Re: [DONE] wml://security/2021-GRUB-UEFI-SecureBoot/index.wml
On Sat, Mar 06, 2021 at 01:47:11PM +0500, Lev Lamberov wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA512
>
> - --- english/security/2021-GRUB-UEFI-SecureBoot/index.wml 2021-03-03 09:19:40.794464351 +0500
> +++ russian/security/2021-GRUB-UEFI-SecureBoot/index.wml 2021-03-06 13:44:16.529994416 +0500
> @@ -1,282 +1,284 @@
> - -#use wml::debian::template title="GRUB2 UEFI SecureBoot vulnerabilities - 2021"
> +#use wml::debian::template title="Уязвимости GRUB2 UEFI SecureBoot — 2021"
> +#use wml::debian::translation-check translation="c75c69f1804b1736803adeaed0ae75df904666b8" maintainer="Lev Lamberov"
>
> <p>
> - -Since
> - -the <a href="$(HOME)/security/2020-GRUB-UEFI-SecureBoot">"BootHole"</a>
> - -group of bugs announced in GRUB2 in July 2020, security researchers
> - -and developers in Debian and elsewhere have continued to look for
> - -further issues that might allow for circumvention of UEFI Secure
> - -Boot. Several more have been found. See
> - -<a href="$(HOME)/security/2021/dsa-4867">Debian Security Advisory
> - -4867-1</a> for more complete details. The aim of this document is to
> - -explain the consequences of this security vulnerability, and what
> - -steps have been taken to address it. </p>
> +После анонса в июле 2020 г.
> +о <a href="$(HOME)/security/2020-GRUB-UEFI-SecureBoot">"BootHole"</a>,
> +группе ошибок в GRUB2, исследователи безопасности
> +и разработчики Debian, а также других дистрибутивов продолжили поиск
> +других проблем, которые могли бы позволить обойти UEFI Secure
> +Boot. Было обнаружено ещё несколько таких ошибок. Подробности см. в
> +<a href="$(HOME)/security/2021/dsa-4867">рекомендации по безопасности Debian
> +4867-1</a>. Цель данного документа состоит в том, чтобы объяснить
> +последствия этих уязвимостей, а также указать, что следует предпринять для
> +того, чтобы исправить их. </p>
>
> <ul>
> - - <li><b><a href="#what_is_SB">Background: What is UEFI Secure Boot?</a></b></li>
> - - <li><b><a href="#grub_bugs">Multiple GRUB2 bugs found</a></b></li>
> - - <li><b><a href="#revocations">Key revocations needed to fix the Secure Boot chain</a></b></li>
> - - <li><b><a href="#revocation_problem">What are the effects of key revocation?</a></b></li>
> - - <li><b><a href="#package_updates">Updated packages and keys</a></b>
> + <li><b><a href="#what_is_SB">Общая информация: что такое UEFI Secure Boot?</a></b></li>
> + <li><b><a href="#grub_bugs">Обнаружение многочисленных ошибок GRUB2</a></b></li>
> + <li><b><a href="#revocations">Необходимость отзыва ключей для исправления цепочки Secure Boot</a></b></li>
> + <li><b><a href="#revocation_problem">Каковы последствия отзыва ключей?</a></b></li>
> + <li><b><a href="#package_updates">Обновлённые пакеты и ключи</a></b>
> <ul>
> <li><b><a href="#grub_updates">1. GRUB2</a></b></li>
> <li><b><a href="#linux_updates">2. Linux</a></b></li>
> - - <li><b><a href="#shim_updates">3. Shim and SBAT</a></b></li>
> + <li><b><a href="#shim_updates">3. Shim и SBAT</a></b></li>
> <li><b><a href="#fwupdate_updates">4. Fwupdate</a></b></li>
> <li><b><a href="#fwupd_updates">5. Fwupd</a></b></li>
> - - <li><b><a href="#key_updates">6. Keys</a></b></li>
> + <li><b><a href="#key_updates">6. Ключи</a></b></li>
> </ul></li>
> - - <li><b><a href="#buster_point_release">Debian 10.9 (<q>buster</q>)
> - - point release, updated installation and live
> - - media</a></b></li>
> - - <li><b><a href="#more_info">More information</a></b></li>
> + <li><b><a href="#buster_point_release">Редакция Debian 10.9 (<q>buster</q>),
> + обновлённые установочные носители и <q>живые</q>
> + образы</a></b></li>
> + <li><b><a href="#more_info">Дополнительная информация</a></b></li>
> </ul>
>
> - -<h1><a name="what_is_SB">Background: What is UEFI Secure Boot?</a></h1>
> +<h1><a name="what_is_SB">Общая информация: что такое UEFI Secure Boot?</a></h1>
>
> <p>
> - -UEFI Secure Boot (SB) is a verification mechanism for ensuring that
> - -code launched by a computer's UEFI firmware is trusted. It is designed
> - -to protect a system against malicious code being loaded and executed
> - -early in the boot process, before the operating system has been
> - -loaded.
> +UEFI Secure Boot (SB) представляет собой механизм проверки, гарантирующий что
> +запускаемый UEFI-микропрограммой компьютера код является доверенным. Он разработан
> +для защиты системы от вредоносного кода, загружаемого и исполняемого
> +достаточно рано в процессе старта и до загрузки операционной
> +системы.
> </p>
>
> <p>
> - -SB works using cryptographic checksums and signatures. Each
> - -program that is loaded by the firmware includes a signature and a
> - -checksum, and before allowing execution the firmware will verify that
> - -the program is trusted by validating the checksum and the
> - -signature. When SB is enabled on a system, any attempt to execute an
> - -untrusted program will not be allowed. This stops unexpected /
> - -unauthorised code from running in the UEFI environment.
> +SB работает с использованием криптографических контрольных сумм и подписей. Каждая
> +программа, загружаемая микропрограммой, содержит подпись и контрольную сумму.
> +Перед тем, как разрешить исполнение, микропрограмма выполняет проверку того, что
> +запускаемая программа является доверенной. Это осуществляется путём проверки контрольной
> +суммы и подписи. Если SB включён в системе, то любая попытка выполнить
> +недоверенную программу будет запрещена. Это позволяет предотвратить
> +запуск непредусмотренного / неавторизованного кода в UEFI-окружении.
> </p>
>
> <p>
> - -Most x86 hardware comes from the factory pre-loaded with Microsoft
> - -keys. This means the firmware on these systems will trust binaries
> - -that are signed by Microsoft. Most modern systems will ship with SB
> - -enabled - they will not run any unsigned code by default, but it is
> - -possible to change the firmware configuration to either disable SB or
> - -to enrol extra signing keys.
> +Большинство оборудования с архитектурой x86 поставляется с завода с предустановленными
> +ключами Microsoft. Это означает, что микропрограмма в такой системе доверяет двоичным
> +файлам, подписанным Microsoft. Большинство современных систем поставляются с включённым
> +механизмом SB, по умолчанию они не запускают какой-либо неподписанный код. Однако
> +можно изменить настройки микропрограммы и либо отключить SB, либо
> +зарегистрировать дополнительные ключи.
> </p>
>
> <p>
> - -Debian, like many other Linux-based operating systems, uses a program
> - -called shim to extend that trust from the firmware to the other
> - -programs that we need to be secured during early boot: the GRUB2
> - -bootloader, the Linux kernel and firmware update tools (fwupd and
> +Debian, как и многие другие операционные системы на основе Linux, использует программу,
> +называемую shim, для расширения доверия от микропрограммы до других программ,
> +которые нам требуется обезопасить в ходе ранней загрузки — это загрузчик GRUB2,
> +ядро Linux и инструменты обновления микропрограмм (fwupd и
> fwupdate).
> </p>
>
> - -<h1><a name="grub_bugs">Multiple GRUB2 bugs found</a></h1>
> +<h1><a name="grub_bugs">Обнаружение многочисленных ошибок GRUB2</a></h1>
>
> <p>
> - -A bug has been found in the GRUB2 <q>acpi</q> module. This module is
> - -designed to provide a driver interface to ACPI ("Advanced
> - -Configuration and Power Interface"), a very common part of modern
> - -computing hardware. Unfortunately, the ACPI module also currently
> - -allows a privileged user to load crafted ACPI tables under Secure Boot
> - -and make arbitrary changes to system state; this allows people to
> - -easily break the Secure Boot chain. This security hole has now been
> - -fixed.
> +В модуле <q>acpi</q> для GRUB2 была обнаружена ошибка. Этот модуль
> +разработан для предоставления интерфейса драйверов для ACPI (<q>улучшенного
> +интерфейса для конфигурации и управления электропитанием</q>), довольно распространённой
> +части современного оборудования. К сожалению, модуль ACPI в настоящее время
> +позволяет привилегированному пользователю загружать специально сформированные таблицы ACPI
> +при включённом Secure Boot и выполнять произвольные изменения состояния системы;
> +это позволяет людям легко ломать цепочку Secure Boot. В настоящее время эта
> +уязвимость исправлена.
> </p>
>
> <p>
> - -As with BootHole, instead of just fixing that one bug, developers have
> - -continued with more in-depth auditing and analysis of GRUB2's source
> - -code. It would have been irresponsible to fix one major flaw without
> - -also looking for others! We have found a few more places where
> - -internal memory allocations could overflow given unexpected inputs,
> - -and a few places where memory might be used after freeing it. Fixes
> - -for all of these have been shared and tested across the community.
> +Как и в случае с BootHole вместо исправления этой одной ошибки разработчики
> +продолжили более глубокий аудит и анализ исходного кода GRUB2.
> +Было бы безответственно исправить одну серьёзную уязвимость без поиска
> +других уязвимостей! Мы обнаружили ещё несколько место в коде, где выделение
мест_
> +внутренней памяти может приводить к переполнению при получении неожиданных входных
> +данных, а также несколько мест, где память может использоваться после её освобождения.
> +Исправления для всех этих ошибок были распространены среди участников сообщества и
> +протестированы.
> </p>
>
> <p>
> - -Again, see <a href="$(HOME)/security/2021/dsa-4867">Debian Security
> - -Advisory 4867-1</a> for a full list of the issues found.
> +Полный список обнаруженных ошибок можно найти в <a href="$(HOME)/security/2021/dsa-4867">рекомендации
> +по безопасности Debian 4867-1</a>.
> </p>
>
>
> - -<h1><a name="revocations">Key revocations needed to fix the Secure Boot chain</a></h1>
> +<h1><a name="revocations">Необходимость отзыва ключей для исправления цепочки Secure Boot</a></h1>
>
> <p>
> - -Debian and other operating system providers will obviously
> - -be <a href="#package_updates">releasing fixed versions</a> of
> - -GRUB2. However, that cannot be a complete fix for the problems seen
> - -here. Malicious actors would still be able to use older vulnerable
> - -versions of GRUB2 to be able to work around Secure Boot.
> +Очевидно, Debian и другие поставщики операционных систем <a
> +href="#package_updates">выпустят исправленные версии</a> GRUB2 и
> +Linux. Тем не менее на этом исправление проблем не завершается.
> +Злоумышленники всё ещё могут быть способны использовать предыдущие уязвимые
> +версии загрузчика и ядра, чтобы обойти Secure Boot.
> </p>
>
> <p>
> - -To stop that, the next step will be for Microsoft to block those
> - -insecure binaries to stop them being run under SB. This is achieved
> - -using the <b>DBX</b> list, a feature of the UEFI Secure Boot
> - -design. All of the Linux distributions shipping with Microsoft-signed
> - -copies of shim have been asked to provide details of the binaries or
> - -keys involved to facilitate this process. The <a
> - -href="https://uefi.org/revocationlistfile";>UEFI revocation list
> - -file</a> will be updated to include that information. At <b>some</b>
> - -future point, systems will start to use that updated list and will
> - -refuse to run the vulnerable binaries under Secure Boot.
> +Для предотвращения этого следующим шагом будет внесение сотрудниками Microsoft небезопасных
> +двоичных файлов в список блокировки, чтобы они не могли быть запущены при включённом SB.
> +Это достигается с помощью списка <b>DBX</b>, который является частью UEFI Secure Boot.
> +Все дистрибутивы Linux, поставляющие подписанные Microsoft копии shim,
> +должны предоставить подробную информацию о двоичных файлах или используемых ключах,
> +чтобы указанные действия были выполнены. Будет обновлён <a
> +href="https://uefi.org/revocationlistfile";>UEFI-файл со списком отозванных ключей</a>,
> +обновление будет содержать предоставленную информацию. Позднее, <b>некоторый</b>
> +момент времени, системы начнут использовать этот обновлённый список и перестанут
> +запускать уязвимые двоичные файлы при использовании Secure Boot.
> </p>
>
> <p>
> - -The <i>exact</i> timeline for that change being deployed is not yet
> - -clear. BIOS/UEFI vendors will include the new revocation list in new
> - -firmware builds for new hardware at some point. Microsoft <b>may</b>
> - -also issue updates to existing systems via Windows Update. Some Linux
> - -distributions may issue updates via their own security updates
> - -process. Debian does not <b>yet</b> do this, but we are looking into
> - -it for the future.
> +<i>Точный</i> срок развёртывания этого изменения пока не ясен.
> +В какой-то момент поставщики BIOS/UEFI добавят новый список отозванных ключей в новые сборки
> +микропрограмм для нового оборудования. Microsoft <b>может</b>
> +выпустить обновления для существующих систем через Windows Update. Некоторые
> +дистрибутивы Linux также могут выпустить обновления через свои собственные
> +системы обновления безопасности. Debian <b>пока</b> этого не сделал, но мы
> +собираемся сделать это в будущем.
> </p>
>
> - -<h1><a name="revocation_problem">What are the effects of key revocation?</a></h1>
> +<h1><a name="revocation_problem">Каковы последствия отзыва ключей?</a></h1>
>
> <p>
> - -Most vendors are wary about automatically applying updates which
> - -revoke keys used for Secure Boot. Existing SB-enabled software
> - -installations may suddenly refuse to boot altogether, unless the user
> - -is careful to also install all the needed software updates as
> - -well. Dual-boot Windows/Linux systems may suddenly stop booting
> - -Linux. Old installation and live media will of course also fail to
> - -boot, potentially making it harder to recover systems.
> +Большинство поставщиков с недоверием относятся к автоматическому применению
> +обновлений, которые отзывают ключи, используемые для Secure Boot. Существующие
> +наборы ПО могут неожиданно перестать загружаться при включённом SB, если
> +пользователь также не установил требуемые обновления ПО. Двойная
> +загрузка систем Windows/Linux тоже может неожиданно прекратить загрузку
> +Linux. Конечно же, старые установочные образы и <q>живые</q> тоже перестанут
> +загружаться, что потенциально усложнит восстановление систем.
> </p>
>
> <p>
> - -There are two obvious ways to fix a non-booting system like this:
> +Имеются два очевидных способа исправления незагружающейся системы:
> </p>
>
> <ul>
> - - <li>Reboot into <q>rescue</q> mode
> - - using <a href="#buster_point_release">newer installation media</a>, and
> - - apply the needed updates that way; or</li>
> - - <li>Temporarily disable Secure Boot to regain access to the system,
> - - apply updates then re-enable it.</li>
> + <li>Перезагрузиться в режиме <q>восстановления</q>,
> + используя <a href="#buster_point_release">более новые установочные носители</a>,
> + и применить необходимые обновления; или</li>
> + <li>Временно отключить Secure Boot для получения доступа к системе,
> + применить обновления, а затем заново включить SB.</li>
> </ul>
>
> <p>
> - -These may both sound like simple options, but each could be very
> - -time-consuming for users with multiple systems. Also be aware that
> - -enabling or disabling Secure Boot needs direct machine access, by
> - -design. It is normally <b>not</b> possible to change that
> - -configuration outside of the computer's firmware setup. Remote server
> - -machines may need special care here for exactly this reason.
> +Оба пути могут вначале показаться простыми, однако каждый из них потребует
> +некоторого количества времени, особенно от пользователей нескольких систем.
> +Кроме того, помните, что для включения или отключения
> +Secure Boot требуется непосредственный доступ к машине. Обычно
> +<b>нельзя</b> изменить эту настройку извне системы настройки микропрограммы
> +компьютера. Удалённые серверные машины могут потребовать специального
> +обращения по этой самой причине.
> </p>
>
> <p>
> - -For these reasons, it is strongly recommended that <b>all</b> Debian
> - -users be careful to install all
> - -the <a href="#package_updates">recommended updates</a> for their
> - -systems as soon as possible, to reduce the chances of problems in
> - -future.
> +По этим причинам настоятельно рекомендуется, чтобы <b>все</b> пользователи
> +Debian установили все <a href="#package_updates">рекомендованные обновления</a> для
> +своих систем как можно скорее. Это позволит снизить вероятность возникновения
> +проблем в будущем.
> </p>
>
> - -<h1><a name="package_updates">Updated packages and keys</a></h1>
> +<h1><a name="package_updates">Обновлённые пакеты</a></h1>
>
> <p>
> - -<b>Note:</b> Systems running Debian 9 (<q>stretch</q>) and older
> - -will <b>not</b> necessarily receive updates here, as Debian 10
> - -(<q>buster</q>) was the first Debian release to include support for UEFI
> +<b>ВНИМАНИЕ:</b> системы, использующие Debian 9 (<q>stretch</q>) и более ранние
> +выпуски <b>необязательно</b> получат соответствующие обновления, поскольку Debian 10
> +(<q>buster</q>) является первым выпуском Debian, включающим поддержку UEFI
> Secure Boot.
> </p>
>
> <p>
> - -There are five source packages in Debian that will be updated due to
> - -the UEFI Secure Boot changes described here:
> +В Debian имеются пять пакетов с исходным кодом, которые будут обновлены из-за
> +описанных здесь изменений UEFI Secure Boot:
> </p>
>
> <h2><a name="grub_updates">1. GRUB2</a></h2>
>
> <p>
> - -Updated versions of Debian's GRUB2 packages are available now via the
> - -debian-security archive for the stable Debian 10 release
> - -(<q>buster</q>). Fixed versions will be in the normal Debian archive
> - -for development versions of Debian (unstable and testing) very soon.
> +Обновлённые версии Debian-пакетов GRUB2 доступны уже сейчас в архиве
> +debian-security для стабильного выпуска Debian 10
> +(<q>buster</q>). Исправленные версии очень скоро появятся в обычном архиве Debian
> +для разрабатываемых версий Debian (нестабильного и тестируемого).
> </p>
>
> <h2><a name="linux_updates">2. Linux</a></h2>
>
> <p>
> - -Updated versions of Debian's linux packages will be available shortly
> - -via buster-proposed-updates for the stable Debian 10 (<q>buster</q>)
> - -release and will be included with the upcoming 10.9 point release. New
> - -packages will soon be in the Debian archive for development versions
> - -of Debian (unstable and testing). We hope to have updated packages
> - -uploaded for buster-backports soon also.
> - -</p>
> - -
> - -<h2><a name="shim_updates">3. Shim and SBAT</a></h2>
> - -
> - -<p>
> - -The "BootHole" bug series was the first time that large-scale key
> - -revocation was needed in the UEFI Secure Boot ecosystem. It
> - -demonstrated an unfortunate design flaw in SB revocation: with lots of
> - -different Linux distributions and lots of UEFI binaries, the
> - -revocation list size grows quickly. Many computer systems only have a
> - -limited amount of space for storing key revocation data, and this
> - -could fill quickly and leave those system broken in various ways.
> +Обновлённые версии Debian-пакетов linux будут доступны в скором времени через
> +buster-proposed-updates для стабильного выпуска Debian 10 (<q>buster</q>)
> +и будут включены в готовящуюся редакцию 10.9. Новые пакеты
> +также скоро появятся в архиве Debian для разрабатываемых версий
> +Debian (нестабильного и тестируемого). Мы надеемся, что исправленные пакеты
> +будут вскоре загружены в buster-backports.
> +</p>
> +
> +<h2><a name="shim_updates">3. Shim и SBAT</a></h2>
> +
> +<p>
> +Обнаружение серии ошибок <q>BootHole</q> было первым случаем, когда в
> +экосистеме UEFI Secure Boot потребовалось отозвать ключи. Это показало
> +досадную ошибку проектирования в механизме отзыва ключей SB: большое
> +количество разных дистрибутивов Linux и разных двоичных файлов UEFI приводят
> +к тому, что список отзыва ключей растёт очень быстро. Многие компьютерные системы
> +имеют лишь ограниченный объём места для хранения данных об отзыве ключей,
> +отзыв большого числа ключей может быстро заполнить этот объём и привести
> +к различным поломкам систем.
> </p>
>
> <p>
> - -To combat this problem, the shim developers have devised a much more
> - -space-efficient method for blocking insecure UEFI binaries in the
> - -future. It is called <b>SBAT</b> (<q>Secure Boot Advanced
> - -Targeting</q>). It works by tracking generation numbers of signed
> - -programs. Instead of revoking signatures individually as problems are
> - -found, counters are used to indicate that old versions of programs are
> - -no longer considered secure. Revoking an old series of GRUB2 binaries
> - -(for example) now becomes a case of updating a UEFI variable
> - -containing the generation number for GRUB2; any versions of GRUB2
> - -software older than that number will no longer be considered
> - -secure. For much more information on SBAT, see the
> - -shim <a href="https://github.com/rhboot/shim/blob/main/SBAT.md";>SBAT
> - -documentation</a>.
> +Для борьбы с этой проблемой разработчики shim разработали более эффективный в
> +плане места для хранения метод блокировки в будущем небезопасных двоичных файлов
> +UEFI. Он называется <b>SBAT</b> (<q>Secure Boot Advanced Targeting</q>).
> +Он работает путём отслеживания номеров поколения подписанных программ.
> +Вместо отзыва отдельных подписей при обнаружении проблем используются
> +счётчики для определения старых версий программ, которые более не считаются
> +безопасными. Отзыв старых серий двоичных файлов GRUB2 (например)
> +теперь потребует обновления переменной UEFI, содержащей номер поколения
> +для GRUB2; любые версии GRUB2 с более старым номером более не будут считаться
> +безопасными. За дополнительной информацией о SBAT обращайтесь к
> +shim <a href="https://github.com/rhboot/shim/blob/main/SBAT.md";>документации
> +по SBAT</a>.
> </p>
>
> <p>
> - -<b>Unfortunately</b>, this new shim SBAT development effort is not
> - -quite ready yet. Developers were aiming to release a new version of
> - -shim now with this major new feature, but hit unexpected
> - -problems. Development is still ongoing. Across the Linux community, we
> - -are expecting to update to this new version of shim very soon. Until
> - -that is ready, we will all be continuing to use our existing signed
> - -shim binaries.
> +<b>К сожалению</b>, новая разработка shim SBAT ещё не совсем готова.
> +Разработчики собирались сейчас выпустить новую версию shim, содержащую
> +эту новую возможность, но они столкнулись с неожиданными проблемами.
> +Разработка ещё продолжается. Мы ожидаем, что сообщество Linux очень скоро
> +обновиться до этой новой версии shim. До того, как эта разработка
> +будет готова, мы все продолжим использовать наши существующие подписанные
> +двоичные файлы shim.
> </p>
>
> <p>
> - -Updated versions of Debian's shim packages will be made available as
> - -soon as this work is finished. They will be announced here and
> - -elsewhere. We will publish a new 10.9 point release at that point, and
> - -also release new shim packages for development versions of Debian
> - -(unstable and testing).
> +Обновлённые версии Debian-пакетов shim будут доступны сразу же,
> +как только работа будет завершена. О них будет объявлено здесь
> +и в других местах. Кроме того, мы опубликуем новую редакцию Debian,
> +10.9, а также выпустим новые пакеты shim для разрабатываемых версий
> +Debian (нестабильного и тестируемого).
> </p>
>
> <h2><a name="fwupdate_updates">4. Fwupdate</a></h2>
>
> <p>
> - -Updated versions of Debian's fwupdate packages will be available
> - -shortly in buster-proposed-updates for the stable Debian 10
> - -(<q>buster</q>) release and will be included with the upcoming 10.9
> - -point release. fwupdate had already been removed from unstable and
> - -testing some time ago in favour of fwupd.
> +Обновлённые версии Debian-пакетов fwupdate будут доступны в скором времени
> +через buster-proposed-updates для стабильного выпуска Debian 10 (<q>buster</q>)
> +и будут включены в готовящуюся редакцию 10.9. Пакет fwupdate уже был
> +удалён из нестабильного и тестируемого выпусков в связи с его заменой
> +на пакет fwupd.
> </p>
>
> <h2><a name="fwupd_updates">5. Fwupd</a></h2>
>
> <p>
> - -Updated versions of Debian's fwupd packages will be available shortly
> - -via buster-proposed-updates for the stable Debian 10 (<q>buster</q>)
> - -release and will be included with the upcoming 10.9 point release. New
> - -packages are also in the Debian archive for development versions of
> - -Debian (unstable and testing).
> +Обновлённые версии Debian-пакетов fwupd будут доступны в скором времени
> +через buster-proposed-updates для стабильного выпуска Debian 10 (<q>buster</q>)
> +и будут включены в готовящуюся редакцию 10.9. Новые пакеты
> +также находятся в архиве Debian для разрабатываемых версий
> +Debian (нестабильного и тестируемого).
> </p>
>
> - -<h2><a name="key_updates">6. Keys</a></h2>
> +<h2><a name="key_updates">6. Ключи</a></h2>
>
> <p>
> - -Debian has generated new signing keys and certificates for its Secure
> - -Boot packages. We used to use one certificate for all of our packages:
> +Разработчики Debian создали новые ключи для подписывания и сертификаты для своих
> +пакетов Secure Boot. Ранее мы использовали один сертификат для всех наших пакетов:
> </p>
>
> <ul>
> @@ -287,9 +289,9 @@
> </ul>
>
> <p>
> - -We have now moved to using separate keys and certificates for each of
> - -the five different source packages involved, to give us better
> - -flexibility in future:
> +Теперь мы перешли на использовать отдельных ключей и сертификатов для каждого из
использова_ние_
> +пяти разных пакетов с исходным кодом, что в будущем даст нам большую
> +гибкость:
> </p>
>
> <ul>
> @@ -315,33 +317,33 @@
> </ul>
> </ul>
>
> - -<h1><a name="buster_point_release">Debian 10.9 (<q>buster</q>) point
> - -release, updated installation and live media</a></h1>
> +<h1><a name="buster_point_release">Редакция Debian 10.9 (<q>buster</q>)
> +обновлённые установочные носители и <q>живые</q> образы</a></h1>
>
> <p>
> - -All of the fixes described here will be targeted for inclusion in the
> - -Debian 10.9 (<q>buster</q>) point release, due shortly. 10.9 would
> - -therefore be a good choice for users looking for Debian installation
> - -and live media. Earlier images may stop working with Secure Boot in
> - -future, as revocations roll out.
> +Все описанные здесь обновления планируется включить в редакцию
> +Debian 10.9 (<q>buster</q>), который будет выпущен в скором времени.
> +Таким образом, пользователям, которым нужны установочные и <q>живые</q>
> +образы Debian следует выбирать 10.9. В будущем более ранние образы могут
> +не работать с Secure Boot, так как будет выполнен отзыв ключей.
> </p>
>
> - -<h1><a name="more_info">More information</a></h1>
> +<h1><a name="more_info">Дополнительная информация</a></h1>
>
> <p>
> - -Much more information about Debian's UEFI Secure Boot setup is in the
> - -Debian wiki -
> - -see <a href="https://wiki.debian.org/SecureBoot";>https://wiki.debian.org/SecureBoot</a>.</p>
> +Дополнительную информацию о настройке UEFI Secure Boot в Debian
> +можно найти в вики Debian по адресу <a href="https://wiki.debian.org/SecureBoot";>\
> +https://wiki.debian.org/SecureBoot</a>.</p>
>
> <p>
> - -Other resources on this topic include:
> +Другие ресурсы по данной теме:
> </p>
>
> <ul>
> - - <li><a href="https://access.redhat.com/security/vulnerabilities/RHSB-2021-003";>Red
> - - Hat vulnerability article</a></li>
> - - <li><a href="https://www.suse.com/support/kb/doc/?id=000019892";>SUSE
> - - advisory</a></li>
> - - <li><a href="https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/GRUB2SecureBootBypass2021";>Ubuntu
> - - security article</a></a>
> + <li><a href="https://access.redhat.com/security/vulnerabilities/RHSB-2021-003";>Статья
> + об уязвимости от Red Hat</a></li>
> + <li><a href="https://www.suse.com/support/kb/doc/?id=000019892";>Статья
> + об уязвимости от SUSE</a></li>
> + <li><a href="https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/GRUB2SecureBootBypass2021";>Статья
> + по безопасности от Ubuntu</a></a>
> </ul>
--
Vladimir
Reply to: