[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[DONE] wml://security/2021/dsa-5004.wml

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

- --- ../../english/security/2021/dsa-5004.wml	2021-11-11 20:28:39.568942041 +0500
+++ 2021/dsa-5004.wml	2021-11-11 20:37:33.717689720 +0500
@@ -1,35 +1,36 @@
- -<define-tag description>security update</define-tag>
+#use wml::debian::translation-check translation="9021424ee668597a5b8130c5d1bb387ddc66dac3" mindelta="1" maintainer="Lev Lamberov"
+<define-tag description>обновление безопасности</define-tag>
 <define-tag moreinfo>
- -<p>Multiple security vulnerabilities have been discovered in XStream, a Java
- -library to serialize objects to XML and back again.</p>
+<p>В XStream, Java-библотеке для сериализации объектов в XML и обратно,
+были обнаружены многочисленные уязвимости.</p>
 
- -<p>These vulnerabilities may allow a remote attacker to load and execute arbitrary
- -code from a remote host only by manipulating the processed input stream.</p>
+<p>Эти уязвимости могут позволить удалённому злоумышленнику загрузить и выполнить произвольный
+код с удалённого узла путём манипуляции обработанным входным потоком.</p>
 
- -<p>XStream itself sets up a whitelist by default now, i.e. it blocks all classes
- -except those types it has explicit converters for. It used to have a blacklist
- -by default, i.e. it tried to block all currently known critical classes of the
- -Java runtime. Main reason for the blacklist were compatibility, it allowed to
- -use newer versions of XStream as drop-in replacement. However, this approach
- -has failed. A growing list of security reports has proven, that a blacklist is
- -inherently unsafe, apart from the fact that types of 3rd libraries were not
- -even considered. A blacklist scenario should be avoided in general, because it
- -provides a false sense of security.</p>
- -
- -<p>For the oldstable distribution (buster), these problems have been fixed
- -in version 1.4.11.1-1+deb10u3.</p>
+<p>Сам XStream в настоящее время устанавливает белый список. То есть, она блокирует все
+классы за исключение тех, для чьих типов в библиотеке имеются преобразователи. Ранее она
+использовала по умолчанию чёрный список. То есть, пыталась блокировать все известные в настоящий
+момент критичные классы времени исполнения Java. Основная причина для установки чёрного
+списка состояла в обеспечении совместимости, это позволяло использовать более новые версии
+XStream в качестве упрощённой замены. Тем не менее этот подход не работает.
+Растущий список сообщений безопасности доказывает, что чёрный список в своей основе
+небезопасен, не говоря уже о том, что типы сторонних библиотек вообще даже не
+учитывались. Сценарий чёрного списка в будущем следует избегать, так как он
+даёт ложное чувство безопасности.</p>
+
+<p>В предыдущем стабильном выпуске (buster) эти проблемы были исправлены
+в версии 1.4.11.1-1+deb10u3.</p>
 
- -<p>For the stable distribution (bullseye), these problems have been fixed in
- -version 1.4.15-3+deb11u1.</p>
+<p>В стабильном выпуске (bullseye) эти проблемы были исправлены в
+версии 1.4.15-3+deb11u1.</p>
 
- -<p>We recommend that you upgrade your libxstream-java packages.</p>
+<p>Рекомендуется обновить пакеты libxstream-java.</p>
 
- -<p>For the detailed security status of libxstream-java please refer to
- -its security tracker page at:
+<p>С подробным статусом поддержки безопасности libxstream-java можно ознакомиться на
+соответствующей странице отслеживания безопасности по адресу
 <a href="https://security-tracker.debian.org/tracker/libxstream-java";>\
 https://security-tracker.debian.org/tracker/libxstream-java</a></p>
 </define-tag>
 
 # do not modify the following line
 #include "$(ENGLISHDIR)/security/2021/dsa-5004.data"
- -# $Id: $
-----BEGIN PGP SIGNATURE-----

iQIzBAEBCgAdFiEE3mumcdV9mwCc9oZQXudu4gIW0qUFAmGNOZgACgkQXudu4gIW
0qU7+A/+KrxHF+eK5Pnc+IwRpP4ms+Xe1sIz1f0AuTpdqbp2NrFW0DiXS11xKdU/
qCK5kCLlKkcRYJe9GzGD9DNU1R/HZFVwxAC0jG2eVPFlc7r77CTH2B1xZGPPvz4B
ZTMROj5D/NmWjj4U8mdbJ15J6JcwbaWVC+yLhTl/VA6Dv3LVA30mtI2UTq/bDNiu
IfcOp4j4dFwLs+czBuOz+NeSqvwteu6FhyrY58v02+kMSMYH5IjFZWDl12rIBrGq
SibMTtu9Tq0C4yUWCVZvDFVT3UzEyHlIxX+3xspsiku1mWVXdqQd+CL0sa8pkAsC
IWyyM4j9A+m/cAhr4V5vxrkQ16moz73s4jIz2PE+m+N784uHq31liXVXtsxU942i
kQVbG180Q4CNUmMygsEL8Bmgjn2fxgHTRzlR8iVOr7+A0eDNtcrG6h7M3S7xW/iF
BLy1eyol5wxUBq/FEJlZoPlTVAxhk0HO9iTWrqToLCdWV7yzPogostSKPmFjssTx
USoQSSArQpbl6JwQux4B4H7xVaySver0xWekrmK7EG2p3OBOwuVXbYpOHNZKn2t3
+Fa7oqTOtfKD4vvOtmjrvEiymWGw+RvGRw4nNCjNLzt4bMSvVRr46phA4mIZO9qy
uZf01qeW/R3bLKV2URUx7041Ha6BiGomNW1YPbj4tLVL1FXj4PU=
=Iq2h
-----END PGP SIGNATURE-----
Reply to: