Re: [DONE] wml://security/2014/dla-{37,65}.wml

To: debian-l10n-russian@lists.debian.org
Subject: Re: [DONE] wml://security/2014/dla-{37,65}.wml
From: Vladimir Zhbanov <vzhbanov@gmail.com>
Date: Tue, 28 Jun 2016 23:43:20 +0300
Message-id: <[🔎] 20160628204320.GB2557@localhost.localdomain>
In-reply-to: <[🔎] E1bHqNM-0000fc-Ck@riseup.net>
References: <[🔎] E1bHqNM-0000fc-Ck@riseup.net>
On Tue, Jun 28, 2016 at 03:36:16PM +0500, Lev Lamberov wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA512
> 
> - --- english/security/2014/dla-37.wml	2016-04-09 01:32:21.000000000 +0500
> +++ russian/security/2014/dla-37.wml	2016-06-28 14:01:57.061323842 +0500
> @@ -1,51 +1,52 @@
> - -<define-tag description>LTS security update</define-tag>
> +#use wml::debian::translation-check translation="1.3" maintainer="Lev Lamberov"
> +<define-tag description>обновление безопасности LTS</define-tag>
>  <define-tag moreinfo>
> - -<p>Several vulnerabilities were discovered in krb5, the MIT implementation
> - -of Kerberos. The Common Vulnerabilities and Exposures project identifies
> - -the following problems:</p>
> +<p>В krb5, реалиазации Kerberos от MIT, было обнаружено несколько
> +уязвимостей. Проект Common Vulnerabilities and Exposures определяет
> +следующие проблемы:</p>
>  
>  <ul>
>  
>  <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4341";>CVE-2014-4341</a>
>  
> - -     <p>An unauthenticated remote attacker with the ability to inject
> - -     packets into a legitimately established GSSAPI application session
> - -     can cause a program crash due to invalid memory references when
> - -     attempting to read beyond the end of a buffer.</p></li>
> +     <p>Неаутентифицированный удалённый злоумышленник, способный выполнять инъекцию
> +     пакетов в корректно установленную сессию GSSAPI-приложения,
> +     может вызывать аварийную остановку программы из-за неправильных указаний областей памяти при
> +     попытке чтения за пределами выделенного буфера.</p></li>
>  
>  <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4342";>CVE-2014-4342</a>
>  
> - -     <p>An unauthenticated remote attacker with the ability to inject
> - -     packets into a legitimately established GSSAPI application session
> - -     can cause a program crash due to invalid memory references when
> - -     reading beyond the end of a buffer or by causing a null pointer
> - -     dereference.</p></li>
> +     <p>Неаутентифицированный удалённый злоумышленник, способный выполнять инъекцию
> +     пакетов в корректно установленную сессию GSSAPI-приложения,
> +     может вызывать аварийную остановку программы из-за неправильных указаний областей памяти при
> +     чтении за пределами выделенного буфера или из-за разыменования
> +     null-указателя.</p></li>
>  
>  <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4343";>CVE-2014-4343</a>
>  
> - -     <p>An unauthenticated remote attacker with the ability to spoof packets
> - -     appearing to be from a GSSAPI acceptor can cause a double-free
> - -     condition in GSSAPI initiators (clients) which are using the SPNEGO
> - -     mechanism, by returning a different underlying mechanism than was
> - -     proposed by the initiator. A remote attacker could exploit this flaw
> - -     to cause an application crash or potentially execute arbitrary code.</p></li>
> +     <p>Неаутентифицированный удалённый злоумышленник, способный подделывать пакеты так, что
> +     они кажутся исходящими от принимающей стороны GSSAPI, может вызывать состояние двойного
> +     освобождения памяти в инициаторах GSSAPI (клиентах), использующих механизм
> +     SPNEGO, возвращая базовый механизм, отличный от
> +     предложенного инициатором. Удалённый злоумышленник может использовать эту уязвимость
> +     для вызова аварийной остановки приложения или потенциального выполнения произвольного кода.</p></li>
>  
>  <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4344";>CVE-2014-4344</a>
>  
> - -     <p>An unauthenticated or partially authenticated remote attacker can
> - -     cause a NULL dereference and application crash during a SPNEGO
> - -     negotiation by sending an empty token as the second or later context
> - -     token from initiator to acceptor.</p></li>
> +     <p>Неаутентифицированный или частично аутентифицированный удалённый злоумышленник может
> +     вызывать разыменование NULL-указателя и аварийную остановку приложения в ходе согласования
> +     SPNEGO путём отправки пустого токена в качестве второго или последующего контекстного
> +     токена от инициатора принимающей стороне.</p></li>
>  
>  <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4345";>CVE-2014-4345</a>
>  
> - -     <p>When kadmind is configured to use LDAP for the KDC database, an
> - -     authenticated remote attacker can cause it to perform an
> - -     out-of-bounds write (buffer overflow).</p></li>
> +     <p>Если kadmind настроен на использование LDAP для базы данных KDC, то
> +     аутентифицированный удалённый злоумышленник может вызывать запись за
> +     пределами выделенного буфера (переполнение буфера).</p></li>
>  
>  </ul>
>  
> - -<p>For Debian 6 <q>Squeeze</q>, these issues have been fixed in krb5 version 1.8.3+dfsg-4squeeze8</p>
> +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете krb5 версии 1.8.3+dfsg-4squeeze8</p>
>  </define-tag>
>  
>  # do not modify the following line
> - --- english/security/2014/dla-65.wml	2016-04-09 01:32:21.000000000 +0500
> +++ russian/security/2014/dla-65.wml	2016-06-28 15:36:08.493784791 +0500
> @@ -1,90 +1,91 @@
> - -<define-tag description>LTS security update</define-tag>
> +#use wml::debian::translation-check translation="1.3" maintainer="Lev Lamberov"
> +<define-tag description>обновление безопасности LTS</define-tag>
>  <define-tag moreinfo>
> - -<p>This update address an issue with reverse() generating external URLs; a
> - -denial of service involving file uploads; a potential session hijacking
> - -issue in the remote-user middleware; and a data leak in the administrative
> - -interface.</p>
> +<p>Данное обновление исправляет проблему с функцией reverse(), порождающей внешние URL;
> +отказ в обслуживании, касающийся загрузок файлов; потенциальное хищение сессии
> +с помощью удалённого ПО промежуточного уровня; утечку данных в интерфейсе
> +администратора.</p>
>  
> - -<p>This update has been brought to you thanks to the Debian LTS sponsors:
> +<p>Данное обновление создано благодаря спонсорам Debian LTS:
>  <a href="http://www.freexian.com/services/debian-lts.html";>http://www.freexian.com/services/debian-lts.html</a></p>
>  
>  <ul>
>  
>  <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0480";>CVE-2014-0480</a>
>  
> - -    <p>Django includes the helper function django.core.urlresolvers.reverse,
> - -    typically used to generate a URL from a reference to a view function or
> - -    URL pattern name. However, when presented with input beginning with two
> - -    forward-slash characters (//), reverse() could generate scheme-relative
> - -    URLs to other hosts, allowing an attacker who is aware of unsafe use of
> - -    reverse() (i.e., in a situation where an end user can control the target
> - -    of a redirect, to take a common example) to generate links to sites of
> - -    their choice, enabling phishing and other attacks.</p>
> - -
> - -    <p>To remedy this, URL reversing now ensures that no URL starts with two
> - -    slashes (//), replacing the second slash with its URL encoded counterpart
> - -    (%2F). This approach ensures that semantics stay the same, while making
> - -    the URL relative to the domain and not to the scheme.</p></li>
> +    <p>Django включает в себя вспомогательную функцию django.core.urlresolvers.reverse,
> +    обычно используемую для создания URL из ссылки на функцию вида или
> +    имя шаблона URL. Тем не менее, если её переданы входные данные, начинающиеся с двух

е_й_

> +    косых черт (//), то reverse() создаёт относительные (относительно схемы) URL
> +    к другим узлам, что позволяет злоумышленнику, которому известно о небезопасном использовании
> +    функции reverse() (например, в ситуации, когда конечный пользователь может управлять целью
> +    перенаправления), создавать ссылки на сайты по его
> +    выбору, что позволяет выполнять выуживание и другие виды атак.</p>
> +
> +    <p>Для исправления этой проблемы при преобразовании URL теперь выполняет проверка того, что URL не начинается с

выполняет_ся_

> +    двух косых черт (//), а также замена второй косой черты на закодированный эквивалент
> +    (%2F). Такой подход гарантирует, что семантика остаётся той же, а создаются
> +    URL относительно домена, а не относительно схемы.</p></li>

будет лучше "а URL создаются..."

>  
>  <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0481";>CVE-2014-0481</a>
>  
> - -    <p>In the default configuration, when Django's file upload handling system is
> - -    presented with a file that would have the same on-disk path and name as an
> - -    existing file, it attempts to generate a new unique filename by appending
> - -    an underscore and an integer to the end of the (as stored on disk)
> - -    filename, incrementing the integer (i.e., _1, _2, etc.) until it has
> - -    generated a name which does not conflict with any existing file.</p>
> - -
> - -    <p>An attacker with knowledge of this can exploit the sequential behavior of
> - -    filename generation by uploading many tiny files which all share a
> - -    filename; Django will, in processing them, generate ever-increasing
> - -    numbers of os.stat() calls as it attempts to generate a unique filename.
> - -    As a result, even a relatively small number of such uploads can
> - -    significantly degrade performance.</p>
> - -
> - -    <p>To remedy this, Django's file-upload system will no longer use sequential
> - -    integer names to avoid filename conflicts on disk; instead, a short random
> - -    alphanumeric string will be appended, removing the ability to reliably
> - -    generate many repeatedly-conflicting filenames.</p></li>
> +    <p>При настройках по умолчанию когда система Django для обработки загрузки файлов

тут, по-моему, запятая перед "когда"

> +    получает файл, который должен иметь путь и имя, совпадающие с уже существующим
> +    файлом, то делается попытка создать новое уникальное имя файла путём добавления
> +    символа подчёркивания и целого числе в конце (сохраняемого на диск)

числ_а_

> +    имени файла, при этом число увеличивается (например, _1, _2 и т. д.) до тех пор, пока
> +    не будет создано такое имя файла, которое не вступает в конфликт с уже существующими файлами.</p>
> +
> +    <p>Злоумышленник может использовать последовательное поведение кода для
> +    создания имени файла, загрузив множество небольших файлов, имеющих одно и то же
> +    имя; в ходе их обработки Django порождает увеличивающееся число
> +    вызовов os.stat() в попытке создания уникального имени файла.
> +    В результате даже относительно небольшое число таких загрузок может
> +    существенно снизить производительность системы.</p>
> +
> +    <p>Для исправления этой проблемы система загрузки файлов в Django более не использует последовательные
> +    имена с целыми числами для того, чтобы не происходили конфликты на диске; вместо этого к имени файла
> +    добавляется короткая случайная строка с числами и буквами, что не позволяет использовать
> +    создание множества конфликтующих имён файлов.</p></li>
>  
>  <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0482";>CVE-2014-0482</a>
>  
> - -    <p>Django provides a middleware     django.contrib.auth.middleware.RemoteUserMiddleware -- and an
> - -    authentication backend, django.contrib.auth.backends.RemoteUserBackend,
> - -    which use the REMOTE_USER header for authentication purposes.</p>
> - -
> - -    <p>In some circumstances, use of this middleware and backend could result in
> - -    one user receiving another user's session, if a change to the REMOTE_USER
> - -    header occurred without corresponding logout/login actions.</p>
> - -
> - -    <p>To remedy this, the middleware will now ensure that a change to
> - -    REMOTE_USER without an explicit logout will force a logout and subsequent
> - -    login prior to accepting the new REMOTE_USER.</p></li>
> +    <p>Django содержит ПО промежуточного уровня, django.contrib.auth.middleware.RemoteUserMiddleware,
> +    а на движке аутентификации &mdash; django.contrib.auth.backends.RemoteUserBackend,
> +    которое использует заголовок REMOTE_USER для целей аутентификации.</p>
> +
> +    <p>При некоторых обстоятельствах использование этого ПО промежуточного уровня и этого движка может приводить к
> +    тому, что один пользователь получает сессию другого пользователя в случае изменения заголовка REMOTE_USER
> +    без соответствующих действий по входу/входу.</p>

входу/в_ы_ходу

> +
> +    <p>Для исправления этой проблемы ПО промежуточного уровня выполняет проверку того, что изменение
> +    REMOTE_USER без явного выполнения выхода обязательно приводит к выходу и последующей
> +    процедуре входа до момента принятия нового REMOTE_USER.</p></li>
>  
>  <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0483";>CVE-2014-0483</a>
>  
> - -    <p>Django's administrative interface, django.contrib.admin, offers a feature
> - -    whereby related objects can be displayed for selection in a popup window.
> - -    The mechanism for this relies on placing values in the URL and querystring
> - -    which specify the related model to display and the field through which the
> - -    relationship is implemented. This mechanism does perform permission checks
> - -    at the level of the model class as a whole.</p>
> - -
> - -    <p>This mechanism did not, however, verify that the specified field actually
> - -    represents a relationship between models. Thus a user with access to the
> - -    admin interface, and with sufficient knowledge of model structure and the
> - -    appropriate URLs, could construct popup views which would display the
> - -    values of non-relationship fields, including fields the application
> - -    developer had not intended to expose in such a fashion.</p>
> - -
> - -    <p>To remedy this, the admin interface will now, in addition to its normal
> - -    permission checks, verify that the specified field does indeed represent a
> - -    relationship, to a model registered with the admin, and will raise an
> - -    exception if either condition is not true.</p></li>
> +    <p>Интерфейс администратора Django, django.contrib.admin, предлагает возможность,
> +    посредством которой связанные объекты могут отображаться во всплывающем окне для их выбора.
> +    Этот механизм основывается на помещении значений в URL и строку запроса,
> +    которые определяют связанную модель для отображения, а также поле, через которое
> +    реализуется данное отношение. Этот механизм выполняет проверки прав доступа
> +    на уровне целого класс модели.</p>

класс_а_
а почему не как в оригинале "класса модели как целого"?

> +
> +    <p>Тем не менее, этот механизм не выполняет проверку того, что указанное поле представляет
> +    отношение между моделями. Таким образом, пользователь, имеющий доступ к
> +    интерфейсу администратора, а также достаточные знания структуры модели и соответствующих
> +    URL, может построить всплывающие виды, которые будут отображать
> +    значения несвязанных полей, включая поля, которые не предназначаются
> +    разработчиком приложения для показа в таком виде.</p>
> +
> +    <p>Для исправления этой проблемы в интерфейсе администратора в дополнение к обычным
> +    проверка прав доступа выполняются проверки того, что конкретное поле представляет

проверка_м_
Reply to:
Follow-Ups:
- Re: [DONE] wml://security/2014/dla-{37,65}.wml
  - From: Lev Lamberov <dogsleg@debian.org>
References:
- [DONE] wml://security/2014/dla-{37,65}.wml
  - From: Lev Lamberov <dogsleg@debian.org>
Prev by Date: Re: [DONE] wml://{security/2016/dsa-3607.wml}
Next by Date: Re: [DONE] wml://security/2014/dla-{37,65}.wml
Previous by thread: [DONE] wml://security/2014/dla-{37,65}.wml
Next by thread: Re: [DONE] wml://security/2014/dla-{37,65}.wml
Index(es):
- Date
- Thread