On 12 Apr, Lev Lamberov wrote: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA512 > > - --- english/security/2016/dla-392.wml 2016-04-08 01:54:44.000000000 +0500 > +++ russian/security/2016/dla-392.wml 2016-04-12 23:43:29.848537670 +0500 > @@ -1,16 +1,17 @@ > - -<define-tag description>LTS security update</define-tag> > +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" > +<define-tag description>обновление безопасности LTS</define-tag> > <define-tag moreinfo> > - -<p>High-Tech Bridge Security Research Lab discovered a path traversal > - -vulnerability in a popular webmail client Roundcube. Vulnerability can be > - -exploited to gain access to sensitive information and under certain > - -circumstances to execute arbitrary code and totally compromise the vulnerable > - -server.</p> > +<p>Сотрудники High-Tech Bridge Security Research Lab обнаружили уязвимости, проявляющуюся в обходе уязвимостЬ > +пути в популярном веб-клиенте электронной почты Roundcube. Уязвимость может использоваться > +для получения доступа к чувствительной информации, а при некоторых условиях и для > +выполнения произвольного кода и полной компрометации уязвимого > +сервера.</p> > > - -<p>The vulnerability exists due to insufficient sanitization of <q>_skin</q> HTTP POST > - -parameter in "/index.php" script when changing between different skins of the > - -web application. A remote authenticated attacker can use path traversal > - -sequences (e.g. "../../") to load a new skin from arbitrary location on the > - -system, readable by the webserver.</p> > +<p>Указанная уязвимость имеет место из-за недостаточной очистки параметра HTTP POST <q>_skin</q> > +в сценарии "/index.php" при выполнении изменения оформления > +веб-приложения. Удалённый аутентифицированный злоумышленник может использовать последовательности > +обхода пути (напр. "../../") для загрузки новой темы оформления из произвольного места в > +системе, в которому веб-сервер имеет доступ с правами для чтения.</p> _К_ которому > </define-tag> > > # do not modify the following line > - --- english/security/2016/dla-402.wml 2016-04-08 01:54:44.000000000 +0500 > +++ russian/security/2016/dla-402.wml 2016-04-12 23:39:10.552118139 +0500 > @@ -1,13 +1,14 @@ > - -<define-tag description>LTS security update</define-tag> > +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" > +<define-tag description>обновление безопасности LTS</define-tag> > <define-tag moreinfo> > - -<p>Two security flaws have been found and solved in libtiff, library that provides > - -support for handling Tag Image File Format (TIFF). These flaws concern out of > - -bounds reads in the TIFFRGBAImage interface, when parsing unsupported values > - -related to LogLUV and CIELab. <a href="https://security-tracker.debian.org/tracker/CVE-2015-8665";>CVE-2015-8665</a> was reported by limingxing and > - -<a href="https://security-tracker.debian.org/tracker/CVE-2015-8683";>CVE-2015-8683</a> by zzf of Alibaba.</p> > +<p>В libtiff, библиотеке, предоставляющей поддержку обработки изображений в формате > +TIFF, были обнаружены и исправлены две уязвимости. Эти уязвимости касаются чтения за пределами > +выделенного буфера памяти в интерфейсе TIFFRGBAImage при выполнении грамматического разбора неподдерживаемых значений, > +связанных с LogLUV и CIELab. Об <a href="https://security-tracker.debian.org/tracker/CVE-2015-8665";>CVE-2015-8665</a> сообщил limingxing, а "О" вместо "Об". Следующее слово же с согласной начинается. > +об <a href="https://security-tracker.debian.org/tracker/CVE-2015-8683";>CVE-2015-8683</a> сообщил zzf из Alibaba.</p> Аналогично "о" вместо "об". > > - -<p>For Debian 6 <q>Squeeze</q>, these issues have been fixed in tiff version > - -3.9.4-5+squeeze13. We recommend you to upgrade your tiff packages.</p> > +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в tiff версии > +3.9.4-5+squeeze13. Рекомендуется обновить пакеты tiff.</p> > </define-tag> > > # do not modify the following line > - --- english/security/2016/dla-406.wml 2016-04-08 01:54:44.000000000 +0500 > +++ russian/security/2016/dla-406.wml 2016-04-12 23:46:07.171320045 +0500 > @@ -1,21 +1,22 @@ > - -<define-tag description>LTS security update</define-tag> > +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" > +<define-tag description>обновление безопасности LTS</define-tag> > <define-tag moreinfo> > - -<p>Several flaws were discovered in the CSRF authentication code of > - -phpMyAdmin.</p> > +<p>В коде CSRF-аутентификации phpMyAdmin было обнаружено несколько > +уязвимостей.</p> > > <ul> > > <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2039";>CVE-2016-2039</a> > > - - <p>The XSRF/CSRF token is generated with a weak algorithm using > - - functions that do not return cryptographically secure values.</p></li> > + <p>Токен XSRF/CSRF создаётся при помощи слабого алгоритма, используя > + функции, которые не возвращают криптографически безопасных значений.</p></li> > > <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2041";>CVE-2016-2041</a> > > - - <p>The comparison of the XSRF/CSRF token parameter with the value saved > - - in the session is vulnerable to timing attacks. Moreover, the > - - comparison could be bypassed if the XSRF/CSRF token matches a > - - particular pattern.</p></li> > + <p>Сравнение параметра токена XSRF/CSRF со значением, сохранённым в > + сессии, уязвимо к атакам по таймингу. Более того, сравнение > + можено обойти в случае, если токен XSRF/CSRF совпадает с моЖНо > + определённым шаблоном.</p></li> -- Best regards, Andrey Skvortsov Secure eMail with gnupg: See http://www.gnupg.org/ PGP Key ID: 0x57A3AEAD
Attachment:
signature.asc
Description: PGP signature