--- english/security/2000/20000728.wml 2004-09-03 20:12:31.000000000 +0600 +++ russian/security/2000/20000728.wml 2016-01-29 13:08:00.750965509 +0500 @@ -1,20 +1,21 @@ -<define-tag moreinfo>The versions of the ISC DHCP client in Debian GNU/Linux 2.1 (slink) -and Debian GNU/Linux 2.2 (potato) are vulnerable to a root exploit. The OpenBSD team -reports that the client inappropriately executes commands embedded in replies -sent from a dhcp server. This means that a malicious dhcp server can execute -commands on the client with root privileges. A previous Debian security -advisory addressed this issue with package versions 2.0b1pl6-0.3 and -2.0-3potato1, but ISC has released a newer patch since the original advisory. -You should install the latest packages even if you upgraded when the last -advisory was released. +#use wml::debian::translation-check translation="1.4" maintainer="Lev Lamberov" +<define-tag moreinfo>Версии клиента ISC DHCP, поставляемые в составе Debian GNU/Linux 2.1 (slink) +и Debian GNU/Linux 2.2 (potato), содержат уязвимость суперпользователя. Команда OpenBSD +сообщает, что клиент неправильно выполняет команды, включённые в ответы +сервера dhcp. Это означает, что dhcp-сервер злоумышленника может выполнять +команды на клиенте с правами суперпользователя. Предыдущая рекомендация Debian +по безопасности исправляла эту проблему в пакетах версий 2.0b1pl6-0.3 и +2.0-3potato1, но ISC выпустили свежую заплату в своей рекомендации. +Вам следует установить более свежие пакеты даже в том случае, если вы выполнили обновление +до последней нашей рекомендации. -<p>The reported vulnerability is fixed in the package dhcp-client-beta -2.0b1pl6-0.4 for the current stable release (Debian GNU/Linux 2.1) and in dhcp-client -2.0-3potato2 for the frozen pre-release (Debian GNU/Linux 2.2). The dhcp server and relay -agents are built from the same source as the client; however, the server and -relay agents are not vulnerable to this issue and do not need to be upgraded. -We recommend upgrading your dhcp-client-beta and dhcp-client immediately.</define-tag> -<define-tag description>remote root exploit in dhcp client</define-tag> +<p>Указанная уязвимость была исправлена в пакете dhcp-client-beta +2.0b1pl6-0.4 для текущего стабильного выпуска (Debian GNU/Linux 2.1) и в пакете dhcp-client +2.0-3potato2 для замороженного готовящегося выпуска (Debian GNU/Linux 2.2). Сервер dhcp и релейные +агенты собраны из того же исходного кода, что и клиент; тем не менее, сервер +и релейные агенты не содержат этой уязвимости и их не обязательно обновлять. +Рекомендуется как можно скорее обновить пакеты dhcp-client-beta и dhcp-client.</define-tag> +<define-tag description>удалённая уязвимость суперпользователя в клиенте dhcp</define-tag> # do not modify the following line #include '$(ENGLISHDIR)/security/2000/20000728.data' --- english/security/2000/20000816.wml 2001-04-19 21:52:09.000000000 +0600 +++ russian/security/2000/20000816.wml 2016-01-29 12:53:37.078312527 +0500 @@ -1,19 +1,23 @@ -<define-tag moreinfo>There is a format string bug in all versions of -xlockmore/xlockmore-gl. Debian GNU/Linux 2.1 (slink) installs xlock setgid by default, -and this exploit can be used to gain read access to the shadow file. We -recommend upgrading immediately. +#use wml::debian::translation-check translation="1.4" maintainer="Lev Lamberov" +<define-tag moreinfo>Во всех версиях xlockmore/xlockmore-gl присутствует +ошибка форматной строки. В Debian GNU/Linux 2.1 (slink) по умолчанию устанавливается xlock с флагом +прав доступа, позволяющим запускать программу от лица другой группы, +данная уязвимость может использоваться для получения досупа для чтения к файлу shadow. Рекомендуется +как можно скорее выполнить обновление. -<p>xlockmore is normally installed as an unprivileged program in Debian GNU/Linux 2.2 -(potato) and is not vulnerable in that configuration. xlockmore may be -setuid/setgid for historical reasons or after upgrading from a previous -Debian GNU/Linux release; consult README.Debian in /usr/doc/xlockmore or -/usr/doc/xlockmore-gl for information about xlock privileges and how to -disable them. If your local environment requires xlock to be setgid, or -if in doubt, you should upgrade to a fixed package immediately. +<p>В Debian GNU/Linux 2.2 (potato) обычно xlockmore устанавливается как +непривилегированная программа и при таких настройках не подвержена указанной уязвимости. По +историческим причинам xlockmore может иметь флаги прав доступа, позволяющие запускать её +от лица другого пользователя или другой группы, либо после обновления с предыдущего +выпуска Debian GNU/Linux; обратитесь к файлу README.Debian в /usr/doc/xlockmore или +/usr/doc/xlockmore-gl для получения дополнительной информации о правах xlock, а также том, +как их отключить. Если ваше локальное окружение требует того, чтобы xlock имел флаг прав доступа, +позволяющий запускать её от лица другой группы, либо если вы сомневаетесь в этом, то +вам следует как можно скорее выполнить обновление пакета. -<p>Fixed packages are available in xlockmore/xlockmore-gl 4.12-5 for Debian GNU/Linux -2.1 (slink) and xlockmore/xlockmore-gl 4.15-9 for Debian GNU/Linux 2.2 (potato).</define-tag> -<define-tag description>possible shadow file compromise</define-tag> +<p>Исправленные пакет xlockmore/xlockmore-gl 4.12-5 доступны для Debian GNU/Linux +2.1 (slink), xlockmore/xlockmore-gl 4.15-9 для Debian GNU/Linux 2.2 (potato).</define-tag> +<define-tag description>возможная компрометация файла shadow</define-tag> # do not modify the following line #include '$(ENGLISHDIR)/security/2000/20000816.data' --- english/security/2000/20000901.wml 2001-04-19 21:52:09.000000000 +0600 +++ russian/security/2000/20000901.wml 2016-01-29 13:47:53.947404163 +0500 @@ -1,43 +1,44 @@ -<define-tag moreinfo>Existing Netscape Communicator/Navigator packages contain -the following vulnerabilities: +#use wml::debian::translation-check translation="1.5" maintainer="Lev Lamberov" +<define-tag moreinfo>Существующие пакеты Netscape Communicator/Navigator содержат +следующие уязвимости: <ol> -<li>Netscape Communicator JPEG-Comment Heap Overwrite Vulnerability +<li>Уязвимость, при которой Netscape Communicator выполняет перезапись содержимого динамической памяти из-за коментария в файле JPEG <ul> - <li>executes arbitrary code in the comment field of a JPEG image - <li>Netscape Communicator/Navigator versions 4.0 through 4.73 are vulnerable + <li>выполняет произвольный код в поле комментария изображения JPEG + <li>уязвимы Netscape Communicator/Navigator версий с 4.0 по 4.73 </ul> -<li>Multiple Vendor Java Virtual Machine Listening Socket Vulnerability -<li>Netscape Communicator URL Read Vulnerability +<li>Уязвимость с прослушкой сокета несколькими виртуальными машинами Java +<li>Уязвимость чтения URL в Netscape Communicator <ul> - <li>items 2 and 3 together are known as the "Brown Orifice" vulnerability - <li>can be exploited to expose the contents of your computer to anyone on the Internet, allowing to read files visible to the user running the browser - <li>Netscape Communicator/Navigator versions 4.0 through 4.74 are vulnerable + <li>пункты 2 и 3 вместе известны как уязвимость "Brown Orifice" + <li>может использоваться для раскрытия содержимого вашего компьютера любому пользователю Интернет, что позволяет считывать файлы, видимые пользователю, запустившему браузер + <li>уязвимы Netscape Communicator/Navigator версий с 4.0 по 4.74 </ul> </ol> -We recommend that users running Netscape Communicator/Navigator upgrade to -version 4.75. New packages are available in source form and for Intel ia32 -machines running Debian 2.2 (potato). Note that the new packages will not -remove your existing Communicator/Navigator packages; you should manually -remove any older installed versions of Communicator/Navigator. +Пользователям, использующим Netscape Communicator/Navigator, рекомендуется выполнить +обновление до версии 4.75. Новые пакет доступны в виде исходного кода и для машин Intel ia32 +для выпуска Debian 2.2 (potato). Заметьте, что установка новых пакетов не приведёт +к удалению существующих пакетов Communicator/Navigator; вам следует +удалить предыдущие версии Communicator/Navigator вручную. -<p>There are several ways to remove the netscape packages. A quick way to do so -is to run "apt-get remove netscape-base-473", substituting 473 with 406, 407, -408, 45, 451, 46, 461, 47, or 472 as needed. If you do not have apt-get, you -can run "dpkg --remove communicator-smotif-473 communicator-base-473 -netscape-java-473 navigator-smotif-473 navigator-base-473", again substituting -any other versions you may have installed. You may also remove the packages -via dselect. +<p>Для удаления пакетов netscape можно использовать несколько способов. Это можно сделать +быстро, запустив "apt-get remove netscape-base-473", заменив предварительно 473 на 406, 407, +408, 45, 451, 46, 461, 47 или 472. Если у вас нет apt-get, вы +можете запустить "dpkg --remove communicator-smotif-473 communicator-base-473 +netscape-java-473 navigator-smotif-473 navigator-base-473", опять же заменив +предварительно версию на ту, что установлена у вас. Также можно удалить пакеты +через dselect. -<p>If you have "deb http://security.debian.org/ potato/updates main contrib -non-free" in /etc/apt/sources.list you can run "apt-get update ; -apt-get install communicator" to install the full communicator package -(including mail and news) or "apt-get update ; apt-get install -navigator" for the browser only. A typical manual install includes -communicator-smotif-475, communicator-base-475, netscape-base-475, -netscape-base-4, and netscape-java-475. +<p>Если у вас имеется строка "deb http://security.debian.org/ potato/updates main contrib +non-free" в файле /etc/apt/sources.list, то вы можете выполнить "apt-get update ; +apt-get install communicator" для установки полного пакета communicator +(включая почтовый клиент и клиент новостей), либо "apt-get update ; apt-get install +navigator" для установки одного браузера. Обычная ручная установка включает в себя +пакеты communicator-smotif-475, communicator-base-475, netscape-base-475, +netscape-base-4 и netscape-java-475. </define-tag> -<define-tag description>remote exploit</define-tag> +<define-tag description>удалённая уязвимость</define-tag> # do not modify the following line #include '$(ENGLISHDIR)/security/2000/20000901.data' --- english/security/2000/20000902.wml 2002-05-06 13:47:49.000000000 +0600 +++ russian/security/2000/20000902.wml 2016-01-29 13:24:49.118571812 +0500 @@ -1,29 +1,30 @@ +#use wml::debian::translation-check translation="1.7" maintainer="Lev Lamberov" <define-tag moreinfo> -Recently two problems have been found in the glibc suite, which could be -used to trick setuid applications to run arbitrary code. +Недавно в наборе glibc было обнаружено две проблемы, которые могут использоваться для того, чтобы с помощью +приложений, имеющих флаг прав доступа, позволяющий запускать их от лица другого пользователя, выполнять произвольный код. -<p>The first problem is the way ld.so handles environment variables: In -order to provide a safe environment for setuid applications it removes -certain the environment variables that can influence application -execution such as LD_PRELOAD and LD_LIBRARY_PATH. Unfortunately there -was a bug that could cause ld.so to not remove them under some -conditions. This would affect setuid applications if they execute -another binary without dropping privileges or cleaning up the -environment themselves. +<p>Первая проблема состоит в том, как ld.so обрабатывает переменные окружения: для +того, чтобы предоставить безопасное окружение для приложений с указанным флагом доступа, библиотека удаляет +определённые переменные окружения, которые могут повлиять на выполнение +приложения (такие как LD_PRELOAD и LD_LIBRARY_PATH). К сожалению, в соответствующем коде +присутствует ошибка, которая приводит к тому, что ld.so не удаляет эти переменные при +определённых условиях. Эта уязвимость касается случаев, когда приложения с указанным флагом прав доступа выполняют +другой двоичный файл без сбрасывания привилегий или очистки +самого окружения. -<p>The second problem is the locale handling in glibc. glibc checks for -characters like `/' in the LANG and LC_* environment variables to see if -someone is trying to trick a program into reading arbitrary files. -Unfortunately there were some logic errors in those checks which could -be used to make a setuid application use arbitrary files for localization -settings, which can be exploited to trick it into executing arbitrary -code. +<p>Вторая проблема состоит в том, как в glibc обрабатываются локали. glibc выполняет проверку +символов типа `/' в переменных окружения LANG и LC_*, чтобы выяснить, не пытается ли +кто-то заставить программу считать произвольные файлы. К сожалению, в коде этой проверки +присутствуют логические ошибки, которые могут использоваться для того, чтобы приложение с флагом +прав доступа, позволяющим запускать это приложение от лица другого пользователя, использовало произвольные файлы для +настроек локализации, что может использоваться для того, чтобы это приложение выполняло произвольный +код. -<p>These problems have been fixed in version 2.0.7.19981211-6.3 for Debian GNU/Linux 2.1 -(slink) and 2.1.3-13 for Debian GNU/Linux 2.2 (potato). We recommend that you upgrade your -glibc package immediately. +<p>Указанные проблемы были исправлены в версии 2.0.7.19981211-6.3 для Debian GNU/Linux 2.1 +(slink) и в версии 2.1.3-13 для Debian GNU/Linux 2.2 (potato). Рекомендуется как можно скорее +обновить пакет glibc. </define-tag> -<define-tag description>local root exploit</define-tag> +<define-tag description>локальная уязвимость суперпользователя</define-tag> # do not modify the following line #include '$(ENGLISHDIR)/security/2000/20000902.data' --- english/security/2000/20001118a.wml 2004-09-03 20:13:28.000000000 +0600 +++ russian/security/2000/20001118a.wml 2016-01-29 13:01:59.390150027 +0500 @@ -1,25 +1,26 @@ -<define-tag moreinfo>The version of Vixie Cron shipped with Debian -GNU/Linux 2.2 is vulnerable to a local attack, discovered by Michal -Zalewski. Several problems, including insecure permissions on -temporary files and race conditions in their deletion, allowed attacks -from a denial of service (preventing the editing of crontabs) to an -escalation of privilege (when another user edited their crontab). +#use wml::debian::translation-check translation="1.5" maintainer="Lev Lamberov" +<define-tag moreinfo>Версия Vixie Cron, поставляемая в составе Debian +GNU/Linux 2.2, уязвима к локальным атакам, обнаруженным Михалом +Залевски. Несколько проблем, включая небезопасный права доступа к +временным файлам и состояния гонки при удалении этих файлов, позволяют +вызывать отказ в обслуживании (невозможность редактирования таблиц cron) и +повышать привилегии (когда пользователь редактирует чужие таблицы cron). -<p>As a temporary fix, "chmod go-rx -/var/spool/cron/crontabs" prevents the only available exploit; -however, it does not address the problem. We recommend upgrading to -version 3.0pl1-57.1, for Debian 2.2, or 3.0pl1-61, for Debian -unstable. +<p>В качестве временного исправления можно использовать "chmod go-rx +/var/spool/cron/crontabs", которая предотвращает единственную доступную уязвимость; +тем не менее, это не решает проблемы. Рекомендуется выполнить +обновление до версии 3.0pl1-57.1 для Debian 2.2 или до версии 3.0pl1-61 для +нестабильного выпуска Debian. -<p>Also, in the new cron packages, it is no longer possible to specify -special files (devices, named pipes, etc.) by name to crontab. Note -that this is not so much a security fix as a sanity -check. +<p>Кроме того, при использовании новых пакетов cron больше нельзя указывать +специальные файлы (устройства, именованные каналы и проч.) по имени в таблице cron. Заметьте, +что это скорее не исправление безопасности, а лишь проверка +работоспособности и исправности. -<p>Note: Debian GNU/Linux 2.1 is vulnerable to this attack. We recommend -upgrading to Debian GNU/Linux 2.2 (potato). +<p>Заметьте: Debian GNU/Linux 2.1 уязвим к указанной атаке. Рекомендуется +выполнить обновление до Debian GNU/Linux 2.2 (potato). </define-tag> -<define-tag description>local privilege escalation</define-tag> +<define-tag description>локальное повышение привилегий</define-tag> # do not modify the following line #include '$(ENGLISHDIR)/security/2000/20001118a.data' --- english/security/2000/20001119.wml 2004-09-03 20:13:43.000000000 +0600 +++ russian/security/2000/20001119.wml 2016-01-29 13:37:29.766718451 +0500 @@ -1,31 +1,32 @@ -<define-tag moreinfo>Mandrake has recently released a security advisory against -CUPS raising two issues: +#use wml::debian::translation-check translation="1.5" maintainer="Lev Lamberov" +<define-tag moreinfo>Проект Mandrake недавно выпустил рекомендацию по безопасности с +указанием в CUPS двух ошибок: <ol> -<li>CUPS sends broadcast packets, which can keep dial-on-demand lines up and -otherwise irritate network administrators. -<li>CUPS has a rather vague problem to the effect of "everyone on the Internet -can get to your printers". +<li>CUPS отправляет широковещательные пакеты, могут держать соединения по требованию +в рабочем состоянии и раздражать администраторов сети. +<li>CUPS содержит неопределённую проблему, приводящую к тому, что "любой в сети Интернет +может получить доступ к вашему принтеру". </ol> - -<p>The first problem is not a problem either in Debian's potato (2.2) or woody -(unstable). Our cupsys packages are shipped with browsing turned off by -default. - -<p>The second problem has to do with CUPS's configuration. CUPS does access -control in a similar way to Apache, and is configured by default in a similar -way to Apache. This isn't terribly appropriate in the case of allowing people -to attach to printers. Administrative tasks still aren't allowed, but Internet -users could (for example) run all the paper out of your printer. Debian as -shipped in potato and woody is vulnerable to this latter problem. - -<p>The fix is simply to configure access control to reflect your real wishes, -which is done in /etc/cups/cupsd.conf. This can be done with the current -packages (in both potato and woody). - -<p>This has been fixed in version 1.0.4-8 (or 1.1.4-2 for unstable) and we -recommend that you upgrade your cupsys packages immediately. </define-tag> -<define-tag description>remote misuse of printer</define-tag> + +<p>Первая проблема вовсе не является проблемой для выпусков potato (2.2) и woody +(нестабильный выпуск). Наши пакеты cupsys поставляются с отключённой по умолчанию возможностью +просмотра принтеров. + +<p>Вторая проблема касается настроек CUPS. В CUPS имеется своя система управления +доступом, которая похожа на соответствующую систему Apache, по умолчанию она настраивается сходным +в Apache образом. Это так уж и страшно, если вы даёте другим пользователям доступ +к подключенным принтерам. Административные задачи всё равно запрещены для них, но пользователи +Интернет могут (например) прогнать всю бумагу в вашем принтере. Пакеты Debian, +поставляемые в составе potato и woody, уязвимы к этой проблеме. + +<p>Исправление указанной проблемы весьма простое, нужно лишь настроить управление доступом так, как вам нужно, +это делается в /etc/cups/cupsd.conf. Это можно сделать с текущими +пакетами (и в potato, и в woody). + +<p>Указанная проблема была исправлена в версии 1.0.4-8 (или 1.1.4-2 для нестабильного выпуска), рекомендуем +как можно скорее обновить пакеты cupsys. </define-tag> +<define-tag description>удалённое злоупотребление принтером</define-tag> # do not modify the following line #include '$(ENGLISHDIR)/security/2000/20001119.data' --- english/security/2000/20001225b.wml 2002-04-29 13:12:05.000000000 +0600 +++ russian/security/2000/20001225b.wml 2016-01-29 13:16:36.400529852 +0500 @@ -1,33 +1,34 @@ -<define-tag moreinfo>Two bugs in GnuPG have recently been found: +#use wml::debian::translation-check translation="1.4" maintainer="Lev Lamberov" +<define-tag moreinfo>В GnuPG недавно было обнаружено две ошибки: <ol> -<li>false positives when verifying detached signatures +<li>ложные срабатывания при проверке отдельных подписей -<p>There is a problem in the way gpg checks detached signatures which -can lead to false positives. Detached signature can be verified with a -command like this: <code>gpg --verify detached.sig < mydata</code> - -<p>If someone replaced detached.sig with a signed text (ie not a -detached signature) and then modified mydata gpg would still report a -successfully verified signature. - -<p>To fix this, the way the --verify option works has been changed: It now -needs two options when verifying detached signatures: Both the file with the -detached signature, and the file with the data to be verified. Please note -that this makes it incompatible with older versions! - -<li>secret keys are silently imported - -<p>Florian Weimer discovered that gpg would import secret keys from -key-servers. Since gpg considers public keys corresponding to known secret -keys to be ultimately trusted an attacker can use this to circumvent the web of -trust. +<p>В способе выполнения проверки отдельных подписей присутствует проблема, которая +может приводить к ложным срабатываниям. Отдельные подписи можно проверить при помощи +следующей команды: <code>gpg --verify detached.sig < mydata</code> + +<p>Если кто-то заменяет detached.sig подписанным текстом (то есть, не +отдельной подписью) и изменяет mydata, то gpg всё ещё будет сообщать об +успешной проверке подписи. + +<p>Для исправления этого была изменена работа опции --verify. Теперь её +требуются две опции при проверке отдельный подписей: и файл с отдельной +подписью, и файл с проверяемыми данными. Заметьте, что это поведение +не совместимо с предыдущими версиями! + +<li>закрытые ключи импортируются без сообщения об этом + +<p>Флориан Ваймер обнаружил, что gpg молча импортирует закрытые ключи с +серверов ключей. Поскольку gpg считает, что открытые ключи, соответствующие известным закрытым +ключам, максимально доверенными, постольку злоумышленник может использовать эту уязвимость для того, +чтобы обойти сеть доверия. -<p>To fix this a new option was added to tell gpg it is allowed to import -secret keys: --allow-key-import. +<p>Для исправления этого была добавлена новая опция, которая позволяет gpg импортировать +закрытые ключи: --allow-key-import. </ol></define-tag> -<define-tag description>cheating with detached signatures, circumvention of web of trust</define-tag> +<define-tag description>жульничество с отдельными подписями, обход сети доверия</define-tag> # do not modify the following line #include '$(ENGLISHDIR)/security/2000/20001225b.data'
Attachment:
signature.asc
Description: OpenPGP digital signature