On 13 Apr, Lev Lamberov wrote: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA512 > - --- english/security/2016/dla-411.wml 2016-04-08 01:54:44.000000000 +0500 > +++ russian/security/2016/dla-411.wml 2016-04-13 23:47:17.359613544 +0500 > @@ -1,37 +1,38 @@ > - -<define-tag description>LTS security update</define-tag> > +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" > +<define-tag description>обновление безопасности LTS</define-tag> > <define-tag moreinfo> > - -<p>Several vulnerabilities have been fixed in the Debian GNU C Library, > - -eglibc:</p> > +<p>В eglibc, библиотеке GNU C для Debian было обнаружено несколько для Debian, > +уязвимостей:</p> > > # do not modify the following line > - --- english/security/2016/dla-442.wml 2016-04-08 01:54:45.000000000 +0500 > +++ russian/security/2016/dla-442.wml 2016-04-13 23:56:59.297013559 +0500 > @@ -1,32 +1,33 @@ > - - <p>The container config is owned by the admin or user on the host, so we > - - do not try to guard against bad entries. However, since the mount > - - target is in the container, it's possible that the container admin > - - could divert the mount with symbolic links. This could bypass proper > - - container startup (i.e. confinement of a root-owned container by the > - - restrictive apparmor policy, by diverting the required write to > - - /proc/self/attr/current), or bypass the (path-based) apparmor policy > - - by diverting, say, /proc to /mnt in the container.</p> > + <p>При запуске контейнера lxc устанавливает изначальное дерево файловой системы > + контейнера, выполняя несколько раз монтирование, которое осуществляется в соответсвии с файлом > + настройки контейнера.</p> > + > + <p>Владельцем файла настройки контейнера является администратор или пользователь узла, поэтому > + защита от плохих записей в нём отсутствует. Тем не менее, поскольку цель монтирования > + находится в контейнере, постольку возможно, что администратор контейнера > + изменил монтирование с помощью символьных ссылок. Это может позволить обойти настройки контейнера > + при его запуске (то есть, изоляция контейнера, владельцем которого является суперпользователь, после "то есть" не надо запятой > + с помощью ограничивающего правила apparmor, путём изменения требуемой записи в > + /proc/self/attr/current), либо обойти правило apparmor (на основе пути) > + путём изменения в контейнере, например, /proc на /mnt.</p> > > - - <p>This update implements a safe_mount() function that prevents lxc from > - - doing mounts onto symbolic links.</p></li> > + <p>Данное обновление реализует функцию safe_mount(), которая не позволяет lxc > + выполнять монтирование в символьные ссылки.</p></li> -- Best regards, Andrey Skvortsov Secure eMail with gnupg: See http://www.gnupg.org/ PGP Key ID: 0x57A3AEAD
Attachment:
signature.asc
Description: PGP signature