Re: [DONE] wml://{security/2016/dsa-3607.wml}
On Tue, Jun 28, 2016 at 04:50:52PM +0500, Lev Lamberov wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA512
>
> - --- english/security/2016/dsa-3607.wml 2016-06-28 15:42:48.000000000 +0500
> +++ russian/security/2016/dsa-3607.wml 2016-06-28 16:50:45.321513561 +0500
> @@ -1,8 +1,9 @@
> - -<define-tag description>security update</define-tag>
> +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov"
> +<define-tag description>обновление безопасности</define-tag>
> <define-tag moreinfo>
> - -<p>Several vulnerabilities have been discovered in the Linux kernel that
> - -may lead to a privilege escalation, denial of service or information
> - -leaks.</p>
> +<p>В ядре Linux было обнаружено несколько уязвимостей, которые
> +могут приводить к повышению привилегий, отказу в обслуживании или утечкам
> +информации.</p>
>
> <ul>
>
> @@ -16,118 +17,118 @@
> <a href="https://security-tracker.debian.org/tracker/CVE-2016-3138">CVE-2016-3138</a>,
> <a href="https://security-tracker.debian.org/tracker/CVE-2016-3140">CVE-2016-3140</a>
>
> - - <p>Ralf Spenneberg of OpenSource Security reported that various USB
> - - drivers do not sufficiently validate USB descriptors. This
> - - allowed a physically present user with a specially designed USB
> - - device to cause a denial of service (crash).</p></li>
> + <p>Ральф Шпенненберг из OpenSource Security сообщил, что различные драйверы USB
> + выполняют недостаточные проверки USB-дескрипторов. Это
> + позволяет пользователю, имеющему физический доступ к системе, вызывать отказ в обслуживании
> + (аварийная остановка) с помощью специально сформированного USB-устройства.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0821">CVE-2016-0821</a>
>
> - - <p>Solar Designer noted that the list <q>poisoning</q> feature, intended
> - - to mitigate the effects of bugs in list manipulation in the
> - - kernel, used poison values within the range of virtual addresses
> - - that can be allocated by user processes.</p></li>
> + <p>Solar Designer заметил, что возможность <q>отравления</q> списка, предназначенная
> + для уменьшения влияния ошибок при работе со списками в
> + ядре, использует отравленные значения в пределах диапазона виртуальных адресов,
> + которые могут быть выделены пользовательским процессам.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1237">CVE-2016-1237</a>
>
> - - <p>David Sinquin discovered that nfsd does not check permissions when
> - - setting ACLs, allowing users to grant themselves permissions to a
> - - file by setting the ACL.</p></li>
> + <p>Дэвид Синкин обнаружил, что nfsd не выполняет проверку прав доступа при
> + установке ACL, что позволяет пользователям давать себе права доступа
> + к файлу путём установки ACL.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1583">CVE-2016-1583</a>
>
> - - <p>Jann Horn of Google Project Zero reported that the eCryptfs
> - - filesystem could be used together with the proc filesystem to
> - - cause a kernel stack overflow. If the ecryptfs-utils package is
> - - installed, local users could exploit this, via the
> - - mount.ecryptfs_private program, for denial of service (crash) or
> - - possibly for privilege escalation.</p></li>
> + <p>Ян Хорн из Google Project Zero сообщил, что файловая системе eCryptfs
систем_а_
> + может использоваться вместе с файловой системой proc с целью
> + вызова переполнения стека ядра. Если в системе установлен пакет ecryptfs-utils,
> + то локальные пользователи могут использовать эту уязвимость с помощью
> + программы mount.ecryptfs_private для вызова отказа в обслуживании (аварийная остановка) или
> + возможного повышения привилегий.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2117">CVE-2016-2117</a>
>
> - - <p>Justin Yackoski of Cryptonite discovered that the Atheros L2
> - - ethernet driver incorrectly enables scatter/gather I/O. A remote
> - - attacker could take advantage of this flaw to obtain potentially
> - - sensitive information from kernel memory.</p></li>
> + <p>Джастин Якоски из Cryptonite обнаружил, что драйвер локальной сети Atheros L2
> + неправильно включает разброс/сбор I/O. Удалённый
> + злоумышленник может использовать эту уязвимость для получения потенциально
> + чувствительной информации из памяти ядра.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2143">CVE-2016-2143</a>
>
> - - <p>Marcin Koscielnicki discovered that the fork implementation in the
> - - Linux kernel on s390 platforms mishandles the case of four
> - - page-table levels, which allows local users to cause a denial of
> - - service (system crash).</p></li>
> + <p>Марцин Косцельницки обнаружил, что реализация fork в
> + ядре Linux на платформах с архитектурой s390 неправильно обрабатывает ситуацию с
> + четырьмя уровнями таблицы страниц, что позволяет локальным пользователям вызывать отказ
> + в обслуживании (аварийная остановка системы).</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3070">CVE-2016-3070</a>
>
> - - <p>Jan Stancek of Red Hat discovered a local denial of service
> - - vulnerability in AIO handling.</p></li>
> + <p>Ян Станчек из Red Hat обнаружил локальный отказ в обслуживании
> + в коде для обработки AIO.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3134">CVE-2016-3134</a>
>
> - - <p>The Google Project Zero team found that the netfilter subsystem does
> - - not sufficiently validate filter table entries. A user with the
> - - CAP_NET_ADMIN capability could use this for denial of service
> - - (crash) or possibly for privilege escalation. Debian disables
> - - unprivileged user namespaces by default, if locally enabled with the
> - - kernel.unprivileged_userns_clone sysctl, this allows privilege
> - - escalation.</p></li>
> + <p>Команда Google Project Zero обнаружила, что подсистема netfilter недостаточно
> + проверяет записи таблицы фильтров. Пользователь, имеющий возможность
> + CAP_NET_ADMIN, может использовать эту проблему для вызова отказа в обслуживании
> + (аварийная остановка) или возможного повышения привилегий. В Debian по умолчанию
> + отключены непривилегированные пользовательские пространства имён. Если же они включены
> + локально с помощью kernel.unprivileged_userns_clone sysctl, то это позволяет
здесь или sysctl впереди имени можно поставить, или заменить на "с
помощью системного вызова ..."
> + выполнять повышение привилегий.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3156">CVE-2016-3156</a>
>
> - - <p>Solar Designer discovered that the IPv4 implementation in the Linux
> - - kernel did not perform the destruction of inet device objects
> - - properly. An attacker in a guest OS could use this to cause a denial
> - - of service (networking outage) in the host OS.</p></li>
> + <p>Solar Designer обнаружил, что реализация IPv4 в ядре Linux
> + не выполняет корректного уничтожения объектов
> + inet-устройств. Злоумышленник, работающий в гостевой системе, может использовать это
> + для вызова отказа в обслуживании (отключение сети) в основной системе.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3157">CVE-2016-3157</a> /
> XSA-171
>
> - - <p>Andy Lutomirski discovered that the x86_64 (amd64) task switching
> - - implementation did not correctly update the I/O permission level
> - - when running as a Xen paravirtual (PV) guest. In some
> - - configurations this would allow local users to cause a denial of
> - - service (crash) or to escalate their privileges within the guest.</p></li>
> + <p>Энди Лутомирски обнаружил, что реализация переключения задач в архитектуре
> + x86_64 (amd64) неправильно обновляет уровень прав доступа I/O в том случае,
> + если система работает в качестве гостевой системы Xen (PV). При некоторых
> + настройках это позволяет локальным пользователям вызывать отказ в
> + обслуживании (аварийная остановка) или повышать свои привилегии в гостевой системе.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3672">CVE-2016-3672</a>
>
> - - <p>Hector Marco and Ismael Ripoll noted that it was possible to disable
> - - Address Space Layout Randomisation (ASLR) for x86_32 (i386) programs
> - - by removing the stack resource limit. This made it easier for local
> - - users to exploit security flaws in programs that have the setuid or
> - - setgid flag set.</p></li>
> + <p>Гектор Марсо и Исмаэль Рипол заметили, что можно отключить
> + ASLR для программ под архитектуру x86_32 (i386) путём
> + удаления ограничения ресурсов стека. Это облегчает локальным
> + пользователям использование уязвимостей в программах, имеющих флаг прав доступа, позволяющий
> + запускать их от лица владельца или группы владельца.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3951">CVE-2016-3951</a>
>
> - - <p>It was discovered that the cdc_ncm driver would free memory
> - - prematurely if certain errors occurred during its initialisation.
> - - This allowed a physically present user with a specially designed
> - - USB device to cause a denial of service (crash) or possibly to
> - - escalate their privileges.</p></li>
> + <p>Было обнаружено, что драйвер cdc_ncm преждевременно
> + освобождает память в том случае, если возникают ошибки при инициализации.
> + Это позволяет пользователю, имеющему физический доступ к системе, вызывать отказ в
> + обслуживании (аварийная остановка) или потенциально повышать свои привилегии с
> + помощью специально сформированного USB-устройства.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3955">CVE-2016-3955</a>
>
> - - <p>Ignat Korchagin reported that the usbip subsystem did not check
> - - the length of data received for a USB buffer. This allowed denial
> - - of service (crash) or privilege escalation on a system configured
> - - as a usbip client, by the usbip server or by an attacker able to
> - - impersonate it over the network. A system configured as a usbip
> - - server might be similarly vulnerable to physically present users.</p></li>
> + <p>Игнат Корчагин сообщил, что подсистема usbip не выполняет проверку длины
> + получаемых для буфера USB данных. Это позволяет вызывать отказ в
> + обслуживании (аварийная остановка) или повышать привилегии в системе, выполняющей
> + роль клиента usbip, со стороны сервера usbip или злоумышленника, способного
> + подделать такой сервер в сети. Система, выполняющая роль сервера usbip,
> + может сходным образом быть уязвима при условии, что пользователь имеет к ней физический доступ.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3961">CVE-2016-3961</a> /
> XSA-174
>
> - - <p>Vitaly Kuznetsov of Red Hat discovered that Linux allowed the use of
> - - hugetlbfs on x86 (i386 and amd64) systems even when running as a Xen
> - - paravirtualised (PV) guest, although Xen does not support huge
> - - pages. This allowed users with access to /dev/hugepages to cause a
> - - denial of service (crash) in the guest.</p></li>
> + <p>Виталий Кузнецов из Red Hat обнаружил, что Linux позволяет использовать
> + hugetlbfs на системах с архитектурой x86 (i386 и amd64) даже в том случае, когда
> + используется в качестве гостевой системы Xen (PV), хотя Xen не поддерживает большие
> + страницы. Это позволяет пользователям, имеющим доступ к /dev/hugepages, вызывать
> + отказ в обслуживании (аварийная остановка) на гостевой системе.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4470">CVE-2016-4470</a>
>
> - - <p>David Howells of Red Hat discovered that a local user can trigger a
> - - flaw in the Linux kernel's handling of key lookups in the keychain
> - - subsystem, leading to a denial of service (crash) or possibly to
> - - privilege escalation.</p></li>
> + <p>Дэвид Хоуеллс из Red Hat обнаружил, что локальный пользователь может вызвать
> + ошибку в коде ядра Linux для обработки поиска ключей в подсистеме keychain,
> + что приводит к отказу в обслуживании (аварийная остановка) или возможному
> + повышению привилегий.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4482">CVE-2016-4482</a>,
> <a href="https://security-tracker.debian.org/tracker/CVE-2016-4485">CVE-2016-4485</a>,
> @@ -138,54 +139,54 @@
> <a href="https://security-tracker.debian.org/tracker/CVE-2016-5243">CVE-2016-5243</a>,
> <a href="https://security-tracker.debian.org/tracker/CVE-2016-5244">CVE-2016-5244</a>
>
> - - <p>Kangjie Lu reported that the USB devio, llc, rtnetlink, ALSA
> - - timer, x25, tipc, and rds facilities leaked information from the
> - - kernel stack.</p></li>
> + <p>Кэнджи Лю сообщил, что в USB devio, llc, rtnetlink, ALSA
> + timer, x25, tipc и rds могут происходить утечки информации из
> + стека ядра.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4565">CVE-2016-4565</a>
>
> - - <p>Jann Horn of Google Project Zero reported that various components
> - - in the InfiniBand stack implemented unusual semantics for the
> - - write() operation. On a system with InfiniBand drivers loaded,
> - - local users could use this for denial of service or privilege
> - - escalation.</p></li>
> + <p>Ян Хорн из Google Project Zero сообщил, что различные компоненты
> + в стеке InfiniBand реализуют необычную семантику для операции
> + write(). В системе с загруженными драйверами InfiniBand
> + локальные пользователи могут использовать указанную проблему для вызова отказа
> + в обслуживании или повышения привилегий.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4581">CVE-2016-4581</a>
>
> - - <p>Tycho Andersen discovered that in some situations the Linux kernel
> - - did not handle propagated mounts correctly. A local user can take
> - - advantage of this flaw to cause a denial of service (system crash).</p></li>
> + <p>Тихо Андерсен обнаружил, что в некоторых ситуациях ядро Linux неправильно
> + обрабатывает переданные монтирования. Локальный пользователь может
несмотря на то, что я не вполне понимаю, что имел сказать автор под
"propagated", я бы сказал "заданные операции монтирования", если
имеется в виду
https://bugs.launchpad.net/ubuntu/xenial/+source/linux/+bug/1588056
Reply to: