-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
- --- ../../english/security/2019/dsa-4430.wml 2019-04-12 10:51:16.738585091 +0500
+++ 2019/dsa-4430.wml 2019-04-12 16:41:23.771708798 +0500
@@ -1,71 +1,70 @@
- -<define-tag description>security update</define-tag>
+#use wml::debian::translation-check translation="8f89f4f84d1b72c6872f117662668a6e94dbb51a" mindelta="1" maintainer="Lev Lamberov"
+<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
- -<p>Mathy Vanhoef (NYUAD) and Eyal Ronen (Tel Aviv University & KU Leuven) found
- -multiple vulnerabilities in the WPA implementation found in wpa_supplication
- -(station) and hostapd (access point). These vulnerability are also collectively
- -known as <q>Dragonblood</q>.</p>
+<p>Мати Ванхоеф (NYUAD) и Эяль Ронен (Tel Aviv University и KU Leuven) обнаружили
+многочисленные уязвимости реализации WPA в wpa_supplication (станция) и
+hostapd (точка доступа). Эти уязвимости вместе известны под названием
+<q>Dragonblood</q>.</p>
<ul>
<li><a href="" href="https://security-tracker.debian.org/tracker/CVE-2019-9495" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/CVE-2019-9495">CVE-2019-9495</a>
- - <p>Cache-based side-channel attack against the EAP-pwd implementation: an
- - attacker able to run unprivileged code on the target machine (including for
- - example _javascript_ code in a browser on a smartphone) during the handshake
- - could deduce enough information to discover the password in a dictionary
- - attack.</p></li>
+ <p>Атака по сторонним каналам на основе кэша на реализацию EAP-pwd:
+ злоумышленник, способный запускать непривилегированный код на целевой машине (включая,
+ например, _javascript_-код в браузере на смартфоне) в ходе рукопожатия,
+ может получить достаточно информации для обнаружения пароля при атаке
+ по словарю.</p></li>
<li><a href="" href="https://security-tracker.debian.org/tracker/CVE-2019-9497" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/CVE-2019-9497">CVE-2019-9497</a>
- - <p>Reflection attack against EAP-pwd server implementation: a lack of
- - validation of received scalar and elements value in the EAP-pwd-Commit
- - messages could result in attacks that would be able to complete EAP-pwd
- - authentication exchange without the attacker having to know the password.
- - This does not result in the attacker being able to derive the session key,
- - complete the following key exchange and access the network.</p></li>
+ <p>Атака методом отражения на серверную реализацию EAP-pwd: отсутствие
+ проверки получаемого блока коэффициентов и значения элемента в сообщениях EAP-pwd-Commit
+ может приводить к атаками, при которых можно завершить аутентификацию при обмене по EAP-pwd
+ без знания пароля. Это не приводит к тому, что злоумышленник способен вывести
+ ключ сессии, завершить последующий обмен ключами и получить доступ к сети.</p></li>
<li><a href="" href="https://security-tracker.debian.org/tracker/CVE-2019-9498" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/CVE-2019-9498">CVE-2019-9498</a>
- - <p>EAP-pwd server missing commit validation for scalar/element: hostapd
- - doesn't validate values received in the EAP-pwd-Commit message, so an
- - attacker could use a specially crafted commit message to manipulate the
- - exchange in order for hostapd to derive a session key from a limited set of
- - possible values. This could result in an attacker being able to complete
- - authentication and gain access to the network.</p></li>
+ <p>Отсутствие проверки завершения транзакций EAP-pwd на стороне сервера для блока коэффициентов/элемента:
+ hostapd не выполняет проверку получаемых в сообщении EAP-pwd-Commit значений, поэтому
+ злоумышленник может использовать специально сформированное сообщение о завершении транзакции для
+ управления обменом с целью того, чтобы служба hostapd вывела сессионный ключ из ограниченного набора
+ возможных значений. Это может приводить к тому, что злоумышленник будет способен завершить
+ аутентификацию и получить доступ к сети.</p></li>
<li><a href="" href="https://security-tracker.debian.org/tracker/CVE-2019-9499" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/CVE-2019-9499">CVE-2019-9499</a>
- - <p>EAP-pwd peer missing commit validation for scalar/element: wpa_supplicant
- - doesn't validate values received in the EAP-pwd-Commit message, so an
- - attacker could use a specially crafted commit message to manipulate the
- - exchange in order for wpa_supplicant to derive a session key from a limited
- - set of possible values. This could result in an attacker being able to
- - complete authentication and operate as a rogue AP.</p>
+ <p>У узла EAP-pwd отсутствует проверка завершения транзакции на предмет некорректных блока
+ коэффициентов/элемента: wpa_supplicant не выполняет проверку полученных в сообщении EAP-pwd-Commit
блок_ов_ ... элемент_ов_
+ значений, поэтому злоумышленник может использовать специально сформированное сообщение о завершении
+ транзакции для управления обменом с целью того, чтобы служба wpa_supplicant вывела сессионный
+ ключ из ограниченного набора возможных значений. Это может приводить к тому, что злоумышленник
+ будет способен завершить аутентификацию и сможет выступать в качестве поддельной точки доступа.</p>
</ul>
- -<p>Note that the Dragonblood moniker also applies to
+<p>Заметьте, что название Dragonblood также применяется к
<a href="" href="https://security-tracker.debian.org/tracker/CVE-2019-9494" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/CVE-2019-9494">\
- -CVE-2019-9494</a> and <a href="" href="https://security-tracker.debian.org/tracker/CVE-2014-9496" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/CVE-2014-9496">\
- -CVE-2014-9496</a> which are vulnerabilities in the SAE protocol in WPA3. SAE is not
- -enabled in Debian stretch builds of wpa, which is thus not vulnerable by default.</p>
- -
- -<p>Due to the complexity of the backporting process, the fix for these
- -vulnerabilities are partial. Users are advised to use strong passwords to
- -prevent dictionary attacks or use a 2.7-based version from stretch-backports
- -(version above 2:2.7+git20190128+0c1e29f-4).</p>
+CVE-2019-9494</a> и <a href="" href="https://security-tracker.debian.org/tracker/CVE-2014-9496" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/CVE-2014-9496">\
+CVE-2014-9496</a>, которые являются уязвимостями в протоколе SAE в WPA3. SAE не включён
+в сборки wpa для Debian stretch, а поэтому по умолчанию они не являются уязвимыми.</p>
+
+<p>В связи со сложностями обратного переноса исправление этих уязвимостей
+является частичным. Пользователям рекомендуется использовать стойкие пароли, чтобы
+предотвратить атаки по словарю, либо использовать версию на основе ветки 2.7 из stretch-backports
+(версию, выше 2:2.7+git20190128+0c1e29f-4).</p>
- -<p>For the stable distribution (stretch), these problems have been fixed in
- -version 2:2.4-1+deb9u3.</p>
+<p>В стабильном выпуске (stretch) эти проблемы были исправлены в
+версии 2:2.4-1+deb9u3.</p>
- -<p>We recommend that you upgrade your wpa packages.</p>
+<p>Рекомендуется обновить пакеты wpa.</p>
- -<p>For the detailed security status of wpa please refer to
- -its security tracker page at:
+<p>С подробным статусом поддержки безопасности wpa можно ознакомиться на
+соответствующей странице отслеживания безопасности по адресу
<a href="" href="https://security-tracker.debian.org/tracker/wpa" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/wpa">\
https://security-tracker.debian.org/tracker/wpa</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4430.data"
- -# $Id: $
-----BEGIN PGP SIGNATURE-----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=5/Ho
-----END PGP SIGNATURE-----