On 16-09-19 23:17, Lev Lamberov wrote: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA512 > > - --- english/security/2006/dsa-956.wml 2006-01-26 14:55:55.000000000 +0500 > +++ russian/security/2006/dsa-956.wml 2016-09-19 23:11:12.122081703 +0500 > @@ -1,34 +1,35 @@ > - -<define-tag description>filedescriptor leak</define-tag> > +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" > +<define-tag description>утечка файловых дескрипторов</define-tag> > <define-tag moreinfo> > - -<p>Stefan Pfetzing discovered that lshd, a Secure Shell v2 (SSH2) > - -protocol server, leaks a couple of file descriptors, related to the > - -randomness generator, to user shells which are started by lshd. A > - -local attacker can truncate the server's seed file, which may prevent > - -the server from starting, and with some more effort, maybe also crack > - -session keys.</p> > - - > - -<p>After applying this update, you should remove the server's seed file > - -(/var/spool/lsh/yarrow-seed-file) and then regenerate it with > - -"lsh-make-seed --server" as root.</p> > - - > - -<p>For security reasons, lsh-make-seed really needs to be run from the > - -console of the system you are running it on. If you run lsh-make-seed > - -using a remote shell, the timing information lsh-make-seed uses for > - -its random seed creation is likely to be screwed. If need be, you can > - -generate the random seed on a different system than that which it will > - -eventually be on, by installing the lsh-utils package and running > - -"lsh-make-seed -o my-other-server-seed-file". You may then transfer > - -the seed to the destination system as using a secure connection.</p> > - - > - -<p>The old stable distribution (woody) may not be affected by this problem.</p> > +<p>Штефан Пфетцинг обнаружил, что в lshd, сервер протокола Secure Shell серверЕ > +v2 (SSH2), происходит утечка пары файловых дескрипторов, связанных с > +генератором стохастичности, в командные оболочки пользователей, запущенные lshd. > +Локальный злоумышленник может обрезать файл сервера с начальным числом, что может > +не допустить запуск сервера, а при некоторых дополнительных усилия может приводить > +к взолму сессионных ключей.</p> > + > +<p>После применения данного обновления вам следует удалить файл сервера с начальным числом > +(/var/spool/lsh/yarrow-seed-file) и заново создать его с помощью команды > +"lsh-make-seed --server" от лице суперпользователя.</p> лицА > - --- english/security/2006/dsa-988.wml 2014-04-30 13:16:10.000000000 +0600 > +++ russian/security/2006/dsa-988.wml 2016-09-19 23:17:49.994829100 +0500 > @@ -1,46 +1,47 @@ > <li><a href="https://security-tracker.debian.org/tracker/CVE-2006-0377";>CVE-2006-0377</a> > > - - <p>Vicente Aguilera of Internet Security Auditors, S.L. discovered a > - - CRLF injection vulnerability, which allows remote attackers to > - - inject arbitrary IMAP commands via newline characters in the mailbox > - - parameter of the sqimap_mailbox_select command, aka "IMAP > - - injection." There's no known way to exploit this yet.</p></li> > + <p>Винсент Агилера из Internet Security Auditors, S.L. обнаружил > + CRLF-инъекцию, позволяющую удалённым злоумышленникам > + вводить произвольный команды IMAP с помощью символов новой строки в параметре mailbox > + команды sqimap_mailbox_select, что также известно как "IMAP-инъекция". > + Пока способ использования этой уязвимости не известен.</p></li> неизвестен Исправил. -- Best regards, Andrey Skvortsov
Attachment:
signature.asc
Description: PGP signature