Re: [DONE] wml://security/2015/dla-26{6,3}.wml
On Wed, May 04, 2016 at 12:02:46PM +0500, Lev Lamberov wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA512
>
> - --- english/security/2015/dla-263.wml 2016-04-08 01:24:54.000000000 +0500
> +++ russian/security/2015/dla-263.wml 2016-05-04 12:02:27.804238970 +0500
> @@ -1,31 +1,32 @@
> - -<define-tag description>LTS security update</define-tag>
> +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov"
> +<define-tag description>обновление безопасности LTS</define-tag>
> <define-tag moreinfo>
> - -<p>Two vulnerabilities were identified in the Ruby language interpreter,
> - -version 1.9.1.</p>
> +<p>В интерпретаторе языка Ruby версии 1.9.1 было обнаружено
> +две уязвимости.</p>
>
> <ul>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2012-5371";>CVE-2012-5371</a>
>
> - - <p>Jean-Philippe Aumasson identified that Ruby computed hash values
> - - without properly restricting the ability to trigger hash collisions
> - - predictably, allowing context-dependent attackers to cause a denial
> - - of service (CPU consumption). This is a different vulnerability than
> + <p>Жан=Филипп Омассон определил, что Ruby вычисляет хеш-значения без
> + соответствующего ограничения возможности предсказать столкновения
> + хешей, что позволяет злоумышленникам в зависимости от контекста вызывать отказ
> + в обслуживании (чрезмерное потребление ресурсов ЦП). Это уязвимость отличается от
> <a href="https://security-tracker.debian.org/tracker/CVE-2011-4815";>CVE-2011-4815</a>.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0269";>CVE-2013-0269</a>
>
> - - <p>Thomas Hollstegge and Ben Murphy found that the JSON gem for Ruby
> - - allowed remote attackers to cause a denial of service (resource
> - - consumption) or bypass the mass assignment protection mechanism via
> - - a crafted JSON document that triggers the creation of arbitrary Ruby
> - - symbols or certain internal objects.</p>/li>
> + <p>Томас Холлстеге и Бен Мёрфи обнаружили, что модуль JSON для Ruby
> + позволяет удалённым злоумышленникам вызывать отказ в обслуживании (чрезмерное потребление
> + ресурсов) или обходить механизм защиты массовых назначений с помощью
> + специально сформированного документа JSON, приводящего к созданию произвольных символов
> + Ruby или определённых внутренних объектов.</p>/li>
>
> </ul>
>
> - -<p>For the squeeze distribution, theses vulnerabilities have been fixed in
> - -version 1.9.2.0-2+deb6u5 of ruby1.9.1. We recommend that you upgrade
> - -your ruby1.9.1 package.</p>
> +<p>В выпуске squeeze эти уязвимости были исправлены в
> +версии 1.9.2.0-2+deb6u5 пакета ruby1.9.1. Рекомендуется обновить
> +пакет ruby1.9.1.</p>
> </define-tag>
>
> # do not modify the following line
> - --- english/security/2015/dla-266.wml 2016-04-07 03:10:35.000000000 +0500
> +++ russian/security/2015/dla-266.wml 2016-05-04 11:57:51.832786253 +0500
> @@ -1,31 +1,32 @@
> - -<define-tag description>LTS security update</define-tag>
> +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov"
> +<define-tag description>обновление безопасности LTS</define-tag>
> <define-tag moreinfo>
> - -<p>This upload to Debian squeeze-lts fixes three issues found in the libxml2
> - -package.</p>
> +<p>Данная загрузка в Debian squeeze-lts исправляет три проблемы, обнаруженные в пакете
> +libxml2.</p>
>
> <p>(1) <a href="https://security-tracker.debian.org/tracker/CVE-2015-1819";>CVE-2015-1819</a> / #782782</p>
>
> - -<p>Florian Weimer from Red Hat reported an issue against libxml2, where a
> - -parser which uses libxml2 chokes on a crafted XML document, allocating
> - -gigabytes of data. This is a fine line issue between API misuse and a bug
> - -in libxml2. This issue got addressed in libxml2 upstream and the patch
> - -has been backported to libxml2 in squeeze-lts.</p>
> +<p>Флориан Ваймер из Red Hat сообщил о проблеме в libxml2, при которой код
> +для выполнения грамматического разбора, использующий фильтры libxml2 для работы со специально сформированным документом XML, выделяет
> +несколько гигобайт данных. Эта проблема представляет собой тонкую грань между неправильным использованием API и ошибкой
гиг_а_байт
> +в libxml2. Проблема решена в основной ветке разработки libxml2, заплата
> +была адаптирована для libxml2 в squeeze-lts.</p>
>
> <p>(2) #782985</p>
>
> - -<p>Jun Kokatsu reported an out-of-bounds memory access in libxml2. By
> - -entering an unclosed html comment the libxml2 parser didn't stop parsing
> - -at the end of the buffer, causing random memory to be included in the
> - -parsed comment that was returned to the evoking application.</p>
> - -
> - -<p>In the Shopify application (where this issue was originally discovered),
> - -this caused ruby objects from previous http requests to be disclosed in
> - -the rendered page.</p>
> +<p>Джун Кокатсу сообщил о доступе за пределами выделенного буфера памяти в libxml2. Получая
> +незакрытый комментарий html, код грамматического разбора libxml2 не останавливается
> +в конце буфера, что приводит к доступу к случайному региону памяти, содержимое которого
> +включается в комментарий, передаваемый приложению.</p>
> +
> +<p>В приложении Shopify (в котором эта проблема была изначально обнаружена)
> +это приводит к тому, что объекты ruby из предыдущих запросов http раскрываются в
> +отрисовываемой странице.</p>
>
> <p>(3) #783010</p>
>
> - -<p>Michal Zalewski reported another out-of-bound reads issue in libxml2 that
> - -did not cause any crashes but could be detected under ASAN and Valgrind.</p>
> +<p>Михал Залевски сообщил о чтении за пределами выделенного буфера памяти в libxml2, которые
> +не приводит к аварийным остановкам, но может быть определён ASAN и Valgrind.</p>
о чтении ... котор_о_е не приводит... но может быть определ_ено_
ну и наверно "программами" или "с помощью ASAN и Valgrind"
Reply to: