[DONE] wml://security/2021/dsa-4881.wml
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
- --- ../../english/security/2021/dsa-4881.wml 2021-03-31 20:32:04.020588751 +0500
+++ 2021/dsa-4881.wml 2021-03-31 20:45:35.613853500 +0500
@@ -1,72 +1,71 @@
- -<define-tag description>security update</define-tag>
+#use wml::debian::translation-check translation="3b4dcf387c0ea55ca4f93024979c9557c89c0393" mindelta="1" maintainer="Lev Lamberov"
+<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
- -<p>Multiple vulnerabilities were discovered in cURL, an URL transfer library:</p>
+<p>В cURL, библиотека передачи URL, были обнаружены многочисленные уязвимости:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8169">CVE-2020-8169</a>
- - <p>Marek Szlagor reported that libcurl could be tricked into prepending
- - a part of the password to the host name before it resolves it,
- - potentially leaking the partial password over the network and to the
- - DNS server(s).</p></li>
+ <p>Марек Шлягор сообщил, что libcurl может добавлять часть пароля
+ к имени узла до разрешения имени, что потенциально приводит к
+ утечке части пароля по сети и DNS-серверам.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8177">CVE-2020-8177</a>
- - <p>sn reported that curl could be tricked by a malicious server into
- - overwriting a local file when using the -J (--remote-header-name) and
- - -i (--include) options in the same command line.</p></li>
+ <p>sn сообщил, что curl из-за вредоносного сервера может перезаписать
+ локальный файл, если в команде одновременно используются опции -J (--remote-header-name)
+ и -i (--include).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8231">CVE-2020-8231</a>
- - <p>Marc Aldorasi reported that libcurl might use the wrong connection
- - when an application using libcurl's multi API sets the option
- - CURLOPT_CONNECT_ONLY, which could lead to information leaks.</p></li>
+ <p>Марк Алдораси сообщил, что libcurl может использовать неверное соединение,
+ когда приложение, использующее множественные API libcurl, устанавливает
+ опцию CURLOPT_CONNECT_ONLY, что приводит к утечкам информации.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8284">CVE-2020-8284</a>
- - <p>Varnavas Papaioannou reported that a malicious server could use the
- - PASV response to trick curl into connecting back to an arbitrary IP
- - address and port, potentially making curl extract information about
- - services that are otherwise private and not disclosed.</p></li>
+ <p>Варнавас Папаиоанноу сообщил, что вредоносный сервер может использовать
+ PASV-ответ для того, чтобы заставить curl подключиться к произвольному IP-адресу
+ и порту, что может приводить к тому, что curl раскрывает информацию о
+ службах, которые в обратном случае являются частными и не раскрываются.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8285">CVE-2020-8285</a>
- - <p>xnynx reported that libcurl could run out of stack space when using
- - tha FTP wildcard matching functionality (CURLOPT_CHUNK_BGN_FUNCTION).</p></li>
+ <p>xnynx сообщил, что у libcurl может закончится место для стека, когда используется
+ функционал сопоставления по шаблону FTP (CURLOPT_CHUNK_BGN_FUNCTION).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8286">CVE-2020-8286</a>
- - <p>It was reported that libcurl didn't verify that an OCSP response
- - actually matches the certificate it is intended to.</p></li>
+ <p>Было сообщено, что libcurl не проверяет, что OCSP-ответ
+ действительно совпадает с сертификатом, с которым он должен совпадать.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-22876">CVE-2021-22876</a>
- - <p>Viktor Szakats reported that libcurl does not strip off user
- - credentials from the URL when automatically populating the Referer
- - HTTP request header field in outgoing HTTP requests.</p></li>
+ <p>Виктор Шакац сообщил, что libcurl не удаляет данные учётной записи пользователя
+ из URL, когда автоматически заполняет заголовок HTTP-запроса Referer
+ в исходящих HTTP-запросах.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-22890">CVE-2021-22890</a>
- - <p>Mingtao Yang reported that, when using an HTTPS proxy and TLS 1.3,
- - libcurl could confuse session tickets arriving from the HTTPS proxy
- - as if they arrived from the remote server instead. This could allow
- - an HTTPS proxy to trick libcurl into using the wrong session ticket
- - for the host and thereby circumvent the server TLS certificate check.</p></li>
+ <p>Минтао Ян сообщил, что при использовании HTTPS-прокси и TLS 1.3
+ libcurl может спутать билеты сессий, поступающие от HTTPS-прокси, с билетами,
+ полученными от удалённого сервера. Это может позволить HTTPS-прокси
+ заставить libcurl использовать неправильный билет сессии для этого узла и
+ тем самым обойти проверку TLS-сертификата сервера.</p></li>
</ul>
- -<p>For the stable distribution (buster), these problems have been fixed in
- -version 7.64.0-4+deb10u2.</p>
+<p>В стабильном выпуске (buster) эти проблемы были исправлены в
+версии 7.64.0-4+deb10u2.</p>
- -<p>We recommend that you upgrade your curl packages.</p>
+<p>Рекомендуется обновить пакеты curl.</p>
- -<p>For the detailed security status of curl please refer to
- -its security tracker page at:
+<p>С подробным статусом поддержки безопасности curl можно ознакомиться на
+соответствующей странице отслеживания безопасности по адресу
<a href="https://security-tracker.debian.org/tracker/curl">\
https://security-tracker.debian.org/tracker/curl</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2021/dsa-4881.data"
- -# $Id: $
-----BEGIN PGP SIGNATURE-----
iQIzBAEBCgAdFiEE3mumcdV9mwCc9oZQXudu4gIW0qUFAmBkmT4ACgkQXudu4gIW
0qWUdw//VOlpi4FYLNuO2GfHjRis4figpUnMlml2aAkJrZUz+cv1LOZsKsWy4co0
RiOuYXxdf4/t8vhyXK1F4u3JQ2XWYRCf1f0XU18vN2oZAasUv3UrtQXsWkWXwKEL
yyPQD6fNeeGxwdWrLUUGZ5lgDaNvSphXqgYf3ZYHVwXn5MEPnu1jpGtHjSRXXZgd
QEdIF2Hs1ibO40S6169JDY/yIKn+w5TTm5Gq4fzN7uJ7Y8VywAY1a+DnIODkosHt
qqN+8XlfUzrQLeuzwV6fBdpL24dNoiZaNH2H8gp3jkS+OqBiYREKiVtdtQUsObg8
tdXkbyWMRpfxq1RrhAHJIwN+ND4O1+TGcEVXT7fwzIACPMDFzvSf0MAEbjQmhIFA
9J9LahljGi8zdqFFFvTLAtgG+rpzO3SzCsNqRacU3yByUYYM25EQGL79eV9srAkQ
N7Bnr6XLYBEzt/GfHoAlBge1rS87O8ggrhWpreNK+n3v7qI/wcnoQvveJSI2LuSr
3Y0vK5TzaEfjh0Cm8z3AlBGxpK7wn6XShxWnMnQStXLkzRMLozyBsS7vKwulTadf
LchcdblkCg8oT2WdYwEK/DClFMmP0wTlTPpvUnAwxJ46ih0RdDCao0C7lnilFCy4
P5jGdrl8R0c6hHrH9BR4kr+kxvOBg18+GHMvQpwReSP0mBaRx14=
=kkRo
-----END PGP SIGNATURE-----
Reply to: