[DONE] wml://security/2015/dsa-338{7,8,9}.wml
Cheers!
Lev Lamberov
--- english/security/2015/dsa-3387.wml 2015-11-02 10:52:52.000000000 +0500
+++ russian/security/2015/dsa-3387.wml 2015-11-02 12:11:09.306652700 +0500
@@ -1,22 +1,24 @@
-<define-tag description>security update</define-tag>
+#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov"
+<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
-<p>John Stumpo discovered that OpenAFS, a distributed file system, does
-not fully initialize certain network packets before transmitting them.
-This can lead to a disclosure of the plaintext of previously processed
-packets.</p>
+<p>Джон Стампо обнаружил, что OpenAFS, распределённая файловая система, не полностью
+инициализирует определённые сетевые пакеты до момента их передачи.
+Это может приводить к раскрытию в виде обычного текста обработанных ранее
+пакетов.</p>
-<p>For the oldstable distribution (wheezy), these problems have been fixed
-in version 1.6.1-3+deb7u5.</p>
+<p>В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
+в версии 1.6.1-3+deb7u5.</p>
-<p>For the stable distribution (jessie), these problems have been fixed in
-version 1.6.9-2+deb8u4.</p>
+<p>В стабильном выпуске (jessie) эти проблемы были исправлены в
+версии 1.6.9-2+deb8u4.</p>
-<p>For the testing distribution (stretch) and the unstable distribution
-(sid), these problems have been fixed in version 1.6.15-1.</p>
+<p>В тестируемом (stretch) и нестабильном (sid) выпусках
+эти проблемы были исправлены в версии 1.6.15-1.</p>
-<p>We recommend that you upgrade your openafs packages.</p>
+<p>Рекомендуется обновить пакеты openafs.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3387.data"
# $Id: dsa-3387.wml,v 1.1 2015/11/02 05:52:52 kaare Exp $
+
--- english/security/2015/dsa-3388.wml 2015-11-02 12:11:20.735392756 +0500
+++ russian/security/2015/dsa-3388.wml 2015-11-02 13:01:44.000848706 +0500
@@ -1,162 +1,164 @@
-<define-tag description>security update</define-tag>
+#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov"
+<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
-<p>Several vulnerabilities were discovered in the Network Time Protocol
-daemon and utility programs:</p>
+<p>В службе и утилитах протокола сетевого времени было обнаружено
+несколько уязвимостей:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5146";>CVE-2015-5146</a>
- <p>A flaw was found in the way ntpd processed certain remote
- configuration packets. An attacker could use a specially crafted
- package to cause ntpd to crash if:</p>
+ <p>Была обнаружена уязвимость в способе обработке ntpd определённых удалённых
+ пакетов настройки. Злоумышленник может использовать специально сформированный
+ пакет для аварийного завершения работы ntpd в том случае если</p>
<ul>
- <li>ntpd enabled remote configuration</li>
- <li>The attacker had the knowledge of the configuration password</li>
- <li>The attacker had access to a computer entrusted to perform remote
- configuration</li>
+ <li>В ntpd включена удалённая настройка</li>
+ <li>Злоумышленник знает пароль для выполнения настройки</li>
+ <li>Злоумышленник имеет доступ к компьютеру, включённому в список доверенных
+ для выполнения настройки</li>
</ul>
- <p>Note that remote configuration is disabled by default in NTP.</p></li>
+ <p>Заметьте, что удалённая настройка в NTP по умолчанию отключена.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5194";>CVE-2015-5194</a>
- <p>It was found that ntpd could crash due to an uninitialized
- variable when processing malformed logconfig configuration
- commands.</p></li>
+ <p>Было обнаружено, что работа ntpd может завершиться аварийно из-за неинициализированной
+ переменной при обработке некорректных команд настройки
+ logconfig.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5195";>CVE-2015-5195</a>
- <p>It was found that ntpd exits with a segmentation fault when a
- statistics type that was not enabled during compilation (e.g.
- timingstats) is referenced by the statistics or filegen
- configuration command.</p></li>
+ <p>Было обнаружено, что работа ntpd завершается с ошибкой сегментирования, если
+ тип статистики, который не был включен во время компиляции (напр.,
+ timingstats), указывается в настройке статистики или
+ в качестве параметра команды filegen.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5219";>CVE-2015-5219</a>
- <p>It was discovered that sntp program would hang in an infinite loop
- when a crafted NTP packet was received, related to the conversion
- of the precision value in the packet to double.</p></li>
+ <p>Было обнаружено, что программа sntp может зависнуть, войдя в бесконечный цикл,
+ в случае получения специально сформированного пакета NTP, связанного с преобразованием
+ точного значения в пакете в тип double.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5300";>CVE-2015-5300</a>
- <p>It was found that ntpd did not correctly implement the -g option:</p>
+ <p>Было обнаружено, что в ntpd неправильно реализована опция -g.</p>
- <p>Normally, ntpd exits with a message to the system log if the offset
- exceeds the panic threshold, which is 1000 s by default. This
- option allows the time to be set to any value without restriction;
- however, this can happen only once. If the threshold is exceeded
- after that, ntpd will exit with a message to the system log. This
- option can be used with the -q and -x options.</p>
-
- <p>ntpd could actually step the clock multiple times by more than the
- panic threshold if its clock discipline doesn't have enough time to
- reach the sync state and stay there for at least one update. If a
- man-in-the-middle attacker can control the NTP traffic since ntpd
- was started (or maybe up to 15-30 minutes after that), they can
- prevent the client from reaching the sync state and force it to step
- its clock by any amount any number of times, which can be used by
- attackers to expire certificates, etc.</p>
-
- <p>This is contrary to what the documentation says. Normally, the
- assumption is that an MITM attacker can step the clock more than the
- panic threshold only once when ntpd starts and to make a larger
- adjustment the attacker has to divide it into multiple smaller
- steps, each taking 15 minutes, which is slow.</p></li>
+ <p>Обычно работа ntpd завершается с сообщением в системной журнале в том случае, если
+ пропуск начального номера превышает порог паники, который по умолчанию выставлен в 1000 секунд. Эта
+ опция позволяет устанавливать время в любое значение без ограничений;
+ тем не менее, это может произойти только один раз. Если порог будет превышен после
+ этого, ntpd завершит работу с сообщением в системный журнал. Эта
+ опция может использоваться вместе с опциями -q и -x.</p>
+
+ <p>В действительности, ntpd может изменять время несколько раз на большее значение, чем
+ порог паники в том случае, если у контролирующих время служб недостаточно времени,
+ чтобы перейти в состояние синхронизации и оставаться в нём по меньшей мере одно обновление. Если
+ злоумышленник, выполняющий атаку по принципу человек-в-середине, может управлять трафиком NTP с момента
+ запуска ntpd (или, может быть, через 15-30 минут после этого), то он может
+ запретить клиенту перейти в состояние синхронизации и заставить его изменить
+ время на любое значение любое количество раз, что может использоваться
+ злоумышленником для того, чтобы сделать сертификаты недействительными и т. д.</p>
+
+ <p>Это противоречит тому, что сказано в документации. Обычно предполагается, что
+ злоумышленник MITM может изменять время на большее значение, чем
+ порог паники, но только один раз, в момент запуска ntpd, а для дальнейшего
+ изменения злоумышленник должен сделать это небольшими порциями,
+ причём такие изменения можно осуществлять только каждый 15 минут, что очень медленно.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7691";>CVE-2015-7691</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2015-7692";>CVE-2015-7692</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2015-7702";>CVE-2015-7702</a>
- <p>It was found that the fix for
+ <p>Было обнаружено, что исправление для
<a href="https://security-tracker.debian.org/tracker/CVE-2014-9750";>CVE-2014-9750</a>
- was incomplete: three issues were found in the value length checks in
- ntp_crypto.c, where a packet with particular autokey operations that
- contained malicious data was not always being completely validated. Receipt
- of these packets can cause ntpd to crash.</p></li>
+ было неполным: были обнаружены три проблемы в коде проверки длины значений в
+ ntp_crypto.c, где пакет с определёнными операциями повторения символа,
+ содержащие некорректные данные, не всегда проверяются полностью. Получение
+ таких пакетов может привести к аварийному завершению работы ntpd.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7701";>CVE-2015-7701</a>
- <p>A memory leak flaw was found in ntpd's CRYPTO_ASSOC. If ntpd is
- configured to use autokey authentication, an attacker could send
- packets to ntpd that would, after several days of ongoing attack,
- cause it to run out of memory.</p></li>
+ <p>Была обнаружена утечка памяти в функции CRYPTO_ASSOC. Если ntpd настроена
+ на использовать аутентификации с повторением символов, злоумышленник может отправить
+ пакеты, которые после нескольких дней атаки
+ приведут к истощению памяти.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7703";>CVE-2015-7703</a>
- <p>Miroslav Lichvar of Red Hat found that the :config command can be
- used to set the pidfile and driftfile paths without any
- restrictions. A remote attacker could use this flaw to overwrite a
- file on the file system with a file containing the pid of the ntpd
- process (immediately) or the current estimated drift of the system
- clock (in hourly intervals). For example:</p>
+ <p>Мирослав Лихвар из Red Hat обнаружил, что команда :config может
+ использоваться для установки путей pid-файла и drift-файла без
+ каких-либо ограничений. Удалённый злоумышленник может использовать эту уязвимость для перезаписи
+ файла в файловой системе файлом, содержащим pid процесса ntpd
+ (сразу же) или текушее смещение системных часов
+ (каждый час). Например:</p>
<p><code>ntpq -c ':config pidfile /tmp/ntp.pid'</code>
<code>ntpq -c ':config driftfile /tmp/ntp.drift'</code></p>
- <p>In Debian ntpd is configured to drop root privileges, which limits
- the impact of this issue.</p></li>
+ <p>В Debian ntpd настроена так, чтобы права суперпользователя сбрасывались, что ограничивает
+ опасность этой проблемы.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7704";>CVE-2015-7704</a>
- <p>If ntpd as an NTP client receives a Kiss-of-Death (KoD) packet
- from the server to reduce its polling rate, it doesn't check if the
- originate timestamp in the reply matches the transmit timestamp from
- its request. An off-path attacker can send a crafted KoD packet to
- the client, which will increase the client's polling interval to a
- large value and effectively disable synchronization with the server.</p></li>
+ <p>Если ntpd в качестве NTP-клиента получает пакет-предупреждение о чрезмерном потреблении ресурсов
+ сети (KoD) от сервера с целью снижения частоты опроса, то она не проверяет временную отметку
+ на предмет её (отметки) совпадения в ответе с переданной временной отметкой в
+ запросе. Злоумышленник может отправить клиенту специально сформированный пакет KoD,
+ что приведёт к увеличению временного интервала опроса
+ и отключению синхронизации с сервером.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7850";>CVE-2015-7850</a>
- <p>An exploitable denial of service vulnerability exists in the remote
- configuration functionality of the Network Time Protocol. A
- specially crafted configuration file could cause an endless loop
- resulting in a denial of service. An attacker could provide a
- malicious configuration file to trigger this vulnerability.</p></li>
+ <p>В функциональности для выполнения удалённой настройки присутствует отказ в обслуживании,
+ которые может использоваться злоумышленниками. Специально
+ сформированный файл настройки может привести к тому, что программа войдёт в бесконечный
+ цикл, что приводит к отказу в обслуживании. Злоумышленник может предоставить
+ некорректный файл настройки, что позволит использоваться данную уязвимость.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7852";>CVE-2015-7852</a>
- <p>A potential off by one vulnerability exists in the cookedprint
- functionality of ntpq. A specially crafted buffer could cause a
- buffer overflow potentially resulting in null byte being written out
- of bounds.</p></li>
+ <p>В функциональности cookedprint в ntpq присутствует потенциальная уязвимость из-за
+ ошибки на единицу. Специально сформированный буфер может вызвать
+ переполнение буфера, потенциально приводящее к выполнению записи null-байта за
+ пределами выделенной памяти.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7855";>CVE-2015-7855</a>
- <p>It was found that NTP's decodenetnum() would abort with an assertion
- failure when processing a mode 6 or mode 7 packet containing an
- unusually long data value where a network address was expected. This
- could allow an authenticated attacker to crash ntpd.</p></li>
+ <p>Было обнаружено, что функция decodenetnum() прерывает работу с ошибкой
+ утверждения в случае обработки пакета режима 6 или режима 7, содержащего
+ необычно длинное значение данных в той части, где ожидается сетевой адрес. Это
+ может позволить аутентифицированному злоумышленнику аварийно завершить работу ntpd.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7871";>CVE-2015-7871</a>
- <p>An error handling logic error exists within ntpd that manifests due
- to improper error condition handling associated with certain
- crypto-NAK packets. An unauthenticated, off-path attacker can force
- ntpd processes on targeted servers to peer with time sources of the
- attacker's choosing by transmitting symmetric active crypto-NAK
- packets to ntpd. This attack bypasses the authentication typically
- required to establish a peer association and allows an attacker to
- make arbitrary changes to system time.</p></li>
+ <p>В коде обработки логических ошибок ntpd присутствует ошибка, проявляющаяся из-за
+ неправильной обработки состояния ошибки, связанной с определёнными
+ зашифрованными NAK пакетами. Неаутентифицированный злоумышленник может
+ заставить процессы ntpd на целевых серверах связаться с источниками времени по выбору
+ злоумышленника с помощью передачи симметрично зашифрованных NAK
+ пакетов ntpd. Эта атака позволяет обойти аутентификацию, которая обычно
+ требуется для установки однорангового соединения, и позволяет злоумышленнику
+ производить произвольные изменения системного времени.</p></li>
</ul>
-<p>For the oldstable distribution (wheezy), these problems have been fixed
-in version 1:4.2.6.p5+dfsg-2+deb7u6.</p>
+<p>В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
+в версии 1:4.2.6.p5+dfsg-2+deb7u6.</p>
-<p>For the stable distribution (jessie), these problems have been fixed in
-version 1:4.2.6.p5+dfsg-7+deb8u1.</p>
+<p>В стабильном выпуске (jessie) эти проблемы были исправлены в
+версии 1:4.2.6.p5+dfsg-7+deb8u1.</p>
-<p>For the testing distribution (stretch), these problems have been fixed
-in version 1:4.2.8p4+dfsg-3.</p>
+<p>В тестируемом выпуске (stretch) эти проблемы были исправлены
+в версии 1:4.2.8p4+dfsg-3.</p>
-<p>For the unstable distribution (sid), these problems have been fixed in
-version 1:4.2.8p4+dfsg-3.</p>
+<p>В нестабильном выпуске (sid) эти проблемы были исправлены в
+версии 1:4.2.8p4+dfsg-3.</p>
-<p>We recommend that you upgrade your ntp packages.</p>
+<p>Рекомендуется обновить пакеты ntp.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3388.data"
# $Id: dsa-3388.wml,v 1.2 2015/11/02 06:55:53 kaare Exp $
+
--- english/security/2015/dsa-3389.wml 2015-11-02 10:53:51.000000000 +0500
+++ russian/security/2015/dsa-3389.wml 2015-11-02 13:04:04.478115734 +0500
@@ -1,15 +1,17 @@
-<define-tag description>end-of-life</define-tag>
+#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov"
+<define-tag description>окончание жизненного цикла</define-tag>
<define-tag moreinfo>
-<p>Security support for elasticsearch in jessie is hereby discontinued. The
-project no longer releases information on fixed security issues which
-allow backporting them to released versions of Debian and actively
-discourages from doing so.</p>
+<p>Поддержка безопасности elasticsearch в jessie прекращена. Проект
+более не выпускает информации об исправленных проблемах безопасности, которая
+бы позволила выполнять их обратный перенос в выпущенные версии Debian, и активно
+препятствует этому.</p>
-<p>elasticsearch will also be removed from Debian stretch (the next stable
-Debian release), but will continue to remain in unstable and available
-in jessie-backports.</p>
+<p>elasticsearch будет удалён из Debian stretch (следующий стабильный
+выпуск Debian), но он останется в нестабильном выпуске и будет доступен
+в jessie-backports.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3389.data"
# $Id: dsa-3389.wml,v 1.1 2015/11/02 05:53:51 kaare Exp $
+
Reply to:
- Prev by Date:
[DONE] wml://{devel/debian-jr/News/2000/20001119,News/1999/19990309,events/1999/1128-linuxtag,events/2000/0513-linuxtag,News/1998/19981014,vote/2002/stats,events/2003/0805-linuxworld,events/1999/0301-linworldexpo,News/2000/20000503,events/2005/0215-lwe,events/2006/0909-come2linux,devel/debian-installer/News/2004/20041122,events/2002/0919-linuxconfjp,events/2012/0915-sfd-quiliano,events/2008/0528-linuxtag,events/2008/0823-froscon}.wml
- Next by Date:
[DONE] wml://security/2015/dsa-3390.wml
- Previous by thread:
[DONE] wml://{devel/debian-jr/News/2000/20001119,News/1999/19990309,events/1999/1128-linuxtag,events/2000/0513-linuxtag,News/1998/19981014,vote/2002/stats,events/2003/0805-linuxworld,events/1999/0301-linworldexpo,News/2000/20000503,events/2005/0215-lwe,events/2006/0909-come2linux,devel/debian-installer/News/2004/20041122,events/2002/0919-linuxconfjp,events/2012/0915-sfd-quiliano,events/2008/0528-linuxtag,events/2008/0823-froscon}.wml
- Next by thread:
[DONE] wml://security/2015/dsa-3390.wml
- Index(es):