Re: [DONE] wml://security/2015/dsa-3364.wml
On Tue, Sep 22, 2015 at 11:29:39AM +0500, Lev Lamberov wrote:
> Cheers!
> Lev Lamberov
> --- english/security/2015/dsa-3364.wml 2015-09-21 23:49:27.000000000 +0500
> +++ russian/security/2015/dsa-3364.wml 2015-09-22 11:28:25.993842151 +0500
> @@ -1,75 +1,77 @@
> -<define-tag description>security update</define-tag>
> +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov"
> +<define-tag description>обновление безопасности</define-tag>
> <define-tag moreinfo>
> -<p>Several vulnerabilities have been discovered in the Linux kernel that
> -may lead to a privilege escalation or denial of service.</p>
> +<p>В ядре Linux было обнаружено несколько уязвимостей, которые
> +могут приводить к повышению привилегий или отказу в обслуживании.</p>
>
> <ul>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0272";>CVE-2015-0272</a>
>
> - <p>It was discovered that NetworkManager would set IPv6 MTUs based on
> - the values received in IPv6 RAs (Router Advertisements), without
> - sufficiently validating these values. A remote attacker could
> - exploit this attack to disable IPv6 connectivity. This has been
> - mitigated by adding validation in the kernel.</p></li>
> + <p>Было обнаружено, что NetworkManager устанавливает MTU для IPv6 на основе
> + значений, получаемых в IPv6 RA (Router Advertisement), без
> + проведения достаточной проверки этих значений. Удалённый злоумышленник
> + может использовать эту атаку для отключения отключения поддержки IPv6. Уязвимость
2 раза "отключения"
> + была решена путём добавления в ядро проверяющего кода.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2925";>CVE-2015-2925</a>
>
> - <p>Jann Horn discovered that when a subdirectory of a filesystem is
> - bind-mounted into a container that has its own user and mount
> - namespaces, a process with CAP_SYS_ADMIN capability in the user
> - namespace can access files outside of the subdirectory. The
> - default Debian configuration mitigated this as it does not allow
> - unprivileged users to create new user namespaces.</p></li>
> + <p>Ян Хорн обнаружил, что если подкаталог файловой системы
> + монтируется с опцией bind в контейнер, у которого имеется свой пользователь и пространство
> + имён монтирования, то процесс, имеющий возможность CAP_SYS_ADMIN, в пользовательском
> + пространстве имён может получить доступ к файлам за пределами этого подкаталога. Настройка
> + по умолчанию в Debian не позволяет непривилегированным пользователям создавать
> + новые пользовательские пространства имён.</p></li>
я бы тут сказал "Настройк_и_ по умолчанию в Debian снижают
опасность такого поведения, так как не позволя_ю_т ..."
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5156";>CVE-2015-5156</a>
>
> - <p>Jason Wang discovered that when a virtio_net device is connected
> - to a bridge in the same VM, a series of TCP packets forwarded
> - through the bridge may cause a heap buffer overflow. A remote
> - attacker could use this to cause a denial of service (crash) or
> - possibly for privilege escalation.</p></li>
> + <p>Джейсон Ванг обнаружил, что если устройство virtio_net подключено
> + к мосту в то же виртуальной машине, то последовательность TCP-пакетов, пересылаемых
то_й_ же; хотя не улавливаю смысла, зачем здесь вообще эти слова в
переводе, может лучше их выкинуть совсем?
> + через этот мост, может приводить к переполнению динамической памяти. Удалённый
> + злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании (аварийное завершение) или
> + повышения привилегий.</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6252";>CVE-2015-6252</a>
>
> - <p>Michael S. Tsirkin of Red Hat Engineering found that the vhost
> - driver leaked file descriptors passed to it with the
> - VHOST_SET_LOG_FD ioctl command. A privileged local user with access
> - to the /dev/vhost-net file, either directly or via libvirt, could
> - use this to cause a denial of service (hang or crash).</p></li>
> + <p>Михаил Тсиркин из Red Hat Engineering обнаружил, что драйвер vhost
з
не "Циркин" ли здесь, или даже "Цыркин" :)
> + раскрывает файловые дескрипторы, передаваемые ему командой
> + VHOST_SET_LOG_FD ioctl. Привилегированный локальный пользователь, имеющий доступ
> + к файлу /dev/vhost-net напрямую или через libvirt, может
> + использовать эту уязвимость для вызова отказа в обслуживании (зависание или аварийная остановка).</p></li>
>
> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6937";>CVE-2015-6937</a>
>
> - <p>It was found that the Reliable Datagram Sockets (RDS) protocol
> - implementation did not verify that an underlying transport exists
> - when creating a connection. Depending on how a local RDS
> - application initialised its sockets, a remote attacker might be
> - able to cause a denial of service (crash) by sending a crafted
> - packet.</p></li>
> + <p>Было обнаружено, что реализация протокола RDS
> + не выполняет проверку существования лежащего в основе транспорта при
что в реализации... не выполняется проверка...
тут скорее "низлежащего транспортного протокола"
> + создании подключения. В зависимости от того, как локальное RDS-приложение
> + инициализирует свои сокеты, удалённый злоумышленник может
> + получить возможность вызвать отказ в обслуживании (аварийная остановка) путём отправки специально
аварийн_ую_ остановк_у_
> + сформированного пакета.</p></li>
>
> <li><a href="https://bugs.debian.org/796036";>#796036</a>
>
> - <p>Xavier Chantry discovered that the patch provided by the aufs
> - project to correct behaviour of memory-mapped files from an aufs
> - mount introduced a race condition in the msync() system call.
> - Ben Hutchings found that it also introduced a similar bug in the
> - madvise_remove() function. A local attacker could use this to
> - cause a denial of service or possibly for privilege escalation.</p></li>
> + <p>Хавьер Чантри обнаружил, что заплата, предоставленная проектом aufs
> + для исправления ошибки, при которой файлы MMIO на aufs
> + приводили к состоянию гонки в системном вызове msync().
> + Бен Хатчингс обнаружил, что эта заплата добавляет похожую ошибку в
> + функции madvise_remove(). Локальный злоумышленник может использовать эту уязвимость для
> + вызова отказа в обслуживании или повышения привилегий.</p></li>
>
> </ul>
>
> -<p>For the oldstable distribution (wheezy), these problems have been fixed
> -in version 3.2.68-1+deb7u4.
> -<a href="https://security-tracker.debian.org/tracker/CVE-2015-2925";>CVE-2015-2925</a> and
> -<a href="https://bugs.debian.org/796036";>#796036</a> do not affect the
> -wheezy distribution.</p>
> +<p>В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
> +в версии 3.2.68-1+deb7u4.
> +<a href="https://security-tracker.debian.org/tracker/CVE-2015-2925";>CVE-2015-2925</a> и
> +<a href="https://bugs.debian.org/796036";>#796036</a> не актуальны
> +для выпуска wheezy.</p>
>
> -<p>For the stable distribution (jessie), these problems have been fixed in
> -version 3.16.7-ckt11-1+deb8u4.</p>
> +<p>В стабильном выпуске (jessie) эти проблемы были исправлены в
> +версии 3.16.7-ckt11-1+deb8u4.</p>
>
> -<p>We recommend that you upgrade your linux packages.</p>
> +<p>Рекомендуется обновить пакеты linux.</p>
тут звучит несколько некорректно, но это претензия к авторам,
пакетов под названием linux не существует, так что, как мне
кажется, здесь лучше написать "пакеты (для) ядра linux"
> </define-tag>
>
> # do not modify the following line
> #include "$(ENGLISHDIR)/security/2015/dsa-3364.data"
> # $Id: dsa-3364.wml,v 1.1 2015/09/21 18:49:27 carnil Exp $
> +
Reply to: