Re: [DONE] wml://{security/2015/dla-335.wml}

To: debian-l10n-russian@lists.debian.org
Subject: Re: [DONE] wml://{security/2015/dla-335.wml}
From: Andrey Skvortsov <andrej.skvortzov@gmail.com>
Date: Thu, 9 Jun 2016 09:46:05 +0300
Message-id: <[🔎] 20160609064605.GC26503@localhost.localdomain>
Mail-followup-to: Andrey Skvortsov <andrej.skvortzov@gmail.com>, debian-l10n-russian@lists.debian.org
In-reply-to: <[🔎] E1bAi7j-0005p2-L1@riseup.net>
References: <[🔎] E1bAi7j-0005p2-L1@riseup.net>

On 08 Jun, Lev Lamberov wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA512
> 
> - --- english/security/2015/dla-335.wml	2016-04-08 01:24:54.000000000 +0500
> +++ russian/security/2015/dla-335.wml	2016-06-08 23:22:32.308602334 +0500
> @@ -1,148 +1,150 @@


>  <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5300";>CVE-2015-5300</a>
>  
> - -    <p>It was found that ntpd did not correctly implement the -g option:</p>
> +    <p>Было обнаружено, что в ntpd неправильно реализована опция -g:</p>
>  
> - -    <p>Normally, ntpd exits with a message to the system log if the offset
> - -    exceeds the panic threshold, which is 1000 s by default. This
> - -    option allows the time to be set to any value without restriction;
> - -    however, this can happen only once. If the threshold is exceeded
> - -    after that, ntpd will exit with a message to the system log. This
> - -    option can be used with the -q and -x options.</p>
> - -
> - -    <p>ntpd could actually step the clock multiple times by more than the
> - -    panic threshold if its clock discipline doesn't have enough time to
> - -    reach the sync state and stay there for at least one update. If a
> - -    man-in-the-middle attacker can control the NTP traffic since ntpd
> - -    was started (or maybe up to 15-30 minutes after that), they can
> - -    prevent the client from reaching the sync state and force it to step
> - -    its clock by any amount any number of times, which can be used by
> - -    attackers to expire certificates, etc.</p>
> - -
> - -    <p>This is contrary to what the documentation says. Normally, the
> - -    assumption is that an MITM attacker can step the clock more than the
> - -    panic threshold only once when ntpd starts and to make a larger
> - -    adjustment the attacker has to divide it into multiple smaller
> - -    steps, each taking 15 minutes, which is slow.</p></li>
> +    <p>При обычных обстоятельствах ntpd завершается с сообщением в системный журнал в том случае, если
> +    отступ превышает предельную для паники величину, которая по умолчанию равна 1000 секунд. Эта
> +    опция позволяет устанавливать время в любое значение без ограничений.
> +    Тем не менее, это происходит только один раз. Если после этого превышается
> +    предельная величина, то ntpd завершается с сообщением в системный журнал. Эта
> +    опция может использоваться с опциями -q и -x.</p>
Что-то я не понял разницы между последствиями первого и второго
превышения предельной величины. Судя по этому абзацу в обоих случаях
ntpd завершает свое выполнение с сообщением в системный журнал.

> +
> +    <p>Фактически, ntpd должен изменять время несколько раз на более, чем
> +    предельную для паники величину в том случае, если порядок обслуживания часов не имеет достаточного
> +    количества времени для достижения состояния синхронизации и остаётся
> +    в таком состоянии по меньшей мере одно обновление. Если
> +    злоумышленник может управлять трафиком NTP с момента запуска ntpd
> +    (или вплоть до 15-30 минут после), то он может
> +    не дать клиенту достичь состояния синхронизации и заставить его перевести
> +    часы на любое количество времени любое количество раз, что может использоваться
> +    злоумышленниками для искусственного окончания действия сертификатов и т. д.</p>
> +
> +    <p>Это поведение не соответствует тому, что написано в документации. Обычно
> +    допущение заключается в том, что MITM-злоумышленник может перевести часы на большее количество
> +    времени за предельную для паники величину только один раз в момент запуска ntpd, и для того, чтобы изменить
> +    время на какое-либо большое значение, злоумышленнику следует разделить это действие на несколько небольших
> +    шагов, каждый из которых занимает 15 минут, что довольно медленно.</p></li>
>  



>  
>  <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7701";>CVE-2015-7701</a>
>  
> - -    <p>A memory leak flaw was found in ntpd's CRYPTO_ASSOC. If ntpd is
> - -    configured to use autokey authentication, an attacker could send
> - -    packets to ntpd that would, after several days of ongoing attack,
> - -    cause it to run out of memory.</p></li>
> +    <p>В CRYPTO_ASSOC в ntpd была обнаружена утечка памяти. Если ntpd
> +    настроен на использование автоключевой аутентификации, то злоумышленник может отправлять
> +    пакеты ntpd, которые по истечению нескольких дней продолжающей атаки
продолжающейСЯ

> +    приведут к истощению памяти.</p></li>
>  

>  
>  <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7850";>CVE-2015-7850</a>
>  
> - -    <p>An exploitable denial of service vulnerability exists in the remote
> - -    configuration functionality of the Network Time Protocol. A
> - -    specially crafted configuration file could cause an endless loop
> - -    resulting in a denial of service.  An attacker could provide a the
> - -    malicious configuration file to trigger this vulnerability.</p></li>
> +    <p>В удалённой настройке NTP имеется отказ в обслуживании, который
> +    может использовать злоумышленниками. Специально
использоватьСЯ

> +    сформированный файл настройки может вызвать бесконечный цикл,
> +    приводящий к отказу в обслуживании.  Злоумышленник может передать
> +    некорректный файл настройки с целью вызова указанной уязвимости.</p></li>
>  

>  
>  <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7871";>CVE-2015-7871</a>
>  
> - -    <p>An error handling logic error exists within ntpd that manifests due
> - -    to improper error condition handling associated with certain
> - -    crypto-NAK packets. An unauthenticated, off-path attacker can force
> - -    ntpd processes on targeted servers to peer with time sources of the
> - -    attacker's choosing by transmitting symmetric active crypto-NAK
> - -    packets to ntpd. This attack bypasses the authentication typically
> - -    required to establish a peer association and allows an attacker to
> - -    make arbitrary changes to system time.</p></li>
> +    <p>В ntpd имеется ошибка в логике обработки ошибок, которая проявляется из-за
> +    некорректной обработки состояния ошибки, связанного с определёнными
> +    crypto-NAK пакетов. Неаутентифицированный злоумышленник может заставить
пакетАМИ?

> +    процесс ntpd на целевых серверах обратиться к источникам времени,
> +    выбранным злоумышленникам, путём передачи ntpd симметричных активных crypto-NAK
> +    пакетов. Данная атака позволяет обойти аутентификацию, которая обычно
> +    требуется для установления соединения, что позволяет злоумышленнику
> +    произвольно менять системное время.</p></li>

-- 
Best regards,
Andrey Skvortsov

Attachment: signature.asc
Description: PGP signature

Reply to:

Follow-Ups:
- Re: [DONE] wml://{security/2015/dla-335.wml}
  - From: Lev Lamberov <dogsleg@debian.org>

References:
- [DONE] wml://{security/2015/dla-335.wml}
  - From: Lev Lamberov <dogsleg@debian.org>

Prev by Date: Re: [DONE] wml://{security/2015/dla-246.wml}
Next by Date: [DONE] wml://{security/2016/dsa-3599.wml}
Previous by thread: [DONE] wml://{security/2015/dla-335.wml}
Next by thread: Re: [DONE] wml://{security/2015/dla-335.wml}
Index(es):
- Date
- Thread