Re: [DONE] wml://security/2016/dla-{387,412,439}.wml
On Sun, Apr 17, 2016 at 07:36:40PM +0500, Lev Lamberov wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA512
>
> - --- english/security/2016/dla-387.wml 2016-04-08 01:54:44.000000000 +0500
> +++ russian/security/2016/dla-387.wml 2016-04-17 19:03:37.626158409 +0500
> @@ -1,50 +1,51 @@
> - -<define-tag description>LTS security update</define-tag>
> +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov"
> +<define-tag description>обновление безопасности LTS</define-tag>
> <define-tag moreinfo>
> - -<p>The Qualys Security team discovered two vulnerabilities in the roaming
> - -code of the OpenSSH client (an implementation of the SSH protocol
> - -suite).</p>
> - -
> - -<p>SSH roaming enables a client, in case an SSH connection breaks
> - -unexpectedly, to resume it at a later time, provided the server also
> - -supports it.</p>
> - -
> - -<p>The OpenSSH server doesn't support roaming, but the OpenSSH client
> - -supports it (even though it's not documented) and it's enabled by
> - -default.</p>
> +<p>Команда Qualys Security обнаружила две уязвимости в коде автоматической настройки
> +сети в клиенте OpenSSH (реализации набора протоколов
> +SSH).</p>
> +
> +<p>Автоматическая настройка сети SSH позволяет клиенту в случаях, когда SSH-соединение
> +прерывается неожиданно, восстанавливать его при условии того, что сервер тоже
> +поддерживает эту возможность.</p>
> +
> +<p>Сервер OpenSSH не поддерживает автоматическую настройку сети, а клиент OpenSSH
> +поддерживает эту возможность (даже несмотря на то, что она не описана в документации), в клиенте
> +она включена по умолчанию.</p>
>
> <ul>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0777";>CVE-2016-0777</a>
>
> - - <p>An information leak (memory disclosure) can be exploited by a rogue
> - - SSH server to trick a client into leaking sensitive data from the
> - - client memory, including for example private keys.</p></li>
> + <p>Утечка информации (раскрытие содержимого памяти) может использоваться SSH-сервером
> + злоумышленника для того, чтобы клиент передал чувствительные данные из
> + клиентской памяти, включая закрытые ключи.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0778";>CVE-2016-0778</a>
>
> - - <p>A buffer overflow (leading to file descriptor leak), can also be
> - - exploited by a rogue SSH server, but due to another bug in the code
> - - is possibly not exploitable, and only under certain conditions (not
> - - the default configuration), when using ProxyCommand, ForwardAgent or
> + <p>Переполнение буфера (приводящее к утечке файловых дескрипторов) может
> + использоваться SSH-сервером злоумышленника, но из-за другой ошибки в коде
> + оно, вероятно, может использоваться только при определённых условиях (не
> + при настройках по умолчанию) при использовании ProxyCommand, ForwardAgent или
> ForwardX11.</p></li>
>
> </ul>
>
> - -<p>This security update completely disables the roaming code in the OpenSSH
> - -client.</p>
> +<p>Данное обновление безопасности полностью отключает код автоматической настройки сети в
> +клиенте OpenSSH.</p>
>
> - -<p>It is also possible to disable roaming by adding the (undocumented)
> - -option <q>UseRoaming no</q> to the global /etc/ssh/ssh_config file, or to the
> - -user configuration in ~/.ssh/config, or by passing -oUseRoaming=no on
> - -the command line.</p>
> - -
> - -<p>Users with passphrase-less privates keys, especially in non interactive
> - -setups (automated jobs using ssh, scp, rsync+ssh etc.) are advised to
> - -update their keys if they have connected to an SSH server they don't
> - -trust.</p>
> +<p>Кроме того, автоматическую настройку можно отключить, добавив (не описанную в документации)
> +опцию <q>UseRoaming no</q> в глобальный файл /etc/ssh/ssh_config, либо в
> +пользовательские настройки в ~/.ssh/config, либо передав -oUseRoaming=no
> +в командной строку.</p>
> +
> +<p>Пользователям, использующим закрытые ключи без паролей, особенно при неинтерактивной
> +настройке (автоматические задачи, использующие ssh, scp, rsync+ssh и т. д.), рекомендуется
> +обновить свои ключи в том случае, если они подключались к SSH-серверу, которому они
> +не доверяют.</p>
>
> - -<p>More details about identifying an attack and mitigations can be found in
> - -the Qualys Security Advisory.</p>
> +<p>Дополнительную информацию об определении атак этого вида и средствах минимазации рисков можно найти
> +в рекомендации по безопасности Qualys.</p>
> </define-tag>
>
> # do not modify the following line
> - --- english/security/2016/dla-412.wml 2016-04-08 01:54:44.000000000 +0500
> +++ russian/security/2016/dla-412.wml 2016-04-17 19:13:06.556928051 +0500
> @@ -1,51 +1,52 @@
> - -<define-tag description>LTS security update</define-tag>
> +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov"
> +<define-tag description>обновление безопасности LTS</define-tag>
> <define-tag moreinfo>
> - -<p>This update fixes the CVEs described below.</p>
> +<p>Данное обновление исправляет описанные ниже CVE.</p>
>
> <ul>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7566";>CVE-2015-7566</a>
>
> - - <p>Ralf Spenneberg of OpenSource Security reported that the visor
> - - driver crashes when a specially crafted USB device without bulk-out
> - - endpoint is detected.</p></li>
> + <p>Ральф Шпеннеберг из OpenSource Security сообщил, что драйвер visor
> + аварийно завершает свою работу при обнаружении специально сформированного устройства USB, не
> + имеющего конечной точки передачи массива данных.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8767";>CVE-2015-8767</a>
>
> - - <p>An SCTP denial-of-service was discovered which can be triggered by a
> - - local attacker during a heartbeat timeout event after the 4-way
> - - handshake.</p></li>
> + <p>Был обнаружен отказ в обслуживании SCTP, который может быть вызван
> + локальным злоумышленником по время события таймауте для периодического контрольного сообщения после
_в_о время события таймаут_а_
> + 4-стороннего рукопожатия.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8785";>CVE-2015-8785</a>
>
> - - <p>It was discovered that local users permitted to write to a file on
> - - a FUSE filesystem could cause a denial of service (unkillable loop
> - - in the kernel).</p></li>
> + <p>Было обнаружено, что локальные пользователи, имеющие права на запись в файл в
> + файловой системе FUSE, могут вызывать отказ в обслуживании (цикл в ядре, который
> + невозможно принудительно завершить).</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0723";>CVE-2016-0723</a>
>
> - - <p>A use-after-free vulnerability was discovered in the TIOCGETD ioctl.
> - - A local attacker could use this flaw for denial-of-service.</p></li>
> + <p>В TIOCGETD ioctl было обнаружено использование указателей после освобождения памяти.
> + Локальный злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2069";>CVE-2016-2069</a>
>
> - - <p>Andy Lutomirski discovered a race condition in flushing of the TLB
> - - when switching tasks. On an SMP system this could possibly lead to
> - - a crash, information leak or privilege escalation.</p></li>
> + <p>Энди Лутомирски обнаружил состояние гонки в коде для сбрасывания TLB на диск
> + при переключении задач. В системе с SMP это может приводить к
> + аварийным остановкам, утечкам информации или повышению привилегий.</p></li>
>
> </ul>
>
> - -<p>For the oldoldstable distribution (squeeze), these problems have been
> - -fixed in version 2.6.32-48squeeze19. Additionally, this version
> - -includes upstream stable update 2.6.32.70. This is the final update
> - -to the linux-2.6 package for squeeze.</p>
> - -
> - -<p>For the oldstable distribution (wheezy), these problems will be fixed
> - -soon.</p>
> - -
> - -<p>For the stable distribution (jessie), <a href="https://security-tracker.debian.org/tracker/CVE-2015-7566";>CVE-2015-7566</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-8767";>CVE-2015-8767</a> and
> - -<a href="https://security-tracker.debian.org/tracker/CVE-2016-0723";>CVE-2016-0723</a> were fixed in linux version 3.16.7-ckt20-1+deb8u3 and
> - -the remaining problems will be fixed soon.</p>
> +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были
> +исправлены в версии 2.6.32-48squeeze19. Кроме того, данная версия
> +включает в себя стабильное обновление из основной ветки разработки, 2.6.32.70. Это последнее обновление
> +пакета linux-2.6 для squeeze.</p>
> +
> +<p>В предыдущем стабильном выпуске (wheezy) эти проблемы будут исправлены
> +позже.</p>
> +
> +<p>В стабильном выпуске (jessie) <a href="https://security-tracker.debian.org/tracker/CVE-2015-7566";>CVE-2015-7566</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-8767";>CVE-2015-8767</a> и
> +<a href="https://security-tracker.debian.org/tracker/CVE-2016-0723";>CVE-2016-0723</a> были исправлены в linux версии 3.16.7-ckt20-1+deb8u3, а
> +остальные проблемы будут исправлены позже.</p>
> </define-tag>
>
> # do not modify the following line
> - --- english/security/2016/dla-439.wml 2016-04-08 01:54:44.000000000 +0500
> +++ russian/security/2016/dla-439.wml 2016-04-17 19:36:20.588576272 +0500
> @@ -1,54 +1,55 @@
> - -<define-tag description>LTS security update</define-tag>
> +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov"
> +<define-tag description>обновление безопасности LTS</define-tag>
> <define-tag moreinfo>
> - -<p>This update fixes the CVEs described below.</p>
> +<p>Данное обновление исправляет описанные ниже CVE.</p>
>
> <ul>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8812";>CVE-2015-8812</a>
>
> - - <p>A flaw was found in the iw_cxgb3 Infiniband driver. Whenever it
> - - could not send a packet because the network was congested, it
> - - would free the packet buffer but later attempt to send the packet
> - - again. This use-after-free could result in a denial of service
> - - (crash or hang), data loss or privilege escalation.</p></li>
> + <p>В драйвере Infiniband iw_cxgb3 была обнаружена уязвимость. Когда драйвер
> + не может отправить пакет из-за перегрузки сети, он
> + освобождает пакетный буфер, но затем пытается отправить этот пакет
> + снова. Это использование указателей после освобождения памяти может приводить к отказу
> + в обслуживании (аварийная остановка или зависание), потере данных или повышению привилегий.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0774";>CVE-2016-0774</a>
>
> - - <p>It was found that the fix for <a href="https://security-tracker.debian.org/tracker/CVE-2015-1805";>CVE-2015-1805</a> in kernel versions
> - - older than Linux 3.16 did not correctly handle the case of a
> - - partially failed atomic read. A local, unprivileged user could
> - - use this flaw to crash the system or leak kernel memory to user
> - - space.</p></li>
> + <p>Было обнаружено, что исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2015-1805";>CVE-2015-1805</a> в версиях ядра
> + Linux старее 3.16 неправильно обрабатывает случай
лучше "старше" или "больше"
> + частично ошибочного атомарного чтения. Локальный непривилегированный пользователь может
> + использовать эту уязвимость для аварийного завершения работы системы или утечки содержимого памяти ядра в
> + пространство пользователя.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2384";>CVE-2016-2384</a>
>
> - - <p>Andrey Konovalov found that a USB MIDI device with an invalid USB
> - - descriptor could trigger a double-free. This may be used by a
> - - physically present user for privilege escalation.</p></li>
> + <p>Андрей Коновалов обнаружил, что USB MIDI-устройство с неправильным
> + USB-дескриптором может вызывать двойное освобождения памяти. Это может использоваться
> + пользователем, имеющим физический доступ к системе, для повышения привилегий.</p></li>
>
> </ul>
>
> - -<p>Additionally, it fixes some old security issues with no CVE ID:</p>
> +<p>Кроме того, обновление исправляет некоторые старые проблемы безопасности, не имеющие идентификатора CVE:</p>
>
> - - <p>Several kernel APIs permitted reading or writing 2 GiB of data or
> - - more in a single chunk, which could lead to an integer overflow
> - - when applied to certain filesystems, socket or device types. The
> - - full security impact has not been evaluated.</p>
> - -
> - -<p>Finally, it fixes a regression in 2.6.32-48squeeze17 that would cause
> - -Samba to hang in some situations.</p>
> - -
> - -<p>For the oldoldstable distribution (squeeze), these problems have been
> - -fixed in version 2.6.32-48squeeze20. This is *really* the final
> - -update to the linux-2.6 package for squeeze.</p>
> - -
> - -<p>For the oldstable distribution (wheezy), the kernel was not affected
> - -by the integer overflow issues and the remaining problems will be
> - -fixed in version 3.2.73-2+deb7u3.</p>
> - -
> - -<p>For the stable distribution (jessie), the kernel was not affected by
> - -the integer overflow issues or <a href="https://security-tracker.debian.org/tracker/CVE-2016-0774";>CVE-2016-0774</a>, and the remaining
> - -problems will be fixed in version 3.16.7-ckt20-1+deb8u4.</p>
> + <p>Несколько API ядра имеют права на чтение или запись 2 или более ГБ данных
Несколько _функций_ API ядра _разрешали_ чтение или запись
> + в виде одной части, что может приводить к переполнению целых чисел в случае,
в виде _целого блока_, что _могло_ приводить
> + работы с некоторыми файловыми системами, сокетами или типами устройств. Полностью
> + влияние этой проблемы на безопасность исследовано не было.</p>
> +
> +<p>Наконец это обновление исправляет регресс в версии 2.6.32-48squeeze17, который в некоторых
> +ситуациях приводил к зависанию Samba.</p>
> +
> +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были
> +исправлены в версии 2.6.32-48squeeze20. Это *действительно* последнее
> +обновление пакета linux-2.6 для squeeze.</p>
> +
> +<p>В предыдущем стабильном выпуске (wheezy) ядро не подвержено
> +проблемам с переполнением целых чисел, а остальные проблемы будут
> +исправлены в версии 3.2.73-2+deb7u3.</p>
> +
> +<p>В стабильном выпуске (jessie) ядро не подвержено
> +проблемам с переполнением целых чисел и <a href="https://security-tracker.debian.org/tracker/CVE-2016-0774";>CVE-2016-0774</a>, а остальные
> +проблемы будут исправлены в версии 3.16.7-ckt20-1+deb8u4.</p>
> </define-tag>
>
> # do not modify the following line
> -----BEGIN PGP SIGNATURE-----
>
> iQIcBAEBCgAGBQJXE59zAAoJEF7nbuICFtKlMZEQAK4Tuz5WqEWZqrtCbiSCNy3U
> +uaERIr1MbksW1CCqqWjWIgHg1L9upQC6/qExYCOIB0AgJn6bfh8jf1lDgQBe4A1
> 46RUILI8IU2Xff/WusrjCUNKnwX9sSM2syTrQYaKajyfjycK99XE+WhxI9X7ZCyk
> t67eIhIEu4VFEhkEBR0WiHHijWc85js97WPJE1LDr+p9UN+Lirx+lZdOI4oieXNi
> 6m9TTvGNwZYasrxmG0lE9EE7iKrGJViAF09RMTUnI5I2yUTFpPtPZoj7TdsBzIx/
> 4S6/imZKdDtEC9pxemUWX9pJ71O8gPHauuo64fhLtU6LsU90Vu9J9q5K5kPUvv7s
> zty//Sl9OxkJMz/2yCcTv7BJGok41p46IpDc1EEVSM/2InjpHHmN3zeE3sl2+Gin
> ZPcTLO2dVWy8FX4/wTy1whDRg0seQNx90yvTzt818CoNqbbq7MgKXjbq4mb7gWt+
> f7Q9X0tyXZrEJ4nvqAVkRjwppyyf9b9vZR2yWMXNXKwet0uCZkR8vXWYn3Mm+BSc
> o2o59z4PSUL3ofMaDjzExuhJdnSkkAA206ggoA9l6FB0rfnvsXrYuumZbnKQyJwj
> Gtd/XC4oWasgzFyrktntGquwBIA2NK10N9yoT1YMXKA32vZXQHwtryXUHtAttkZ4
> /wXnk774hKFR+DeM1s5S
> =hAJp
> -----END PGP SIGNATURE-----
>
Reply to: