Re: [DONE] wml://{security/2015/dla-335.wml}
On Wed, Jun 08, 2016 at 11:22:39PM +0500, Lev Lamberov wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA512
>
> - --- english/security/2015/dla-335.wml 2016-04-08 01:24:54.000000000 +0500
> +++ russian/security/2015/dla-335.wml 2016-06-08 23:22:32.308602334 +0500
> @@ -1,148 +1,150 @@
> - -<define-tag description>LTS security update</define-tag>
> +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov"
> +<define-tag description>обновление безопасности LTS</define-tag>
> <define-tag moreinfo>
> - -<p>Several security issues where found in ntp:</p>
> +<p>В ntp было обнаружено несколько проблем безопасности:</p>
>
> <ul>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5146";>CVE-2015-5146</a>
>
> - - <p>A flaw was found in the way ntpd processed certain remote
> - - configuration packets. An attacker could use a specially crafted
> - - package to cause ntpd to crash if:</p>
> + <p>Была обнаружена уязвимость в способе, используемом ntpd для обработки определённых
> + пакетов удалённой настройки. Злоумышленник может использовать специально сформированный
> + пакет для вызова аварийной остановки ntpd в случае, если выполнены следующие условия:</p>
> <ul>
> - - <li>ntpd enabled remote configuration</li>
> - - <li>The attacker had the knowledge of the configuration password</li>
> - - <li>The attacker had access to a computer entrusted to perform remote
> - - configuration</li>
> + <li>в ntpd включена удалённая настройка,</li>
> + <li>злоумышленник знает пароль для настройки,</li>
> + <li>злоумышленник имеет доступ к компьютеру, входящему в список доверенных компьютеров, с которых
> + можно выполнять удалённую настройку.</li>
> </ul>
>
> - - <p>Note that remote configuration is disabled by default in NTP.</p></li>
> + <p>Заметьте, что удалённая настройка по умолчанию отключена в NTP.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5194";>CVE-2015-5194</a>
>
> - - <p>It was found that ntpd could crash due to an uninitialized variable
> - - when processing malformed logconfig configuration commands.</p></li>
> + <p>Было обнаружено, что ntpd аварийно завершает свою работу из-за неинициализированной переменной
> + при обработке некорректных команд настройки logconfig.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5195";>CVE-2015-5195</a>
>
> - - <p>It was found that ntpd exits with a segmentation fault when a
> - - statistics type that was not enabled during compilation (e.g.
> - - timingstats) is referenced by the statistics or filegen
> - - configuration command</p></li>
> + <p>Было обнаружено, что ntpd завершается с ошибкой сегментирования в том случае,
> + если тип статистики, который не был включен в ходе компиляции (например,
> + timingstats) указывается к команде настройки statistics или
> + filegen</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5219";>CVE-2015-5219</a>
>
> - - <p>It was discovered that sntp program would hang in an infinite loop when
> - - a crafted NTP packet was received, related to the conversion of the
> - - precision value in the packet to double.</p></li>
> + <p>Было обнаружено, что программа sntp входит в бесконечный цикл при
> + получении специально сформированного пакета NTP. Эта проблема связана с преобразованием
> + точного значения в пакете в вещественное число двойной точности.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5300";>CVE-2015-5300</a>
>
> - - <p>It was found that ntpd did not correctly implement the -g option:</p>
> + <p>Было обнаружено, что в ntpd неправильно реализована опция -g:</p>
>
> - - <p>Normally, ntpd exits with a message to the system log if the offset
> - - exceeds the panic threshold, which is 1000 s by default. This
> - - option allows the time to be set to any value without restriction;
> - - however, this can happen only once. If the threshold is exceeded
> - - after that, ntpd will exit with a message to the system log. This
> - - option can be used with the -q and -x options.</p>
> - -
> - - <p>ntpd could actually step the clock multiple times by more than the
> - - panic threshold if its clock discipline doesn't have enough time to
> - - reach the sync state and stay there for at least one update. If a
> - - man-in-the-middle attacker can control the NTP traffic since ntpd
> - - was started (or maybe up to 15-30 minutes after that), they can
> - - prevent the client from reaching the sync state and force it to step
> - - its clock by any amount any number of times, which can be used by
> - - attackers to expire certificates, etc.</p>
> - -
> - - <p>This is contrary to what the documentation says. Normally, the
> - - assumption is that an MITM attacker can step the clock more than the
> - - panic threshold only once when ntpd starts and to make a larger
> - - adjustment the attacker has to divide it into multiple smaller
> - - steps, each taking 15 minutes, which is slow.</p></li>
> + <p>При обычных обстоятельствах ntpd завершается с сообщением в системный журнал в том случае, если
можно просто -- "Обычно ntpd ..."
> + отступ превышает предельную для паники величину, которая по умолчанию равна 1000 секунд. Эта
> + опция позволяет устанавливать время в любое значение без ограничений.
> + Тем не менее, это происходит только один раз. Если после этого превышается
> + опция позволяет устанавливать время в любое значение без ограничений.
> + Тем не менее, это происходит только один раз. Если после этого превышается
> + предельная величина, то ntpd завершается с сообщением в системный журнал. Эта
> + опция может использоваться с опциями -q и -x.</p>
> +
Вообще, "threshold" -- это "порог" или "пороговое значение". Не
знаю как тебе, но для меня это вполне себе точный и чёткий
перевод, согласованный с моим образованием (электропривод эт
сетера) и, думаю, у программистов это слово точно так же в
ходу. Вопрос тут больше вызывает слово "offset", поскольку понятие
широкое. В данном контексте я бы сказал "разница по/во времени"
или вообще без предлога, что-то вроде "временная разница", есссно
с ударением на "а" читается, но кто в теме, тот поймёт. Таким
образом, предложение приобрело бы такую форму:
Обычно ntpd завершается с сообщением в системный журнал, если
разница по времени превышает пороговое значение "паники", которое
по умолчанию равно 1000 секунд. Эта опция позволяет задать любое
значение времени без ограничения, но это можно сделать только
однажды. Если порог будет превышен после этого (если пороговое
значение превысить/будет превышено позже), ntpd завершится с
сообщением в системный журнал.
и т. д.
> + <p>Фактически, ntpd должен изменять время несколько раз на более, чем
вот, тоже не люблю, когда приходится выбирать "должен"/"должна"
обычно в таких случаях я явно пишу "программа (или служба) ntpd
должна", иначе непонятно, хто оно есть на самом деле :)
> + предельную для паники величину в том случае, если порядок обслуживания часов не имеет достаточного
здесь тоже "порог"
> + количества времени для достижения состояния синхронизации и остаётся
> + в таком состоянии по меньшей мере одно обновление. Если
> + злоумышленник может управлять трафиком NTP с момента запуска ntpd
> + (или вплоть до 15-30 минут после), то он может
> + не дать клиенту достичь состояния синхронизации и заставить его перевести
> + часы на любое количество времени любое количество раз, что может использоваться
> + злоумышленниками для искусственного окончания действия сертификатов и т. д.</p>
> +
> + <p>Это поведение не соответствует тому, что написано в документации. Обычно
> + допущение заключается в том, что MITM-злоумышленник может перевести часы на большее количество
> + времени за предельную для паники величину только один раз в момент запуска ntpd, и для того, чтобы изменить
> + время на какое-либо большое значение, злоумышленнику следует разделить это действие на несколько небольших
> + шагов, каждый из которых занимает 15 минут, что довольно медленно.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7691";>CVE-2015-7691</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-7692";>CVE-2015-7692</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-7702";>CVE-2015-7702</a>
>
> - - <p>It was found that the fix for <a href="https://security-tracker.debian.org/tracker/CVE-2014-9750";>CVE-2014-9750</a> was incomplete: three
> - - issues were found in the value length checks in ntp_crypto.c, where
> - - a packet with particular autokey operations that contained malicious
> - - data was not always being completely validated. Receipt of these
> - - packets can cause ntpd to crash.</p></li>
> + <p>Было обнаружено, что исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2014-9750";>CVE-2014-9750</a> неполно: были
> + обнаружены проблемы в проверке длины значения в ntp_crypto.c, где
> + пакет с определёнными автоключевыми операциями, содержащими некорректные
> + данные, не всегда проверялся полностью. Получение этих
> + пакетов приводит к аварийной остановке ntpd.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7701";>CVE-2015-7701</a>
>
> - - <p>A memory leak flaw was found in ntpd's CRYPTO_ASSOC. If ntpd is
> - - configured to use autokey authentication, an attacker could send
> - - packets to ntpd that would, after several days of ongoing attack,
> - - cause it to run out of memory.</p></li>
> + <p>В CRYPTO_ASSOC в ntpd была обнаружена утечка памяти. Если ntpd
> + настроен на использование автоключевой аутентификации, то злоумышленник может отправлять
> + пакеты ntpd, которые по истечению нескольких дней продолжающей атаки
> + приведут к истощению памяти.</p></li>
я видел уже, что Андрей исправлял, но, во-первых, "по истечени_и_",
а во-вторых, я бы перефразировал здесь:
"в результате продолжительной многодневной атаки приведут"
и вместо "истощения" я бы использовал "исчерпание", всё-таки
"out of memory" означает отсутствие, а не недостаток.
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7703";>CVE-2015-7703</a>
>
> - - <p>Miroslav Lichvár of Red Hat found that the :config command can be
> - - used to set the pidfile and driftfile paths without any
> - - restrictions. A remote attacker could use this flaw to overwrite a
> - - file on the file system with a file containing the pid of the ntpd
> - - process (immediately) or the current estimated drift of the system
> - - clock (in hourly intervals). For example:</p>
> + <p>Мирослав Личвар из Red Hat обнаружил, что команда :config может
> + использоваться для установки путей к pid-файлу и drift-файлу без
> + каких-либо ограничений. Удалённый злоумышленник может использовать эту уязвимость для перезаписи
> + файла в файловой системе файлом, содержащим pid процесса ntpd
> + или текущее оцениваемое смещение системных
> + часов (в часовых интервалах). Например:</p>
> <pre>
> ntpq -c ':config pidfile /tmp/ntp.pid'
> ntpq -c ':config driftfile /tmp/ntp.drift'
> </pre>
> - - <p>In Debian ntpd is configured to drop root privileges, which limits
> - - the impact of this issue.</p></li>
> + <p>В Debian ntpd настроен так, чтобы сбрасывать привилегии суперпользователя, что ограничивает
> + влияние этой проблемы.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7704";>CVE-2015-7704</a>
>
> - - <p>When ntpd as an NTP client receives a Kiss-of-Death (KoD) packet
> - - from the server to reduce its polling rate, it doesn't check if the
> - - originate timestamp in the reply matches the transmit timestamp from
> - - its request. An off-path attacker can send a crafted KoD packet to
> - - the client, which will increase the client's polling interval to a
> - - large value and effectively disable synchronization with the server.</p></li>
> + <p>Когда ntpd в качестве NTP-клиента получает KoD-пакет (поцелуй смерти)
> + от сервера для снижения частоты опроса, он не выполняет проверку того, совпадает
> + инициированная временная отметка в ответе с временной отметкой передачи из
здесь, кажется, пропущена частица "ли"
> + запроса. Злоумышленник может отправить специально сформированный KoD-пакет
> + клиенту, который увеличит интервал опроса клиента
> + до большого значения и приведёт к отключению синхронизации с сервером.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7850";>CVE-2015-7850</a>
>
> - - <p>An exploitable denial of service vulnerability exists in the remote
> - - configuration functionality of the Network Time Protocol. A
> - - specially crafted configuration file could cause an endless loop
> - - resulting in a denial of service. An attacker could provide a the
> - - malicious configuration file to trigger this vulnerability.</p></li>
> + <p>В удалённой настройке NTP имеется отказ в обслуживании, который
> + может использовать злоумышленниками. Специально
> + сформированный файл настройки может вызвать бесконечный цикл,
> + приводящий к отказу в обслуживании. Злоумышленник может передать
> + некорректный файл настройки с целью вызова указанной уязвимости.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7851";>CVE-2015-7851</a>
>
> - - <p>A potential path traversal vulnerability exists in the config file
> - - saving of ntpd on VMS. A specially crafted path could cause a path
> - - traversal potentially resulting in files being overwritten. An
> - - attacker could provide a malicious path to trigger this
> - - vulnerability.</p>
> + <p>В коде сохранения файла настройки ntpd на VMS имеется потенциальная
> + возможность обойти путь. Специально сформированный путь может приводить к обходу
> + пути, что потенциально приводит к перезаписи файлов. Злоумышленник
> + может передать некорректный путь с целью вызова указанной
> + уязвимости.</p>
А вот здесь, что такое значит "обойти путь"? Звучит совершенно
непонятно. Если непонятно, надо разобраться. Я слышал такое
применение "traverse", когда речь идёт о применении символьных
ссылок, с помощью которых можно вызвать какую-нибудь программу в
другом каталоге, в котором обычно это сделать невозможно. Думаю, в
этом случае речь идёт о чём-то подобном, только вместо ссылок
используются разные точки-палки, чтобы замучить парсер. Поэтому у
меня появился вариант "подмена пути" или "подменить путь".
>
> - - <p>This issue does not affect Debian.</p></li>
> + <p>Данная уязвимость не касается Debian.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7852";>CVE-2015-7852</a>
>
> - - <p>A potential off by one vulnerability exists in the cookedprint
> - - functionality of ntpq. A specially crafted buffer could cause a
> - - buffer overflow potentially resulting in null byte being written out
> - - of bounds.</p></li>
> + <p>В cookedprint в ntpq имеется потенциальная ошибка на
> + единицу. Специально сформированный буфер может вызвать
> + переполнение буфера, потенциально приводящее к записи null-байта за
> + пределами выделенного буфера памяти.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7855";>CVE-2015-7855</a>
>
> - - <p>It was found that NTP's decodenetnum() would abort with an assertion
> - - failure when processing a mode 6 or mode 7 packet containing an
> - - unusually long data value where a network address was expected. This
> - - could allow an authenticated attacker to crash ntpd.</p></li>
> + <p>Было обнаружено, что функция decodenetnum() в NTP прерывает работу с
> + ошибкой утверждения в ходе обработки пакета режима 6 или режима 7, содержащего
> + необычно длинное значение данных в месте, где ожидается сетевой адрес. Это
> + может позволить аутентифицированному злоумышленнику аварийно завершить ntpd.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7871";>CVE-2015-7871</a>
>
> - - <p>An error handling logic error exists within ntpd that manifests due
> - - to improper error condition handling associated with certain
> - - crypto-NAK packets. An unauthenticated, off-path attacker can force
> - - ntpd processes on targeted servers to peer with time sources of the
> - - attacker's choosing by transmitting symmetric active crypto-NAK
> - - packets to ntpd. This attack bypasses the authentication typically
> - - required to establish a peer association and allows an attacker to
> - - make arbitrary changes to system time.</p></li>
> + <p>В ntpd имеется ошибка в логике обработки ошибок, которая проявляется из-за
> + некорректной обработки состояния ошибки, связанного с определёнными
> + crypto-NAK пакетов. Неаутентифицированный злоумышленник может заставить
> + процесс ntpd на целевых серверах обратиться к источникам времени,
> + выбранным злоумышленникам, путём передачи ntpd симметричных активных crypto-NAK
> + пакетов. Данная атака позволяет обойти аутентификацию, которая обычно
> + требуется для установления соединения, что позволяет злоумышленнику
> + произвольно менять системное время.</p></li>
>
> </ul>
> </define-tag>
Reply to: