Re: [DONE] wml://security/2014/dla-{37,65}.wml
On Tue, Jun 28, 2016 at 03:36:16PM +0500, Lev Lamberov wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA512
>
> - --- english/security/2014/dla-37.wml 2016-04-09 01:32:21.000000000 +0500
> +++ russian/security/2014/dla-37.wml 2016-06-28 14:01:57.061323842 +0500
> @@ -1,51 +1,52 @@
> - -<define-tag description>LTS security update</define-tag>
> +#use wml::debian::translation-check translation="1.3" maintainer="Lev Lamberov"
> +<define-tag description>обновление безопасности LTS</define-tag>
> <define-tag moreinfo>
> - -<p>Several vulnerabilities were discovered in krb5, the MIT implementation
> - -of Kerberos. The Common Vulnerabilities and Exposures project identifies
> - -the following problems:</p>
> +<p>В krb5, реалиазации Kerberos от MIT, было обнаружено несколько
> +уязвимостей. Проект Common Vulnerabilities and Exposures определяет
> +следующие проблемы:</p>
>
> <ul>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4341">CVE-2014-4341</a>
>
> - - <p>An unauthenticated remote attacker with the ability to inject
> - - packets into a legitimately established GSSAPI application session
> - - can cause a program crash due to invalid memory references when
> - - attempting to read beyond the end of a buffer.</p></li>
> + <p>Неаутентифицированный удалённый злоумышленник, способный выполнять инъекцию
> + пакетов в корректно установленную сессию GSSAPI-приложения,
> + может вызывать аварийную остановку программы из-за неправильных указаний областей памяти при
> + попытке чтения за пределами выделенного буфера.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4342">CVE-2014-4342</a>
>
> - - <p>An unauthenticated remote attacker with the ability to inject
> - - packets into a legitimately established GSSAPI application session
> - - can cause a program crash due to invalid memory references when
> - - reading beyond the end of a buffer or by causing a null pointer
> - - dereference.</p></li>
> + <p>Неаутентифицированный удалённый злоумышленник, способный выполнять инъекцию
> + пакетов в корректно установленную сессию GSSAPI-приложения,
> + может вызывать аварийную остановку программы из-за неправильных указаний областей памяти при
> + чтении за пределами выделенного буфера или из-за разыменования
> + null-указателя.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4343">CVE-2014-4343</a>
>
> - - <p>An unauthenticated remote attacker with the ability to spoof packets
> - - appearing to be from a GSSAPI acceptor can cause a double-free
> - - condition in GSSAPI initiators (clients) which are using the SPNEGO
> - - mechanism, by returning a different underlying mechanism than was
> - - proposed by the initiator. A remote attacker could exploit this flaw
> - - to cause an application crash or potentially execute arbitrary code.</p></li>
> + <p>Неаутентифицированный удалённый злоумышленник, способный подделывать пакеты так, что
> + они кажутся исходящими от принимающей стороны GSSAPI, может вызывать состояние двойного
> + освобождения памяти в инициаторах GSSAPI (клиентах), использующих механизм
> + SPNEGO, возвращая базовый механизм, отличный от
> + предложенного инициатором. Удалённый злоумышленник может использовать эту уязвимость
> + для вызова аварийной остановки приложения или потенциального выполнения произвольного кода.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4344">CVE-2014-4344</a>
>
> - - <p>An unauthenticated or partially authenticated remote attacker can
> - - cause a NULL dereference and application crash during a SPNEGO
> - - negotiation by sending an empty token as the second or later context
> - - token from initiator to acceptor.</p></li>
> + <p>Неаутентифицированный или частично аутентифицированный удалённый злоумышленник может
> + вызывать разыменование NULL-указателя и аварийную остановку приложения в ходе согласования
> + SPNEGO путём отправки пустого токена в качестве второго или последующего контекстного
> + токена от инициатора принимающей стороне.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4345">CVE-2014-4345</a>
>
> - - <p>When kadmind is configured to use LDAP for the KDC database, an
> - - authenticated remote attacker can cause it to perform an
> - - out-of-bounds write (buffer overflow).</p></li>
> + <p>Если kadmind настроен на использование LDAP для базы данных KDC, то
> + аутентифицированный удалённый злоумышленник может вызывать запись за
> + пределами выделенного буфера (переполнение буфера).</p></li>
>
> </ul>
>
> - -<p>For Debian 6 <q>Squeeze</q>, these issues have been fixed in krb5 version 1.8.3+dfsg-4squeeze8</p>
> +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете krb5 версии 1.8.3+dfsg-4squeeze8</p>
> </define-tag>
>
> # do not modify the following line
> - --- english/security/2014/dla-65.wml 2016-04-09 01:32:21.000000000 +0500
> +++ russian/security/2014/dla-65.wml 2016-06-28 15:36:08.493784791 +0500
> @@ -1,90 +1,91 @@
> - -<define-tag description>LTS security update</define-tag>
> +#use wml::debian::translation-check translation="1.3" maintainer="Lev Lamberov"
> +<define-tag description>обновление безопасности LTS</define-tag>
> <define-tag moreinfo>
> - -<p>This update address an issue with reverse() generating external URLs; a
> - -denial of service involving file uploads; a potential session hijacking
> - -issue in the remote-user middleware; and a data leak in the administrative
> - -interface.</p>
> +<p>Данное обновление исправляет проблему с функцией reverse(), порождающей внешние URL;
> +отказ в обслуживании, касающийся загрузок файлов; потенциальное хищение сессии
> +с помощью удалённого ПО промежуточного уровня; утечку данных в интерфейсе
> +администратора.</p>
>
> - -<p>This update has been brought to you thanks to the Debian LTS sponsors:
> +<p>Данное обновление создано благодаря спонсорам Debian LTS:
> <a href="http://www.freexian.com/services/debian-lts.html">http://www.freexian.com/services/debian-lts.html</a></p>
>
> <ul>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0480">CVE-2014-0480</a>
>
> - - <p>Django includes the helper function django.core.urlresolvers.reverse,
> - - typically used to generate a URL from a reference to a view function or
> - - URL pattern name. However, when presented with input beginning with two
> - - forward-slash characters (//), reverse() could generate scheme-relative
> - - URLs to other hosts, allowing an attacker who is aware of unsafe use of
> - - reverse() (i.e., in a situation where an end user can control the target
> - - of a redirect, to take a common example) to generate links to sites of
> - - their choice, enabling phishing and other attacks.</p>
> - -
> - - <p>To remedy this, URL reversing now ensures that no URL starts with two
> - - slashes (//), replacing the second slash with its URL encoded counterpart
> - - (%2F). This approach ensures that semantics stay the same, while making
> - - the URL relative to the domain and not to the scheme.</p></li>
> + <p>Django включает в себя вспомогательную функцию django.core.urlresolvers.reverse,
> + обычно используемую для создания URL из ссылки на функцию вида или
> + имя шаблона URL. Тем не менее, если её переданы входные данные, начинающиеся с двух
е_й_
> + косых черт (//), то reverse() создаёт относительные (относительно схемы) URL
> + к другим узлам, что позволяет злоумышленнику, которому известно о небезопасном использовании
> + функции reverse() (например, в ситуации, когда конечный пользователь может управлять целью
> + перенаправления), создавать ссылки на сайты по его
> + выбору, что позволяет выполнять выуживание и другие виды атак.</p>
> +
> + <p>Для исправления этой проблемы при преобразовании URL теперь выполняет проверка того, что URL не начинается с
выполняет_ся_
> + двух косых черт (//), а также замена второй косой черты на закодированный эквивалент
> + (%2F). Такой подход гарантирует, что семантика остаётся той же, а создаются
> + URL относительно домена, а не относительно схемы.</p></li>
будет лучше "а URL создаются..."
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0481">CVE-2014-0481</a>
>
> - - <p>In the default configuration, when Django's file upload handling system is
> - - presented with a file that would have the same on-disk path and name as an
> - - existing file, it attempts to generate a new unique filename by appending
> - - an underscore and an integer to the end of the (as stored on disk)
> - - filename, incrementing the integer (i.e., _1, _2, etc.) until it has
> - - generated a name which does not conflict with any existing file.</p>
> - -
> - - <p>An attacker with knowledge of this can exploit the sequential behavior of
> - - filename generation by uploading many tiny files which all share a
> - - filename; Django will, in processing them, generate ever-increasing
> - - numbers of os.stat() calls as it attempts to generate a unique filename.
> - - As a result, even a relatively small number of such uploads can
> - - significantly degrade performance.</p>
> - -
> - - <p>To remedy this, Django's file-upload system will no longer use sequential
> - - integer names to avoid filename conflicts on disk; instead, a short random
> - - alphanumeric string will be appended, removing the ability to reliably
> - - generate many repeatedly-conflicting filenames.</p></li>
> + <p>При настройках по умолчанию когда система Django для обработки загрузки файлов
тут, по-моему, запятая перед "когда"
> + получает файл, который должен иметь путь и имя, совпадающие с уже существующим
> + файлом, то делается попытка создать новое уникальное имя файла путём добавления
> + символа подчёркивания и целого числе в конце (сохраняемого на диск)
числ_а_
> + имени файла, при этом число увеличивается (например, _1, _2 и т. д.) до тех пор, пока
> + не будет создано такое имя файла, которое не вступает в конфликт с уже существующими файлами.</p>
> +
> + <p>Злоумышленник может использовать последовательное поведение кода для
> + создания имени файла, загрузив множество небольших файлов, имеющих одно и то же
> + имя; в ходе их обработки Django порождает увеличивающееся число
> + вызовов os.stat() в попытке создания уникального имени файла.
> + В результате даже относительно небольшое число таких загрузок может
> + существенно снизить производительность системы.</p>
> +
> + <p>Для исправления этой проблемы система загрузки файлов в Django более не использует последовательные
> + имена с целыми числами для того, чтобы не происходили конфликты на диске; вместо этого к имени файла
> + добавляется короткая случайная строка с числами и буквами, что не позволяет использовать
> + создание множества конфликтующих имён файлов.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0482">CVE-2014-0482</a>
>
> - - <p>Django provides a middleware django.contrib.auth.middleware.RemoteUserMiddleware -- and an
> - - authentication backend, django.contrib.auth.backends.RemoteUserBackend,
> - - which use the REMOTE_USER header for authentication purposes.</p>
> - -
> - - <p>In some circumstances, use of this middleware and backend could result in
> - - one user receiving another user's session, if a change to the REMOTE_USER
> - - header occurred without corresponding logout/login actions.</p>
> - -
> - - <p>To remedy this, the middleware will now ensure that a change to
> - - REMOTE_USER without an explicit logout will force a logout and subsequent
> - - login prior to accepting the new REMOTE_USER.</p></li>
> + <p>Django содержит ПО промежуточного уровня, django.contrib.auth.middleware.RemoteUserMiddleware,
> + а на движке аутентификации — django.contrib.auth.backends.RemoteUserBackend,
> + которое использует заголовок REMOTE_USER для целей аутентификации.</p>
> +
> + <p>При некоторых обстоятельствах использование этого ПО промежуточного уровня и этого движка может приводить к
> + тому, что один пользователь получает сессию другого пользователя в случае изменения заголовка REMOTE_USER
> + без соответствующих действий по входу/входу.</p>
входу/в_ы_ходу
> +
> + <p>Для исправления этой проблемы ПО промежуточного уровня выполняет проверку того, что изменение
> + REMOTE_USER без явного выполнения выхода обязательно приводит к выходу и последующей
> + процедуре входа до момента принятия нового REMOTE_USER.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0483">CVE-2014-0483</a>
>
> - - <p>Django's administrative interface, django.contrib.admin, offers a feature
> - - whereby related objects can be displayed for selection in a popup window.
> - - The mechanism for this relies on placing values in the URL and querystring
> - - which specify the related model to display and the field through which the
> - - relationship is implemented. This mechanism does perform permission checks
> - - at the level of the model class as a whole.</p>
> - -
> - - <p>This mechanism did not, however, verify that the specified field actually
> - - represents a relationship between models. Thus a user with access to the
> - - admin interface, and with sufficient knowledge of model structure and the
> - - appropriate URLs, could construct popup views which would display the
> - - values of non-relationship fields, including fields the application
> - - developer had not intended to expose in such a fashion.</p>
> - -
> - - <p>To remedy this, the admin interface will now, in addition to its normal
> - - permission checks, verify that the specified field does indeed represent a
> - - relationship, to a model registered with the admin, and will raise an
> - - exception if either condition is not true.</p></li>
> + <p>Интерфейс администратора Django, django.contrib.admin, предлагает возможность,
> + посредством которой связанные объекты могут отображаться во всплывающем окне для их выбора.
> + Этот механизм основывается на помещении значений в URL и строку запроса,
> + которые определяют связанную модель для отображения, а также поле, через которое
> + реализуется данное отношение. Этот механизм выполняет проверки прав доступа
> + на уровне целого класс модели.</p>
класс_а_
а почему не как в оригинале "класса модели как целого"?
> +
> + <p>Тем не менее, этот механизм не выполняет проверку того, что указанное поле представляет
> + отношение между моделями. Таким образом, пользователь, имеющий доступ к
> + интерфейсу администратора, а также достаточные знания структуры модели и соответствующих
> + URL, может построить всплывающие виды, которые будут отображать
> + значения несвязанных полей, включая поля, которые не предназначаются
> + разработчиком приложения для показа в таком виде.</p>
> +
> + <p>Для исправления этой проблемы в интерфейсе администратора в дополнение к обычным
> + проверка прав доступа выполняются проверки того, что конкретное поле представляет
проверка_м_
Reply to: