[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [DONE] wml://security/2019/dsa-4430.wml

пт, 12 апр. 2019 г. в 19:00, Lev Lamberov <dogsleg@riseup.net>:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

- --- ../../english/security/2019/dsa-4430.wml  2019-04-12 10:51:16.738585091 +0500
+++ 2019/dsa-4430.wml   2019-04-12 16:41:23.771708798 +0500
@@ -1,71 +1,70 @@
- -<define-tag description>security update</define-tag>
+#use wml::debian::translation-check translation="8f89f4f84d1b72c6872f117662668a6e94dbb51a" mindelta="1" maintainer="Lev Lamberov"
+<define-tag description>обновление безопасности</define-tag>
 <define-tag moreinfo>
- -<p>Mathy Vanhoef (NYUAD) and Eyal Ronen (Tel Aviv University & KU Leuven) found
- -multiple vulnerabilities in the WPA implementation found in wpa_supplication
- -(station) and hostapd (access point). These vulnerability are also collectively
- -known as <q>Dragonblood</q>.</p>
+<p>Мати Ванхоеф (NYUAD) и Эяль Ронен (Tel Aviv University и KU Leuven) обнаружили
+многочисленные уязвимости реализации WPA в wpa_supplication (станция) и
+hostapd (точка доступа). Эти уязвимости вместе известны под названием
+<q>Dragonblood</q>.</p>

 <ul>

 <li><a href="" href="https://security-tracker.debian.org/tracker/CVE-2019-9495" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/CVE-2019-9495">CVE-2019-9495</a>

- -    <p>Cache-based side-channel attack against the EAP-pwd implementation: an
- -    attacker able to run unprivileged code on the target machine (including for
- -    example _javascript_ code in a browser on a smartphone) during the handshake
- -    could deduce enough information to discover the password in a dictionary
- -    attack.</p></li>
+    <p>Атака по сторонним каналам на основе кэша на реализацию EAP-pwd:
+    злоумышленник, способный запускать непривилегированный код на целевой машине (включая,
+    например, _javascript_-код в браузере на смартфоне) в ходе рукопожатия,
+    может получить достаточно информации для обнаружения пароля при атаке
+    по словарю.</p></li>

 <li><a href="" href="https://security-tracker.debian.org/tracker/CVE-2019-9497" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/CVE-2019-9497">CVE-2019-9497</a>

- -    <p>Reflection attack against EAP-pwd server implementation: a lack of
- -    validation of received scalar and elements value in the EAP-pwd-Commit
- -    messages could result in attacks that would be able to complete EAP-pwd
- -    authentication exchange without the attacker having to know the password.
- -    This does not result in the attacker being able to derive the session key,
- -    complete the following key exchange and access the network.</p></li>
+    <p>Атака методом отражения на серверную реализацию EAP-pwd: отсутствие
+    проверки получаемого блока коэффициентов и значения элемента в сообщениях EAP-pwd-Commit
+    может приводить к атаками, при которых можно завершить аутентификацию при обмене по EAP-pwd
+    без знания пароля. Это не приводит к тому, что злоумышленник способен вывести
+    ключ сессии, завершить последующий обмен ключами и получить доступ к сети.</p></li>

 <li><a href="" href="https://security-tracker.debian.org/tracker/CVE-2019-9498" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/CVE-2019-9498">CVE-2019-9498</a>

- -    <p>EAP-pwd server missing commit validation for scalar/element: hostapd
- -    doesn't validate values received in the EAP-pwd-Commit message, so an
- -    attacker could use a specially crafted commit message to manipulate the
- -    exchange in order for hostapd to derive a session key from a limited set of
- -    possible values. This could result in an attacker being able to complete
- -    authentication and gain access to the network.</p></li>
+    <p>Отсутствие проверки завершения транзакций EAP-pwd на стороне сервера для блока коэффициентов/элемента:
+    hostapd не выполняет проверку получаемых в сообщении EAP-pwd-Commit значений, поэтому
+    злоумышленник может использовать специально сформированное сообщение о завершении транзакции для
+    управления обменом с целью того, чтобы служба hostapd вывела сессионный ключ из ограниченного набора
+    возможных значений. Это может приводить к тому, что злоумышленник будет способен завершить
+    аутентификацию и получить доступ к сети.</p></li>

 <li><a href="" href="https://security-tracker.debian.org/tracker/CVE-2019-9499" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/CVE-2019-9499">CVE-2019-9499</a>

- -    <p>EAP-pwd peer missing commit validation for scalar/element: wpa_supplicant
- -    doesn't validate values received in the EAP-pwd-Commit message, so an
- -    attacker could use a specially crafted commit message to manipulate the
- -    exchange in order for wpa_supplicant to derive a session key from a limited
- -    set of possible values. This could result in an attacker being able to
- -    complete authentication and operate as a rogue AP.</p>
+    <p>У узла EAP-pwd отсутствует проверка завершения транзакции на предмет некорректных блока
+    коэффициентов/элемента: wpa_supplicant не выполняет проверку полученных в сообщении EAP-pwd-Commit

блок_ов_ ... элемент_ов_
 
+    значений, поэтому злоумышленник может использовать специально сформированное сообщение о завершении
+    транзакции для управления обменом с целью того, чтобы служба wpa_supplicant вывела сессионный
+    ключ из ограниченного набора возможных значений. Это может приводить к тому, что злоумышленник
+    будет способен завершить аутентификацию и сможет выступать в качестве поддельной точки доступа.</p>

 </ul>

- -<p>Note that the Dragonblood moniker also applies to
+<p>Заметьте, что название Dragonblood также применяется к
 <a href="" href="https://security-tracker.debian.org/tracker/CVE-2019-9494" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/CVE-2019-9494">\
- -CVE-2019-9494</a> and <a href="" href="https://security-tracker.debian.org/tracker/CVE-2014-9496" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/CVE-2014-9496">\
- -CVE-2014-9496</a> which are vulnerabilities in the SAE protocol in WPA3. SAE is not
- -enabled in Debian stretch builds of wpa, which is thus not vulnerable by default.</p>
- -
- -<p>Due to the complexity of the backporting process, the fix for these
- -vulnerabilities are partial. Users are advised to use strong passwords to
- -prevent dictionary attacks or use a 2.7-based version from stretch-backports
- -(version above 2:2.7+git20190128+0c1e29f-4).</p>
+CVE-2019-9494</a> и <a href="" href="https://security-tracker.debian.org/tracker/CVE-2014-9496" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/CVE-2014-9496">\
+CVE-2014-9496</a>, которые являются уязвимостями в протоколе SAE в WPA3. SAE не включён
+в сборки wpa для Debian stretch, а поэтому по умолчанию они не являются уязвимыми.</p>
+
+<p>В связи со сложностями обратного переноса исправление этих уязвимостей
+является частичным. Пользователям рекомендуется использовать стойкие пароли, чтобы
+предотвратить атаки по словарю, либо использовать версию на основе ветки 2.7 из stretch-backports
+(версию, выше 2:2.7+git20190128+0c1e29f-4).</p>

- -<p>For the stable distribution (stretch), these problems have been fixed in
- -version 2:2.4-1+deb9u3.</p>
+<p>В стабильном выпуске (stretch) эти проблемы были исправлены в
+версии 2:2.4-1+deb9u3.</p>

- -<p>We recommend that you upgrade your wpa packages.</p>
+<p>Рекомендуется обновить пакеты wpa.</p>

- -<p>For the detailed security status of wpa please refer to
- -its security tracker page at:
+<p>С подробным статусом поддержки безопасности wpa можно ознакомиться на
+соответствующей странице отслеживания безопасности по адресу
 <a href="" href="https://security-tracker.debian.org/tracker/wpa" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/wpa">\
 https://security-tracker.debian.org/tracker/wpa</a></p>
 </define-tag>

 # do not modify the following line
 #include "$(ENGLISHDIR)/security/2019/dsa-4430.data"
- -# $Id: $
-----BEGIN PGP SIGNATURE-----

iQIzBAEBCgAdFiEE3mumcdV9mwCc9oZQXudu4gIW0qUFAlyweZYACgkQXudu4gIW
0qVWCQ//WiczWQK+oeZmAfxXpjvqF4UHerooDj0mDVR+2eg6vOKWfGc9J2onGO/0
CGMXHylLP/qW6XJal11VEpG+DWE/X6+OSHKOj6NLMxv7Y2jQDohjpZNln0Y34mFj
qnZcxWURdPrG+ilAx3sF3utDOKfbaQPu4IyuSPAT2Y72RrkPr/4KLcZLIwaxb/s5
Fn44dHT+QEZbUQXon+9dv5Awg5hMp70vJPSv4JUnnBn9cB6d8yi/2+AWoGikJTWu
7G3iKkl8w+jeGd1vAf8irPYKX3MLoLqVC2YzP/uHUirtWq3PbtmVyMKTBrR74Sjp
Acm9zs1hC1h7NNYyI52FD4uPBIf4YCc1EOeItqDe/xN8NhHTiqWo0lOWwzeOhkxg
gCqgxZ+xcqPQvs8geIZIBHtVsnrPgG21guXxWGZBcUKcUQ04Sj/hucXqVxFQ828Y
8iCyVYuKgul6+VYyifk96/7T1X594lqsWYtB+DW/LgQoInSmcMfRZZLm4r3hkYt6
4i2F5NlkZhMnCgmQX0rQ7TGZYDdLI/aUKH5WHt/zLdFqzFHR7ddqQm6zJOyrnE5w
ybC6A3WvQYslhgOeVw/saWWav0BgdgL6lL5sdCfkq7NmMBRLYmz7B0CBxeWxYf3r
tmsEHZugH9OvG6HzRG/eLPfX0znWK3irPhTJ1Cdpt7LxxLNX/cE=
=5/Ho
-----END PGP SIGNATURE-----

Reply to: