
+Исправленный пакет для Debian GNU/Linux 2.2 (potato) доступен в версии zope
 2.1.6-5.2.</define-tag>
-<define-tag description>unauthorized escalation of privilege (update)</define-tag>
+<define-tag description>неавторизованное повышение привилегий (обновление)</define-tag>
 
 # do not modify the following line
 #include '$(ENGLISHDIR)/security/2000/20000821.data'
+
--- english/security/2000/20000830a.wml	2004-09-03 20:12:51.000000000 +0600
+++ russian/security/2000/20000830a.wml	2015-10-07 23:36:57.105347352 +0500
@@ -1,19 +1,21 @@
+#use wml::debian::translation-check translation="1.7" maintainer="Lev Lamberov"
 <define-tag moreinfo>\
-The version of X-Chat that was distributed with Debian GNU/Linux 2.2
-has a vulnerability in the URL handling code: When a user clicks on
-a URL X-Chat will start netscape to view its target. However it
-did not check the URL for shell metacharacters, and this could be
-abused to trick xchat into executing arbitrary commands.
+Версия X-Chat, поставляемая в составе Debian GNU/Linux 2.2,
+содержит уязвимость в коде обработки URL: когда пользователь кликает
+на URL, X-Chat запускает netscape. Тем не менее,
+проверка URL на предмет наличия метасимволов не выполняется, и это
+может позволить запустить с помощью xchat произвольные команды.
 
-<P>This has been fixed in version 1.4.3-0.1, and we recommend you
-upgrade your xchat package(s) immediately.</P>
+<P>Эта проблема была исправлена в версии 1.4.3-0.1, рекомендуется как можно
+скорее обновить пакет xchat.</P>
 
-<P>Update: The powerpc packages mentioned in the first release of this
-advisory were linked with a version of libgtk that is not available
-in Debian GNU/Linux 2.2. They have been recompiled with the correct
-version and re-uploaded.</P>
+<P>Обновление: пакеты для архитектуры powerpc, упомянутые в первом выпуске данной
+рекомендации связаны с версией libgtk, которая не доступна
+в Debian GNU/Linux 2.2. Пакеты были заново скомпилированы с правильной
+версией библиотеки и заново загружены.</P>
 </define-tag>
-<define-tag description>Command Execution Via URLs Vulnerability</define-tag>
+<define-tag description>выполнение команды из URL</define-tag>
 
 # do not modify the following line
 #include '$(ENGLISHDIR)/security/2000/20000830a.data'
+
--- english/security/2000/20000902a.wml	2004-09-03 20:13:12.000000000 +0600
+++ russian/security/2000/20000902a.wml	2015-10-07 23:24:23.130000049 +0500
@@ -1,16 +1,18 @@
-<define-tag moreinfo>A format string bug was recently discovered in screen
-which can be used to gain elevated privileges if screen is setuid. Debian GNU/Linux 2.1
-(slink) did ship screen setuid and the exploit can be used to gain root
-privileges.  In Debian GNU/Linux 2.2 (potato) screen is not setuid, and is not vulnerable
-to a root exploit. screen is, however, setgid utmp in Debian GNU/Linux 2.2 (potato) and
-we recommend upgrading. 
+#use wml::debian::translation-check translation="1.5" maintainer="Lev Lamberov"
+<define-tag moreinfo>Недавно в screen была обнаружена уязвимость форматной строки,
+которая может использоваться для получения повышенных прав в случае, если на screen установлен флаг прав доступа, позволяющий запускать её от лица владельца. В Debian GNU/Linux 2.1
+(slink) утилита screen поставляется с таким флагом прав доступа, поэтому данная уязвимость может использоваться для получения прав
+суперпользователя.  В Debian GNU/Linux 2.2 (potato) утилита screen не имеет такого флага прав доступа и не подвержена
+данной проблеме. Тем не менее, screen в Debian GNU/Linux 2.2 (potato) имеет флаг прав доступа, позволяющий запускать её от лица utmp,
+рекомендуем обновить данную утилиту. 
 
-<p>A fixed version of screen is available in version 3.7.4-9.1 for Debian GNU/Linux
-2.1 (slink) and in version 3.9.5-9 for Debian GNU/Linux 2.2 (potato).
+<p>Исправленная версия screen доступна в версии 3.7.4-9.1 для Debian GNU/Linux
+2.1 (slink) и в версии 3.9.5-9 для Debian GNU/Linux 2.2 (potato).
 
-<p>Note: for slink, we are releasing binary packages for i386 only at this time.
+<p>Внимание: в данный момент для slink мы выпускаем двоичные пакеты только для архитектуры i386.
 </define-tag>
-<define-tag description>local exploit</define-tag>
+<define-tag description>локальная уязвимость</define-tag>
 
 # do not modify the following line
 #include '$(ENGLISHDIR)/security/2000/20000902a.data'
+
--- english/security/2000/20001013a.wml	2002-05-06 13:47:49.000000000 +0600
+++ russian/security/2000/20001013a.wml	2015-10-07 23:47:10.766064247 +0500
@@ -1,19 +1,21 @@
+#use wml::debian::translation-check translation="1.7" maintainer="Lev Lamberov"
 <define-tag moreinfo>
-The version of curl as distributed with Debian GNU/Linux 2.2 had a bug
-in the error logging code: When it created an error message it failed to
-check the size of the buffer allocated for storing the message. This
-could be exploited by the remote machine by returning an invalid
-response to a request from curl which overflows the error buffer and
-trick curl into executing arbitrary code.
+Версия curl, поставляемая в составе Debian GNU/Linux 2.2, содержит ошибку
+в коде журналирования ошибок: когда создаётся сообщение об ошибке, размер
+выделенного буфера для хранения этого сообщения не проверяется. Эта уязвимость
+может использоваться удалённой машиной путём возврата неправильного
+ответа на запрос curl, что приводит к переполнению указанного буфера и
+выполнению произвольного кода.
 
-<p>Debian ships with two versions of curl: The normal curl package, and the
-crypto-enabled curl-ssl package. This bug has been fixed in curl version
-6.0-1.1 and curl-ssl version 6.0-1.2 .
+<p>В Debian поставляются две версии curl: обычный пакет curl и
+пакет curl-ssl с включёнными возможностями шифрования. Данная ошибка была исправлена в верии
+6.0-1.1, а также в curl-ssl версии 6.0-1.2 .
 
-<p>The first release of this advisory listed a wrongly compiled curl
-package for i386; this has been replaced with version 6.0-1.1.1 .
+<p>Первый выпуск данной рекомендации содержал неправильное указание скомпилированного
+пакета curl для архитектуры i386; оно было заменено на версию 6.0-1.1.1 .
 </define-tag>
-<define-tag description>remote exploit</define-tag>
+<define-tag description>удалённая уязвимость</define-tag>
 
 # do not modify the following line
 #include '$(ENGLISHDIR)/security/2000/20001013a.data'
+
--- english/security/2000/20001014.wml	2004-12-13 05:20:28.000000000 +0500
+++ russian/security/2000/20001014.wml	2015-10-07 23:33:04.324534049 +0500
@@ -1,21 +1,23 @@
+#use wml::debian::translation-check translation="1.8" maintainer="Lev Lamberov"
 <define-tag moreinfo>
-The version of nis as distributed in Debian GNU/Linux 2.1 and 2.2
-contains a ypbind package with a security problem.
+Версия nis, поставляемая в составе Debian GNU/Linux 2.1 и 2.2,
+содержит пакет ypbind, имеющий проблему безопасности.
 
-<p>ypbind is used to request information from a nis server which is then
-used by the local machine. The logging code in ypbind was vulnerable to a
-printf formatting attack which can be exploited by passing ypbind a
-carefully crafted request. This way ypbind can be made to run arbitrary
-code as root.
+<p>ypbind используется для запроса информации с сервера nis, которая затем
+используется локальной машиной. Код ведения журнала в ypbind уязвим к
+атаке на форматную строку printf. Данная уязвимость может использоваться при передаче ypbind
+специально сформированного запроса. Так с помощью ypbind можно запустить произвольный
+код от лица суперпользователя.
 
-<p>This has been fixed in version 3.5-2.1 for Debian GNU/Linux 2.1 and
-version 3.8-0.1 for Debian GNU/Linux 2.2.
+<p>Эта проблема была исправлена в версии 3.5-2.1 для Debian GNU/Linux 2.1 и
+в версии 3.8-0.1 для Debian GNU/Linux 2.2.
 
-<p>Note: At this moment, slink security updates for alpha and sparc are no
-longer being made. Support for i386 and m68k will continue until the end of
-this month.
+<p>Внимание: в данный момент обновления безопасности для slink для архитектур alpha и sparc
+не выпускаются. Поддержка архитектур i386 и m68k будет продолжена до конца
+этого месяца.
 </define-tag>
-<define-tag description>local exploit</define-tag>
+<define-tag description>локальная уязвимость</define-tag>
 
 # do not modify the following line
 #include '$(ENGLISHDIR)/security/2000/20001014.data'
+
--- english/security/2000/20001014a.wml	2001-04-21 20:15:35.000000000 +0600
+++ russian/security/2000/20001014a.wml	2015-10-08 00:05:07.966227266 +0500
@@ -1,20 +1,22 @@
+#use wml::debian::translation-check translation="1.4" maintainer="Lev Lamberov"
 <define-tag moreinfo>
-In versions of the PHP 3 packages before version 3.0.17, several format
-string bugs could allow properly crafted requests to execute code as the
-user running PHP scripts on the web server, particularly if error logging
-was enabled.
+В версиях пакетов PHP 3 до версии 3.0.17 было обнаружено несколько уязвимостей
+форматной строки, которые могут позволить с помощью специально сформированных запросов выполнять код от
+лица пользователя, запустившего сценарий PHP на веб-сервере. В частности, если включена опция ведения
+журнала ошибок.
 
-<p>This problem is fixed in versions 3.0.17-0potato2 and 3.0.17-0potato3 for
-Debian 2.2 (potato) and in version 3.0.17-1 for Debian Unstable (woody).
-This is a bug fix release and we recommend all users of php3 upgrade to it.
+<p>Данная проблема была исправлена в версиях 3.0.17-0potato2 и 3.0.17-0potato3 для
+Debian 2.2 (potato) и в версии 3.0.17-1 для Debian Unstable (woody).
+Это корректирующий выпуск, всем пользователям рекомендуется выполнить обновление php3.
 
-<p>Debian GNU/Linux 2.1 (slink) contains php3 version 3.0.5, which is
-believed to be affected by this problem.  No security updates for slink are
-available at this time; Slink users who have php3 installed are highly
-recommended to either upgrade to potato or recompile the potato php3
-packages from source (see the URLs below).
+<p>Debian GNU/Linux 2.1 (slink) содержит php3 версии 3.0.5, которая, как считается,
+подвержена данной проблеме.  В настоящее время для выпуска slink обновлений
+безопасности нет; пользователям Slink, у которых установлен php3, настоятельно
+рекомендуется либо выполнить обновление до выпуска potato, либо скомпилировать пакеты php3
+для potato из исходного кода (см. URL ниже).
 </define-tag>
-<define-tag description>possible remote exploit</define-tag>
+<define-tag description>возможная удалённая уязвимость</define-tag>
 
 # do not modify the following line
 #include '$(ENGLISHDIR)/security/2000/20001014a.data'
+
--- english/security/2000/20001121a.wml	2001-04-19 21:52:09.000000000 +0600
+++ russian/security/2000/20001121a.wml	2015-10-07 23:42:35.826703976 +0500
@@ -1,18 +1,20 @@
+#use wml::debian::translation-check translation="1.3" maintainer="Lev Lamberov"
 <define-tag moreinfo>
-The Debian GNU/Linux xmcd package has historically installed two setuid
-helpers for accessing cddb databases and SCSI cdrom drives.  More recently,
-the package offered the administrator the chance to remove these setuid
-flags, but did so incorrectly.
+Пакет Debian GNU/Linux xmcd устанавливается с двумя вспомогательными утилитами, имеющими флаги прав доступа,
+позволяющие запускать их от лица владельца, для обращения к базам данных cddb и CD-дисководам SCSI. Недавно
+оказалось возможным удалить эти флаги прав доступа,
+но это было сделано некорректно.
 
-<p>A buffer overflow in ncurses, linked to the "cda" binary, allowed a root
-exploit.  Fixed ncurses packages have been released, as well as fixed
-xmcd packages which do not install this binary with a setuid flag.
+<p>Переполнение буфера в ncurses, связанных с двоичным кодом "cda", приводит к уязвимости
+суперпользователя.  Были выпущены исправленные пакеты ncurses, а также исправленные
+пакеты xmcd, в которых двоичные файлы на имеют флага прав доступа, позволяющего запускать их от лица владельца.
 
-<p>The problem is fixed in xmcd 2.5pl1-7.1, and we recommend all users with
-xmcd installed upgrade to this release.  You may need to add users of xmcd
-to the "audio" and "cdrom" groups in order for them to continue using xmcd.
+<p>Эта проблема была исправлена в xmcd версии 2.5pl1-7.1, рекомендуется всем пользователя,
+у которых установлен xmcd, выполнить обновление до указанной версии.  Вам может потребоваться добавить пользователей xmcd
+в группы "audio" и "cdrom" для того, чтобы они могли продолжить использовать xmcd.
 </define-tag>
-<define-tag description>untrustworthy privileged binaries</define-tag>
+<define-tag description>недоверенные двоичные файлы с особыми привилегиями</define-tag>
 
 # do not modify the following line
 #include '$(ENGLISHDIR)/security/2000/20001121a.data'
+
--- english/security/2000/20001225a.wml	2002-04-29 13:07:08.000000000 +0600
+++ russian/security/2000/20001225a.wml	2015-10-07 23:53:48.997394097 +0500
@@ -1,20 +1,22 @@
-<define-tag moreinfo>Lez discovered a format string problem in stunnel (a tool
-to create universal SSL tunnel for other network daemons). Brian Hatch
-responded by stating he was already preparing a new release with multiple
-security fixes:
+#use wml::debian::translation-check translation="1.3" maintainer="Lev Lamberov"
+<define-tag moreinfo>Lez обнаружил уязвимость форматной строки в stunnel (инструементе
+для создания универсального SSL-тоннеля для других сетевых служб). Брайн Хатч
+ответил, указав, что он уже готовит новый выпуск с многочисленными
+исправлениями безопасности:
 
 <ol>
-<li>The PRNG (pseudo-random generated) was not seeded correctly. This only
-affects operation on operating systems without a secure random generator (like
+<li>Начальное число для PRNG (порождение псевдослучайных чисел) выбирается неправильно. Это
+касается только операционных систем, которые не имеют безопасного генератора случайных значений (как
 Linux).
-<li>Pid files were not created securely, making stunnel vulnerable to a symlink attack.
-<li>There was an insecure syslog() call which could be exploited if the user
-could manage to insert text into the logged text. At least one way to exploit
-this using faked identd responses was demonstrated by Lez.
+<li>Pid-файлы создаются небезопасным способом, что делает stunnel уязвимым к атаке через символьные ссылки.
+<li>Небезопасный вызов syslog() может использоваться в случае, если пользователь
+может вставить текст в текст журнала. По меньшей мере, один способ использования
+данной уязвимости с использованием поддельных ответов identd была продемонстрирован Lez.
 </ol>
 
-<p>These problems have been fixed in version 3.10-0potato1.</define-tag>
-<define-tag description>insecure file handling, format string bug</define-tag>
+<p>Эти проблемы были исправлены в версии 3.10-0potato1.</define-tag>
+<define-tag description>небезопасная работа с файлами, ошибка форматной строки</define-tag>
 
 # do not modify the following line
 #include '$(ENGLISHDIR)/security/2000/20001225a.data'
+

Reply to: