diff options
author | Thomas Lange <lange@debian.org> | 2024-01-09 20:01:07 +0100 |
---|---|---|
committer | Thomas Lange <lange@debian.org> | 2024-01-09 20:01:07 +0100 |
commit | 2aa73ff15bfc4eb2afd85ca6d3ba081babf22432 (patch) | |
tree | 138d359f85bd93fc1849b19a5526da658eeb67cb /russian/lts | |
parent | e005fa1933fbc76d8755c603a6a35feedb002e49 (diff) |
remove unused security files
This is what I did:
git rm -rf */security/199*
git rm -rf */security/20*
git rm -rf */security/key-rollover
git rm -rf */security/undated
git rm -rf */lts/security/20*
It removes 54335 files, including around 9650 DSA/DLA data files, 44189 wml files, nearly 500 Makefiles
Diffstat (limited to 'russian/lts')
460 files changed, 0 insertions, 11432 deletions
diff --git a/russian/lts/security/2014/Makefile b/russian/lts/security/2014/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/lts/security/2014/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/lts/security/2014/dla-0016.wml b/russian/lts/security/2014/dla-0016.wml deleted file mode 100644 index 2a98139c391..00000000000 --- a/russian/lts/security/2014/dla-0016.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Дэниел Беррандж обнаружил отказ в обслуживании в -коде подстановки сущностей в libxml2.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libxml2 версии 2.7.8.dfsg-2+squeeze9</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-0016.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-0018.wml b/russian/lts/security/2014/dla-0018.wml deleted file mode 100644 index 49f367f6af7..00000000000 --- a/russian/lts/security/2014/dla-0018.wml +++ /dev/null @@ -1,33 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<ul> -<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3515">CVE-2014-3515</a>]: -<p>Исправление unserialize() SPL ArrayObject / SPLObjectStorage Type Confusion</p></li> - -<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-0207">CVE-2014-0207</a>]: -<p>fileinfo: недостаточная проверка границ массива в cdf_read_short_sector</p></li> - -<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3480">CVE-2014-3480</a>]: -<p>fileinfo: недостаточная проверка границ массива в cdf_count_chain</p></li> - -<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-4721">CVE-2014-4721</a>]: -<p>Реализация phpinfo в ext/standard/info.c в - PHP до версии 5.4.30 и 5.5.x до версии 5.5.14 не гарантирует - использование строкового типа данных для переменных PHP_AUTH_PW, - PHP_AUTH_TYPE, PHP_AUTH_USER и PHP_SELF, - что может позволить злоумышленника в зависимости от контекста получить - чувствительную информацию из памяти процесса, используя - целочисленный тип данных со специально сформированными значениями. Эта проблема - связана с <q>путаницей типов</q>, продемонстированной путём - чтения закрытого ключа SSL в окружении HTTP-сервера Apache - с модулем mod_ssl и - PHP 5.3.x mod_php.</p></li> -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете php5 версии 5.3.3-7+squeeze20</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-0018.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-0019.wml b/russian/lts/security/2014/dla-0019.wml deleted file mode 100644 index 052ed7b3733..00000000000 --- a/russian/lts/security/2014/dla-0019.wml +++ /dev/null @@ -1,47 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Новый младший выпуск основной ветки разработки. Пользователям следует выполнить обновление до этой версии -в ходе запланированных операций по сопровождению систем.</p> - -<p>Заслуживают внимания следующие изменения:</p> - - <p>Безопасные сокеты доменов Unix для временных postmaster-серверов, запущенных во время make - check (Ноа Миш)</p> - - <p>Любой локальный пользователь, имеющий доступ к файлу сокета, может подключиться как суперпользователь - начальной загрузки сервера, затем перейти к выполнению произвольного кода как - пользователь операционной системы, запускающий тест, что уже было ранее указано в - <a href="https://security-tracker.debian.org/tracker/CVE-2014-0067">CVE-2014-0067</a>. Данное изменение защищает от этих рисков, серверных - сокет помещается во временный подкаталог /tmp с режимом доступа 0700.</p> - -<p>8.4.22 является последним выпуском PostgreSQL ветки 8.4. Глобальная -группа разработки PostgreSQL более не будет выпускать новые версии этой ветки.</p> - -<p>Пользователям PostgreSQL 8.4 следует рассмотреть возможность обновления до более -новых выпусков PostgreSQL. Имеются следующие возможности:</p> - -<ul> -<li>Обновление до Debian 7 (Wheezy) и, соответственно, до postgresql-9.1.</li> - -<li><p>Использование репозитория apt.postgresql.org, в котором имеются пакеты для всех - активных веток PostgreSQL (от 9.0 до 9.4 в момент написания данной рекомендации).</p> - - <p>Для получения дополнительной информации об этом репозитории смотрите - <a href="https://wiki.postgresql.org/wiki/Apt">https://wiki.postgresql.org/wiki/Apt</a>.</p> - - <p>Вспомогательный сценарий для включения этого репозитория находится в - /usr/share/doc/postgresql-8.4/examples/apt.postgresql.org.sh.</p> -</li> -<li>Планируется, что версия LTS ветки 8.4 будет поддерживаться в течение всего жизненного - цикла squeeze-lts. Вероятнее всего обновления будут выходить по принципу <q>лучшее из возможного</q>. Пользователи - могут использовать эти обновления, но всё равно следует подумать над переходом на более новую - версию PostgreSQL в течение следующих нескольких месяцев.</li> -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете postgresql-8.4 версии 8.4.22-0+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-0019.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-0021.wml b/russian/lts/security/2014/dla-0021.wml deleted file mode 100644 index 39c58fb6e76..00000000000 --- a/russian/lts/security/2014/dla-0021.wml +++ /dev/null @@ -1,30 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<ul> - <li>Использование привязанных failregex в фильтрах с целью избежать возможного отказа в обслуживании. Заплата - вручную перенесена из текущей ветки 0.8 (как - 0.8.13-29-g09b2016): - <ul> - <li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7176">CVE-2013-7176</a>: postfix.conf — привязка спереди, ожидает - префикс "postfix/smtpd" в строке журнала</li> - <li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7177">CVE-2013-7177</a>: cyrus-imap.conf — привязка спереди, - фильтр переработан таким образом, чтобы он имел один failregex</li> - <li>couriersmtp.conf — привязка на обеих сторонах</li> - <li>exim.conf — версии с привязкой спереди взяты из exim.conf - и exim-spam.conf</li> - <li>lighttpd-fastcgi.conf — версии с привязкой спереди взяты из suhosin.conf - (фильтр скопирован из версии для Wheezy)</li> - </ul></li> - <li>Перехват неудачных попыток входа по безопасным протоколам (imaps/pop3s) для cyrus-imap. - Регрессия появилась при усилении failregex в 0.8.11 (bd175f) - Ошибка Debian #755173</li> - <li>cyrus-imap: перехват попыток <q>пользователь не найден</q></li> -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете fail2ban версии 0.8.4-3+squeeze3</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-0021.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-0022.wml b/russian/lts/security/2014/dla-0022.wml deleted file mode 100644 index 48f4945b788..00000000000 --- a/russian/lts/security/2014/dla-0022.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что веб-интерфейс в CUPS, общей системе печати для -UNIX, неправильно выполняет проверку прав доступа к файлам rss и -файлам с указателями каталогов. Локальный злоумышленник может использовать данную проблему -для обхода ограничений прав доступа к файлам и считывать произвольные файлы, что может приводить -к повышению привилегий.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете cups версии 1.4.4-7+squeeze6</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-0022.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-100.wml b/russian/lts/security/2014/dla-100.wml deleted file mode 100644 index 81e69994af4..00000000000 --- a/russian/lts/security/2014/dla-100.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В mutt, текстовой программе просмотра почты, была обнаружена уязвимость. Специально -сформированный заголовок почтового сообщения может вызывать аварийную остановку mutt, что -приводит к отказу в обслуживании.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете mutt версии 1.5.20-9+squeeze4</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-100.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-101.wml b/russian/lts/security/2014/dla-101.wml deleted file mode 100644 index 21d147e2be0..00000000000 --- a/russian/lts/security/2014/dla-101.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Джош Дуарт из команды безопасности Google обнаружил переполнение динамической -памяти в JasPer, библиотеке для работы с файлами в формате JPEG-2000, -которое может приводить к отказу в обслуживании (аварийная остановка приложения) или -выполнению произвольного кода.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете jasper версии 1.900.1-7+squeeze2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-101.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-102.wml b/russian/lts/security/2014/dla-102.wml deleted file mode 100644 index 511aa92a9e2..00000000000 --- a/russian/lts/security/2014/dla-102.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В tcpdump, программе для анализа сетевого трафика для командной -строки, было обнаружено несколько уязвимостей. Эти уязвимости могут приводить к отказу -в обслуживании, утечкам чувствительной информации из памяти или потенциальному -выполнению произвольного кода.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете tcpdump версии 4.1.1-1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-102.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-103.wml b/russian/lts/security/2014/dla-103.wml deleted file mode 100644 index 586522b676c..00000000000 --- a/russian/lts/security/2014/dla-103.wml +++ /dev/null @@ -1,79 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное исправление безопасности было совместно подготовлено командами Debian Kernel, -Security и LTS, оно содержит стабильный выпуск основной ветки разработки, 2.6.32.64 (дополнительную -информацию смотрите по адресу <a href="https://lkml.org/lkml/2014/11/23/181">https://lkml.org/lkml/2014/11/23/181</a>). Оно исправляет -описанные ниже CVE. -<p><b>Внимание</b>: если вы используете варианты ядра для openvz, то учтите следующее: a) -мы не получили никакого отклика о них (хотя мы получили отклики для всех остальных вариантов) b) -поэтому до развёртывания ядра вам следует его протестировать, а также c) когда вы выполните тестирование, -сообщите о его результатах в список рассылки debian-lts@lists.debian.org.</p> - -<p>Если вы не используете варианты ядра для openvz, то всё равно учтите пункты b+c :-)</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6657">CVE-2012-6657</a> - -<p>Исправление функции sock_setsockopt, чтобы локальные пользователи не могли -вызывать отказ в обслуживании (аварийная остановка системы).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0228">CVE-2013-0228</a> - -<p>Исправление повышения привилегий XEN, что позволяет пользователям гостевых систем получать права -гостевых систем.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7266">CVE-2013-7266</a> - -<p>Исправление функции mISDN_sock_recvmsg, чтобы локальные пользователи не могли получить -чувствительную информацию из памяти ядра.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4157">CVE-2014-4157</a> - -<p>Платформа MIPS: предотвращение обхода ограничений PR_SET_SECCOMP локальными -пользователями.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4508">CVE-2014-4508</a> - -<p>Предотвращение вызова отказа в обслуживании (OOPS и аварийная остановка системы) -локальным пользователями в том случае, когда включен аудит системных вызовов.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4653">CVE-2014-4653</a> - -<p><a href="https://security-tracker.debian.org/tracker/CVE-2014-4654">CVE-2014-4654</a> -<a href="https://security-tracker.debian.org/tracker/CVE-2014-4655">CVE-2014-4655</a></p> - -<p>Исправление реализации управления ALSA для предотвращения вызова -отказа в обслуживании и получения чувствительной информации из памяти -ядра локальными пользователями.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4943">CVE-2014-4943</a> - -<p>Исправление PPPoL2TP, предотвращающее повышение привилегий локальными пользователями.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5077">CVE-2014-5077</a> - -<p>Предотвращение вызова отказа в обслуживании удалёнными пользователями -с помощью SCTP.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5471">CVE-2014-5471</a> - -<p><a href="https://security-tracker.debian.org/tracker/CVE-2014-5472">CVE-2014-5472</a></p> - -<p>Исправление функции parse_rock_ridge_inode_internal для предотвращения вызова отказа в -обслуживании локальными пользователями с помощью специально сформированных образов в формате iso9660.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9090">CVE-2014-9090</a> - -<p>Исправление функции do_double_fault для предотвращения вызова отказа в обслуживании -(паника) локальными пользователями.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете linux-2.6 версии 2.6.32-48squeeze9</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-103.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-104.wml b/russian/lts/security/2014/dla-104.wml deleted file mode 100644 index 3af8d5adaef..00000000000 --- a/russian/lts/security/2014/dla-104.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Флориан Маури из ANSSI обнаружил уязвимость в pdns-recursor, -рекурсивном DNS-сервере: удалённый злоумышленник, управляющий -специально сформированными зонами или сервером, может влиять -на производительность pdns-recursor, что приводит к чрезмерному потреблению ресурсов и -потенциальному отказу в обслуживании.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете pdns-recursor версии 3.2-4+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-104.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-105.wml b/russian/lts/security/2014/dla-105.wml deleted file mode 100644 index 6fd064ab9d1..00000000000 --- a/russian/lts/security/2014/dla-105.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Джошуа Роджерс обнаружил уязвимость форматной строки в функции yyerror -в lib/cgraph/scan.l в Graphviz, наборе инструментов для рисования графиков с богатыми -функциональными возможностями. Злоумышленник может использовать эту уязвимость для аварийной остановки graphviz или -возможного выполнения произвольного кода.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете graphviz версии 2.26.3-5+squeeze3</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-105.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-106.wml b/russian/lts/security/2014/dla-106.wml deleted file mode 100644 index c3313b2ba57..00000000000 --- a/russian/lts/security/2014/dla-106.wml +++ /dev/null @@ -1,42 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В getmail4, программе для получения электронной почты, поддерживающей -POP3, IMAP4 и SDPS, было обнаружено несколько уязвимостей, которые позволяют -выполнять атаки по принципу человек-в-середине.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7273">CVE-2014-7273</a> - - <p>Реализация IMAP-через-SSL в getmail с версии 4.0.0 до версии 4.43.0 - не выполняет проверку сертификатов X.509 SSL-серверов, что позволяет - злоумышленникам подделывать серверы IMAP и получать чувствительную - информацию с помощью специально сформированного сертификата.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7274">CVE-2014-7274</a> - - <p>Реализация IMAP-через-SSL в getmail версии 4.44.0 не выполняет проверку - того, что имя узла сервера совпадает с именем домена в поле Common Name (CN) - сертификата X.509, что позволяет злоумышленникам - подделывать серверы IMAP и получать чувствительную - информацию с помощью специально сформированного сертификата от узнаваемого - авторитета.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7275">CVE-2014-7275</a> - - <p>Реализация POP3-через-SSL в getmail с версии 4.0.0 до версии 4.44.0 - не выполняет проверку сертификатов X.509 SSL-серверов, что позволяет - злоумышленникам подделывать серверы POP3 и получать чувствительную - информацию с помощью специально сформированного сертификата.</p> - -</ul> - -<p>В выпуске squeeze эти проблемы были исправлены путём импорта -новой версии из основной ветки разработки: 4.46.0-1~deb6u1. Обновлённый пакет -был подготовлен Осаму Аоки.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-106.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-107.wml b/russian/lts/security/2014/dla-107.wml deleted file mode 100644 index b6e815d99e9..00000000000 --- a/russian/lts/security/2014/dla-107.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Флориан Маури из ANSSI обнаружил, что unbound, рекурсивная служба -разрешения DNS с функциями проверки и кеширования, уязвима к отказу в -обслуживании. Злоумышленник, создающий специальную зону и способный отправлять -запросы серверу, может ввести службу разрешения в -бесконечную серию делегаций, что приводит к истощению -ресурсов и чрезмерному использованию сети.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете unbound версии 1.4.6-1+squeeze4</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-107.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-108.wml b/russian/lts/security/2014/dla-108.wml deleted file mode 100644 index a77cdf69a9e..00000000000 --- a/russian/lts/security/2014/dla-108.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>Ранее служба rpc.statd отправляла запросы SM_NOTIFY, используя тот же сокет, который использовался -для отправки вызовов ядру. Чтобы получить ответы от удалённых узлов, этот -сокет связывается с INADDR_ANY. Для того, чтобы предотвратить инъекцию нежелательных данных, этот сокет -следует привязывать к адресу обратной петли.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете nfs-utils версии 1:1.2.2-4squeeze3</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-108.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-109.wml b/russian/lts/security/2014/dla-109.wml deleted file mode 100644 index 5c9a4abea8c..00000000000 --- a/russian/lts/security/2014/dla-109.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Джонатан Грей и Станислав Питуча обнаружили ошибку утверждения в -коде для грамматического разбора обёрнутых строк в LibYAML, быстрой библиотеке для -грамматического разбора и порождения YAML 1.1. Злоумышленник, способный загрузить специально сформированные данные в формате YAML -в приложение, использующее libyaml, может вызвать аварийную остановку этого приложения.</p> - -<p>Данное обновление исправляет эту уязвимость в копии библиотеки, встроенной в -пакет libyaml-libyaml-perl.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libyaml-libyaml-perl версии 0.33-1+squeeze4</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-109.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-110.wml b/russian/lts/security/2014/dla-110.wml deleted file mode 100644 index 9c334aa1655..00000000000 --- a/russian/lts/security/2014/dla-110.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Джонатан Грей и Станислав Питуча обнаружили ошибку утверждения в -способе выполнения грамматического разбора обёрнутых строк в LibYAML, быстрой библиотеке для грамматического -разбора и порождения YAML 1.1. Злоумышленник, способный загрузить специально сформированные данные в формате YAML -в приложение, использующее libyaml, может вызвать аварийную остановку этого приложения.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libyaml версии 0.1.3-1+deb6u5</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-110.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-111.wml b/russian/lts/security/2014/dla-111.wml deleted file mode 100644 index 3629a0966b8..00000000000 --- a/russian/lts/security/2014/dla-111.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В cpio были обнаружены многочисленные проблемы, включая переполнение -буфера и многочисленные разыменования NULL-указателя, которые приводят по меньшей мере -к отказу в обслуживании, а также могут приводить к выполнению нежелательного кода.</p> - -<p>Эти проблемы были исправлены в Debian 6 Squeeze в версии 2.11-4+deb6u1 путём -применения заплат из основной ветки разработки.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-111.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-112.wml b/russian/lts/security/2014/dla-112.wml deleted file mode 100644 index ea1b8be4766..00000000000 --- a/russian/lts/security/2014/dla-112.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет отказ в обслуживании в BIND, сервере DNS.</p> - -<p>Используя специально сформированные зоны или собственный сервер, злоумышленник -может воспользоваться ошибкой в коде BIND 9, используемом для отслеживания делегирований -в службе доменных имён, что приводит к тому, что BIND отправляет неограниченное количество -запросов, пытаясь отслеживать делегирование.</p> - -<p>Это может приводить к истощению ресурсов и отказу в обслуживании (вплоть до -завершения процесса сервера named).</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете bind9 версии 9.7.3.dfsg-1~squeeze13</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-112.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-113.wml b/russian/lts/security/2014/dla-113.wml deleted file mode 100644 index 85338535641..00000000000 --- a/russian/lts/security/2014/dla-113.wml +++ /dev/null @@ -1,29 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что bsd-mailx, реализация команды <q>mail</q>, -содержит неописанную в документации возможность, которая считает синтаксически корректные -адреса электронной почты командами командной оболочки, которые следует выполнить.</p> - -<p>Пользователи, которым нужна эта возможность, могут заново включить её, используя <q>expandaddr</q> в -соответствующем файле mailrc. Данное обновление удаляет устаревшую опцию --T. Более старая уязвимость, <a href="https://security-tracker.debian.org/tracker/CVE-2004-2771">CVE-2004-2771</a>, уже -исправлена в пакете bsd-mailx для Debian.</p> - -<p>Заметьте, что данное обновление не приводит к удалению всех возможностей mailx -для выполнения команд. Сценарии, которые отправляет mail по адресам, -полученным из недоверенных источников (таким как веб-формы), должны использовать -разделитель "--" перед адресами электронной почты (что в данном обновлении -было исправлено), либо они должны быть изменены так, чтобы выполнялись команды -"mail -t" или "sendmail -i -t", которым бы адрес получателя передавался -в качестве части заголовка почтового сообщения.</p> - -<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в -версии 8.1.2-0.20100314cvs-1+deb6u1.</p> - -<p>Рекомендуется обновить пакеты bsd-mailx.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-113.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-114.wml b/russian/lts/security/2014/dla-114.wml deleted file mode 100644 index de60c5c1b4a..00000000000 --- a/russian/lts/security/2014/dla-114.wml +++ /dev/null @@ -1,40 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Heirloom mailx, реализации команды <q>mail</q>, было обнаружено две -уязвимости:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2004-2771">CVE-2004-2771</a> - - <p>mailx интерпретирует метасимволы командной оболочки в определённых адресах - электронной почты.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7844">CVE-2014-7844</a> - - <p>Неожиданное свойство mailx состоит в трактовке синтаксически корректных адресов электронной - почты как команд командной оболочки, которые следует выполнить.</p> - -<p>Возможность выполнения команд командной оболочки может быть повторно включена с помощью -опции <q>expandaddr</q>.</p> - -<p>Заметьте, что данное обновление не приводит к удалению всех возможностей mailx -для выполнения команд. Сценарии, которые отправляет mail по адресам, -полученным из недоверенных источников (таким как веб-формы), должны использовать -разделитель "--" перед адресами электронной почты (что в данном обновлении -было исправлено), либо они должны быть изменены так, чтобы выполнялись команды -"mail -t" или "sendmail -i -t", которым бы адрес получателя передавался -в качестве части заголовка почтового сообщения.</p> - -</ul> - -<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в -версии 12.4-2+deb6u1.</p> - -<p>Рекомендуется обновить пакеты heirloom-mailx.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-114.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-115.wml b/russian/lts/security/2014/dla-115.wml deleted file mode 100644 index 488322cf46a..00000000000 --- a/russian/lts/security/2014/dla-115.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="afe794a57cbde30a9fef9281500093b02e248eda" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - <p>Исправление проблемы XSS в ходе выполнения входа.</p> - - <p>Исправление аутентификации GOsa² на базовом сервере/серверах LDAP - через gosa-admin DN (См. <a href="http://bugs.debian.org/768509">#768509</a>).</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете gosa -версии 2.6.11-3+squeeze3.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-115.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-116.wml b/russian/lts/security/2014/dla-116.wml deleted file mode 100644 index e2b5082deea..00000000000 --- a/russian/lts/security/2014/dla-116.wml +++ /dev/null @@ -1,48 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В пакете ntp, реализации протокола сетевого времени, было обнаружено несколько -уязвимостей.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9293">CVE-2014-9293</a> - - <p>ntpd создаёт слабый ключ для внутреннего использования, ключ имеет полные - административные права. Злоумышленники могут использовать этот ключ - для изменения настроек ntpd (или для использования других уязвимостей).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9294">CVE-2014-9294</a> - - <p>Утилита ntp-keygen создаёт слабые ключи MD5 с недостаточной - энтропией.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9295">CVE-2014-9295</a> - - <p>ntpd содержит несколько переполнений буфера (связаны и со стеком, и с - данными), что позволяет удалённым аутентифицированным злоумышленникам аварийно завершать - работу ntpd или потенциально выполнять произвольный код.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9296">CVE-2014-9296</a> - - <p>Общая функция для выполнения грамматического разбора пакетов в ntpd неправильно - обрабатывает ошибки.</p></li> - -</ul> - -<p>По умолчанию настройки ntpd в Debian ограничивают доступ к локальной машине -(возможно, также и смежной сети в случае использования IPv6).</p> - -<p>Ключи, созданные явным образом с помощью "ntp-keygen -M", следует создать заново.</p>< - -<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в -версии 4.2.6.p2+dfsg-1+deb6u1.</p> - -<p>Рекомендуется обновить пакеты heirloom-mailx.</p> - -<p>Благодарим Флориана Ваймера за обновление безопасности для Red Hat.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-116.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-117.wml b/russian/lts/security/2014/dla-117.wml deleted file mode 100644 index 817fdc42c19..00000000000 --- a/russian/lts/security/2014/dla-117.wml +++ /dev/null @@ -1,27 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3193">CVE-2011-3193</a> - - <p>Проверка на возможное возникновение переполнения буфера в Lookup_MarkMarkPos, которое может - вызвать аварийную остановку в этой функции при работе с определёнными шрифтами.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3194">CVE-2011-3194</a> - - <p>Исправление кода для чтения tiff так, чтобы он обрабатывал TIFFTAG_SAMPLESPERPIXEL для изображений, - использующих градации серого в качестве цветовой палитры. Код для чтения использует QImage::Format_Indexed8, но поскольку значение - образцов на пиксель должно быть (несуществующим) QImage::Format_Indexed16, - то это приводит к повреждению содержимого памяти. Исправление представляет собой откат к <q>нормальному</q> способу - чтения изображений tiff.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете qt4-x11 версии 4:4.6.3-4+squeeze2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-117.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-118.wml b/russian/lts/security/2014/dla-118.wml deleted file mode 100644 index 59ce7b5b724..00000000000 --- a/russian/lts/security/2014/dla-118.wml +++ /dev/null @@ -1,45 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Загрузка выполнена не сопровождающим, а командами Squeeze LTS и Kernel.</p> - -<p>Новый стабильный выпуск основной ветки разработки, 2.6.32.65, дополнительную информацию -смотрите по адресу <a href="http://lkml.org/lkml/2014/12/13/81">http://lkml.org/lkml/2014/12/13/81</a>.</p> - -<p>Стабильный выпуск 2.6.32.65 включает в себя следующие новые коммиты по сравнению -с предыдущим пакетом 2.6.32-48squeeze9:</p> - -<ul> - <li>USB: whiteheat: добавление проверок границ массива для ответа команды bulk - (<a href="https://security-tracker.debian.org/tracker/CVE-2014-3185">CVE-2014-3185</a>)</li> - <li>net: sctp: исправление паники при дублирующих порциях ASCONF (<a href="https://security-tracker.debian.org/tracker/CVE-2014-3687">CVE-2014-3687</a>)</li> - <li>net: sctp: исправление удалённого чрезмерного потребления памяти из-за больших очередей - (<a href="https://security-tracker.debian.org/tracker/CVE-2014-3688">CVE-2014-3688</a>)</li> - <li>udf: избегание бесконечного цикла при обработке непрямых ICB (<a href="https://security-tracker.debian.org/tracker/CVE-2014-6410">CVE-2014-6410</a>)</li> - <li>net: sctp: исправление разыменования NULL-указателя в af->from_addr_param при - получении некорректного пакета (<a href="https://security-tracker.debian.org/tracker/CVE-2014-7841">CVE-2014-7841</a>)</li> - <li>mac80211: исправление фрагментации кода, особенно для шифрования - (<a href="https://security-tracker.debian.org/tracker/CVE-2014-8709">CVE-2014-8709</a>)</li> - <li>ttusb-dec: переполнение буфера в ioctl (<a href="https://security-tracker.debian.org/tracker/CVE-2014-8884">CVE-2014-8884</a>)</li> -</ul> - -<p>Рекомендуется обновить пакеты linux-2.6.</p> - -<p>Приносим извинения за небольшой косметический дефект:</p> - -<p>Следующие коммиты уже включены в 2.6.32-48squeeze9, хотя -в файле debian/changelog указано, что они исправлены только в 2.6.32-48squeez10:</p> - -<ul> - <li>vlan: не передавать изменения флагов по интерфейсам.</li> - <li>sctp: исправление двойного освобождения памяти, появившегося из-за неправильной адаптации исправления в 2.6.32.62</li> - <li>md/raid6: исправление неправильно применённой заплаты в 2.6.32.64</li> - <li>block: добавление отсутствующих проверок blk_queue_dead()</li> - <li>block: исправление обработки функцией blk_execute_rq_nowait() <q>мёртвых</q> очередей</li> - <li>proc connector: удаление фиктивного значения memset в proc_exit_connector()</li> -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-118.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-119.wml b/russian/lts/security/2014/dla-119.wml deleted file mode 100644 index 2da26a51aea..00000000000 --- a/russian/lts/security/2014/dla-119.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Евгений Котков обнаружил разыменование NULL-указателя, возникающее в процессе -обработки запросов REPORT в mod_dav_svn, компоненте Subversion, используемом для -обслуживания репозиториев при помощи веб-сервера Apache. Удалённый злоумышленник -может использовать эту уязвимость для вызова отказа в обслуживании.</p> - -<p>Рекомендуется обновить пакеты subversion.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете subversion версии 1.6.12dfsg-7+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-119.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-120.wml b/russian/lts/security/2014/dla-120.wml deleted file mode 100644 index 6dc23927c73..00000000000 --- a/russian/lts/security/2014/dla-120.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данная рекомендация была заменена на <a href="../2015/dla-120">DLA-120-2</a>. -Ниже приводится текст оригинальной рекомендации.</p> - -<p>Илья ван Шпрундель из IOActive обнаружил несколько проблем безопасности в -X-сервере X.org, которые могут приводить к повышению привилегий или отказу -в обслуживании.</p> - -<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в -версии 2:1.7.7-18+deb6u1.</p> - -<p>Рекомендуется обновить пакеты xorg-server.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-120.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-121.wml b/russian/lts/security/2014/dla-121.wml deleted file mode 100644 index dbac45fd7b4..00000000000 --- a/russian/lts/security/2014/dla-121.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Хосе Дуарт из команды безопасности Google обнаружил двойное освобождение памяти -(<a href="https://security-tracker.debian.org/tracker/CVE-2014-8137">CVE-2014-8137</a>) и переполнение динамической памяти (<a href="https://security-tracker.debian.org/tracker/CVE-2014-8138">CVE-2014-8138</a>) -в JasPer, библиотеке для работы с файлами в формате JPEG-2000. Специально -сформированный файл может вызвать аварийную остановку приложения, использующего JasPer, или -возможное выполнение произвольного кода.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете jasper версии 1.900.1-7+squeeze3</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-121.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-122.wml b/russian/lts/security/2014/dla-122.wml deleted file mode 100644 index d1d6d65e261..00000000000 --- a/russian/lts/security/2014/dla-122.wml +++ /dev/null @@ -1,11 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Избежание бесконечного цикла в nss_dns getnetbyname [BZ #17630]</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете eglibc версии 2.11.3-4+deb6u3</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-122.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-123.wml b/russian/lts/security/2014/dla-123.wml deleted file mode 100644 index 7758632d7de..00000000000 --- a/russian/lts/security/2014/dla-123.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Применение заплаты из ревизии 60322 из основной ветки разработки, которая исправляет -аварийную остановку из-за неаутентифицированного удалённого разыменования null-указателя.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете firebird2.5 версии 2.5.0.26054~ReleaseCandidate3.ds2-1+squeeze2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-123.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-124.wml b/russian/lts/security/2014/dla-124.wml deleted file mode 100644 index c5ff1aefb7c..00000000000 --- a/russian/lts/security/2014/dla-124.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Мишель Спагнуоло из команды безопасности Google обнаружил, что unzip, -утилита для распаковки архивов в формате .zip, содержит -переполнения динамической памяти в функции проверки CRC32 -(<a href="https://security-tracker.debian.org/tracker/CVE-2014-8139">CVE-2014-8139</a>), функции test_compr_eb() (<a href="https://security-tracker.debian.org/tracker/CVE-2014-8140">CVE-2014-8140</a>) и функции -getZip64Data() (<a href="https://security-tracker.debian.org/tracker/CVE-2014-8141">CVE-2014-8141</a>), что может приводить к выполнению -произвольного кода.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете unzip версии 6.0-4+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-124.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-125.wml b/russian/lts/security/2014/dla-125.wml deleted file mode 100644 index 17b95bd46d4..00000000000 --- a/russian/lts/security/2014/dla-125.wml +++ /dev/null @@ -1,18 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Тимоти Морган обнаружил, что run-mailcap, утилита для выполнения -программ с помощью записей в файле mailcap, уязвима к инъекции команд -командной оболочки через метасимволы командной оболочки в именах файлов. При определённых -обстоятельствах эта уязвимость может позволить злоумышленнику удалённо выполнить произвольный код.</p> - -<p>В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в -версии 3.48-1+deb6u1.</p> - -<p>Рекомендуется обновить пакеты mime-support.</p> - -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-125.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-126.wml b/russian/lts/security/2014/dla-126.wml deleted file mode 100644 index ce10e382bce..00000000000 --- a/russian/lts/security/2014/dla-126.wml +++ /dev/null @@ -1,23 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Заплаты для ряда уязвимостей:</p> -<ul> - <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9380">CVE-2014-9380</a> (Buffer over-read)</li> - <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9381">CVE-2014-9381</a> (Signedness error)</li> -</ul> -<p>Смотрите: <a href="https://www.obrela.com/home/security-labs/advisories/osi-advisory-osi-1402/">https://www.obrela.com/home/security-labs/advisories/osi-advisory-osi-1402/</a> - Заплаты из основной ветки разработки</p> -<ul> -<li>6b196e011fa456499ed4650a360961a2f1323818 pull/608</li> -<li>31b937298c8067e6b0c3217c95edceb983dfc4a2 pull/609</li> -</ul> -<p>Благодарим Ника Сэмпэниса, который нашёл - и исправил эти проблемы.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете ettercap версии 1:0.7.3-2.1+squeeze2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-126.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-17.wml b/russian/lts/security/2014/dla-17.wml deleted file mode 100644 index 3a1d279d33b..00000000000 --- a/russian/lts/security/2014/dla-17.wml +++ /dev/null @@ -1,24 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Версия Tor, которая ранее была в составе Debian squeeze, 0.2.2.39, более -не поддерживается основной веткой разработки.</p> - -<p>Данное обновление добавляет в Debian squeeze текущую стабильную -версию Tor, 0.2.4.23.</p> - -<p>Среди изменений можно указать использование более стойких примитивов шифрования, -выполнение очистки сверхбольших чисел до их освобождения с целью избежать ситуаций, когда часть материала ключа -оставалась в памяти, снижение риска для ряда векторов, связанных с возможностью компоновки, например, путём отключения -кеширования DNS на стороне клиента, добавление ключей авторитетов, которые потенциально -были скомпрометированы атакой heartbleed, обновление списка авторитетов -и многое другое.</p> - -<p>Рекомендуется обновить пакеты tor.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете tor версии 0.2.4.23-1~deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-17.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-20.wml b/russian/lts/security/2014/dla-20.wml deleted file mode 100644 index 256c2bb8b23..00000000000 --- a/russian/lts/security/2014/dla-20.wml +++ /dev/null @@ -1,23 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>[ Кристоф Бидль ]</p> -<ul> -<li>munin-node: более безопасная работа с файлом состояний, добавление нового корневого каталога состояний - дополнений, владельцем которого является пользователь с идентификатором 0. Теперь каждое дополнение с UID запускается в собственном - каталоге состояний дополнения, владельцем которого является этот UID. (Закрывает ошибку #684075), - (Закрывает ошибку #679897), закрывает <a href="https://security-tracker.debian.org/tracker/CVE-2012-3512">CVE-2012-3512</a>.</li> -<li>plugins: использование переменной времени исполнения $ENV{MUNIN_PLUGSTATE}. Все правильно записанные - дополнения теперь будут использовать /var/lib/munin-node/plugin-state/$uid/$some_file, сообщайте о дополнениях, которые - используют /var/lib/munin/plugin-state/, поскольку это может быть опасно с точки зрения безопасности!</li> -<li>Не прерывать сбор данных для ноды из-за вредоносной ноды, исправляет - munin#1397, <a href="https://security-tracker.debian.org/tracker/CVE-2013-6048">CVE-2013-6048</a>.</li> -<li>Проверка имени дополнения multigraph, <a href="https://security-tracker.debian.org/tracker/CVE-2013-6359">CVE-2013-6359</a>.</li> -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете munin версии 1.4.5-3+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-20.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-23.wml b/russian/lts/security/2014/dla-23.wml deleted file mode 100644 index 8de4519f034..00000000000 --- a/russian/lts/security/2014/dla-23.wml +++ /dev/null @@ -1,36 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1741">CVE-2013-1741</a> - - <p>Отключение memset при грамматическом разборе сертификата на 64-битных компьютерах, приводящее - к аварийной остановке при попытке записать 4ГБ нулей.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-5606">CVE-2013-5606</a> - - <p>Проверка сертификата в режиме verifylog не возвращает - ошибки проверки, но ожидает, что приложения сами определят - статус проверки, просматривая журнал.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1491">CVE-2014-1491</a> - - <p>Обход механизмов защиты обработки билетов из-за отсутствия - ограничений публичных значений при обмене ключами по алгоритму Диффи-Хеллмана.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1492">CVE-2014-1492</a> - - <p>Некорректный подбор имени домена IDNA под шаблон сертификатов может - привести к тому, что специально сформированные некорректные сертификаты будут считаться - корректными.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете nss версии 3.12.8-1+squeeze8</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-23.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-24.wml b/russian/lts/security/2014/dla-24.wml deleted file mode 100644 index 4fac260c391..00000000000 --- a/russian/lts/security/2014/dla-24.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что poppler не возвращает исполнение программы -библиотеке libjpeg в случае возникновения ошибок, что приводит к аварийной -остановке приложения, использующего указанную библиотеку, и потенциальному выполнению кода.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете poppler версии 0.12.4-1.2+squeeze4</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-24.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-25.wml b/russian/lts/security/2014/dla-25.wml deleted file mode 100644 index 656bb977e20..00000000000 --- a/russian/lts/security/2014/dla-25.wml +++ /dev/null @@ -1,34 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В обновлении DLA-25-1 для python2.6 была обнаружена регрессия, -которая может приводить к тому, что приложения на языке Python прерываются в том случае, если они работают во время -выполнения обновления, но ещё не импортировали модуль 'os', то же самое происходит и после -выполнения обновления. Данное обновление исправляет этот сценарий обновления.</p> - -<p>Ниже приводится изначальный текст рекомендации.</p> - -<p>В python2.6 были обнаружены многочисленные уязвимости. Наиболее -важны из них следующие:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4238">CVE-2013-4238</a> - - <p>Некорректная обработка NUL-байтов в сертификатах имён узлов может позволить - выполнять подделку сервера с помощью специально сформированных сертификатов, подписанных - доверенным авторитетом.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1912">CVE-2014-1912</a> - - <p>Переполнение буфера в socket.recvfrom_into, приводящее к аварийной остановке - приложения и возможному выполнению кода.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете python2.6 версии 2.6.6-8+deb6u2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-25.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-26.wml b/russian/lts/security/2014/dla-26.wml deleted file mode 100644 index a61df929809..00000000000 --- a/russian/lts/security/2014/dla-26.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что python-scipy неправильно обрабатывает временные -каталоги, что может позволить выполнить произвольный код.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете python-scipy версии 0.7.2+dfsg1-1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-26.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-27.wml b/russian/lts/security/2014/dla-27.wml deleted file mode 100644 index 2da62515367..00000000000 --- a/russian/lts/security/2014/dla-27.wml +++ /dev/null @@ -1,57 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Исправление различных атак, направленных на вызов отказа в обслуживании:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3487">CVE-2014-3487</a> - - <p>Функция cdf_read_property_info неправильно выполняет проверку отступа - потока, что позволяет удалённым злоумышленникам вызывать отказ в обслуживании - (аварийная остановка приложения) с помощью специально сформированного файла в формате CDF.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3480">CVE-2014-3480</a> - - <p>Функция cdf_count_chain в cdf.c неправильно выполняет проверку - данных о числе секторов, что позволяет удалённым злоумышленникам вызывать отказ - в обслуживании (аварийная остановка приложения) с помощью специально сформированного файла в формате CDF.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3479">CVE-2014-3479</a> - - <p>Функция cdf_check_stream_offset в cdf.c использует неправильные - данные о размере сектора, что позволяет удалённым злоумышленникам вызывать отказ в обслуживании - (аварийная остановка приложения) с помощью специально сформированного отступа потока в файле CDF.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3478">CVE-2014-3478</a> - - <p>Отказ в обслуживании в функции mconvert в softmagic.c позволяет удалённым - злоумышленникам вызывать отказ в обслуживании (аварийная остановка приложения) с помощью специально - сформированной строки на языке Pascal при преобразовании FILE_PSTRING.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0238">CVE-2014-0238</a> - - <p>Функция cdf_read_property_info в cdf.c позволяет удалённым злоумышленникам - вызывать отказ в обслуживании (бесконечный цикл или доступ за границы выделенного буфера памяти) с помощью - вектора, который (1) имеет нулевую длину, либо (2) слишком длинный.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0237">CVE-2014-0237</a> - - <p>Функция cdf_unpack_summary_info в cdf.c позволяет удалённым злоумышленникам - вызывать отказ в обслуживании (ухудшение производительности) путём выполнения большого - количества вызовов file_printf.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0207">CVE-2014-0207</a> - - <p>Функция cdf_read_short_sector в cdf.c позволяет удалённым злоумышленникам - вызывать отказ в обслуживании (ошибка утверждения или завершение приложения) с помощью - специально сформированного файла в формате CDF.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете file версии 5.04-5+squeeze6</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-27.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-28.wml b/russian/lts/security/2014/dla-28.wml deleted file mode 100644 index a8f25122a20..00000000000 --- a/russian/lts/security/2014/dla-28.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В augeas были обнаружены многочисленные состояния гонки при сохранении -файлов настроек, что делает augeas уязвимым к атакам через символьные ссылки. -Злоумышленнику требуется доступ для записи к каталогу, в котором -расположены файлы настройки.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете augeas версии 0.7.2-1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-28.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-29.wml b/russian/lts/security/2014/dla-29.wml deleted file mode 100644 index 8f1772a4e2a..00000000000 --- a/russian/lts/security/2014/dla-29.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что пакет puppet не ограничивает -права доступа и права владения для каталога /var/log/puppet, что -может приводить к раскрытию чувствительной информации.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете puppet версии 2.6.2-5+squeeze10</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-29.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-30.wml b/russian/lts/security/2014/dla-30.wml deleted file mode 100644 index 792178be6f1..00000000000 --- a/russian/lts/security/2014/dla-30.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Сотрудники CESG обнаружили состояние гонки в acpi-support, которое может -позволить непривилегированному пользователю выполнить произвольный код от лица -другого пользователя, включая суперпользователя.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете acpi-support версии 0.137-5+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-30.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-31.wml b/russian/lts/security/2014/dla-31.wml deleted file mode 100644 index d3a4b6dfab5..00000000000 --- a/russian/lts/security/2014/dla-31.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Исправление <a href="https://security-tracker.debian.org/tracker/CVE-2014-0479">CVE-2014-0479</a>: выполнение произвольного кода в compare_versions. -Злоумышленник, выполняющий атаку по принципу человек-в-середине, может помещать метасимволы командной оболочки -в номер версии, что приводит к выполнению произвольного кода.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете reportbug версии 4.12.6+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-31.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-32.wml b/russian/lts/security/2014/dla-32.wml deleted file mode 100644 index a15593311b8..00000000000 --- a/russian/lts/security/2014/dla-32.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>Абхискек Арья обнаружил запись за пределами выделенного буфера памяти в функции cvt_t() -в библиотеке NetScape Portable Runtime Library, что может приводить к выполнению -произвольного кода.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете nspr версии 4.8.6-1+squeeze2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-32.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-33.wml b/russian/lts/security/2014/dla-33.wml deleted file mode 100644 index 3585b7134dd..00000000000 --- a/russian/lts/security/2014/dla-33.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Подробное описание уязвимостей можно найти по следующему адресу: -<a href="https://www.openssl.org/news/secadv_20140806.txt">https://www.openssl.org/news/secadv_20140806.txt</a></p> - -<p>Важно, чтобы вы обновили пакет libssl0.9.8, а не только -пакет openssl.</p> - -<p>Все приложения, скомпонованные с openssl, следует перезапустить. Вы можете использовать -инструмент <q>checkrestart</q> из пакета debian-goodies для того, чтобы определить -программы, которые нужно перезапустить. Либо можно перезагрузить всю систему.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете openssl версии 0.9.8o-4squeeze17</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-33.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-34.wml b/russian/lts/security/2014/dla-34.wml deleted file mode 100644 index 1290a343145..00000000000 --- a/russian/lts/security/2014/dla-34.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>Мартин Хольст Швенде обнаружил уязвимость в способе, используемом mod_security для обработки -порционных запросов. Удалённый злоумышленник может использовать эту уязвимость для обхода специальных -ограничений mod_security, что позволяет ему отправлять запросы, содержащие данные, которые должны были -бы удаляться mod_security.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libapache-mod-security версии 2.5.12-1+squeeze4</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-34.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-35.wml b/russian/lts/security/2014/dla-35.wml deleted file mode 100644 index 0b471abaff1..00000000000 --- a/russian/lts/security/2014/dla-35.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Исправление переполнения целых чисел в функции lzo1x_decompress_safe(), позволяющего вызывать -отказ в обслуживании или выполнение кода.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете lzo2 версии 2.03-2+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-35.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-36.wml b/russian/lts/security/2014/dla-36.wml deleted file mode 100644 index 050adaec326..00000000000 --- a/russian/lts/security/2014/dla-36.wml +++ /dev/null @@ -1,11 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Отказ в обслуживании на серверах (и клиентах) с включённым GCM.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете polarssl версии 1.2.9-1~deb6u2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-36.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-37.wml b/russian/lts/security/2014/dla-37.wml deleted file mode 100644 index 84c4f9b08e9..00000000000 --- a/russian/lts/security/2014/dla-37.wml +++ /dev/null @@ -1,54 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В krb5, реалиазации Kerberos от MIT, было обнаружено несколько -уязвимостей. Проект Common Vulnerabilities and Exposures определяет -следующие проблемы:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4341">CVE-2014-4341</a> - - <p>Неаутентифицированный удалённый злоумышленник, способный выполнять инъекцию - пакетов в корректно установленную сессию GSSAPI-приложения, - может вызывать аварийную остановку программы из-за неправильных указаний областей памяти при - попытке чтения за пределами выделенного буфера.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4342">CVE-2014-4342</a> - - <p>Неаутентифицированный удалённый злоумышленник, способный выполнять инъекцию - пакетов в корректно установленную сессию GSSAPI-приложения, - может вызывать аварийную остановку программы из-за неправильных указаний областей памяти при - чтении за пределами выделенного буфера или из-за разыменования - null-указателя.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4343">CVE-2014-4343</a> - - <p>Неаутентифицированный удалённый злоумышленник, способный подделывать пакеты так, что - они кажутся исходящими от принимающей стороны GSSAPI, может вызывать состояние двойного - освобождения памяти в инициаторах GSSAPI (клиентах), использующих механизм - SPNEGO, возвращая базовый механизм, отличный от - предложенного инициатором. Удалённый злоумышленник может использовать эту уязвимость - для вызова аварийной остановки приложения или потенциального выполнения произвольного кода.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4344">CVE-2014-4344</a> - - <p>Неаутентифицированный или частично аутентифицированный удалённый злоумышленник может - вызывать разыменование NULL-указателя и аварийную остановку приложения в ходе согласования - SPNEGO путём отправки пустого токена в качестве второго или последующего контекстного - токена от инициатора принимающей стороне.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4345">CVE-2014-4345</a> - - <p>Если kadmind настроен на использование LDAP для базы данных KDC, то - аутентифицированный удалённый злоумышленник может вызывать запись за - пределами выделенного буфера (переполнение буфера).</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете krb5 версии 1.8.3+dfsg-4squeeze8</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-37.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-38.wml b/russian/lts/security/2014/dla-38.wml deleted file mode 100644 index 7e4f91246fc..00000000000 --- a/russian/lts/security/2014/dla-38.wml +++ /dev/null @@ -1,26 +0,0 @@ -#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5161">CVE-2014-5161</a> / - <a href="https://security-tracker.debian.org/tracker/CVE-2014-5162">CVE-2014-5162</a> - - <p>Диссекторы Catapult DCT2000 и IrDA могут переполнить буфер. - Можно аварийно завершить работу Wireshark путём инъекции специально сформированного пакета в - сетевое соединение, либо убедив кого-то считать некорректный файл трассировки пакетов.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5163">CVE-2014-5163</a> - - <p>Диссектор GSM Management может аварийно завершить работу. - Можно аварийно завершить работу Wireshark путём инъекции некорректного пакета в - сетевое соединение, либо убедив кого-то считать некорректный файл трассировки пакетов.</p></li> -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете wireshark версии 1.2.11-6+squeeze15</p> - -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-38.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-39.wml b/russian/lts/security/2014/dla-39.wml deleted file mode 100644 index 1d29dbbd4f2..00000000000 --- a/russian/lts/security/2014/dla-39.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Томас Трнки обнаружил переполнение динамической памяти в обработчике -статуса gpgsm в GPGME, библиотеке, разработанной для облегчения приложениям -обращений к GnuPG. Злоумышленник может использовать данную проблему для вызова -аварийной остановки приложения, использующего GPGME, (отказ в обслуживании) или возможного -выполнения произвольного кода.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете gpgme1.0 версии 1.2.0-1.2+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-39.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-40.wml b/russian/lts/security/2014/dla-40.wml deleted file mode 100644 index f709c1faf8c..00000000000 --- a/russian/lts/security/2014/dla-40.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Cacti, веб-интерфейсе для построения графиков систем мониторинга, были -обнаружены многочисленные проблемы безопасности (межсайтовый скриптинг, отсутствие очистки входных -данных и SQL-инъекции).</p> - -<p>Более того, исправление <a href="https://security-tracker.debian.org/tracker/CVE-2014-4002">CVE-2014-4002</a> в предыдущем обновлении безопасности -было приведено в соответствие с исправлением из основной ветки разработки, поскольку оно вызывало -регрессию у тех, кто использует систему дополнений.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете cacti версии 0.8.7g-1+squeeze5</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-40.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-41.wml b/russian/lts/security/2014/dla-41.wml deleted file mode 100644 index a3b624f3a0a..00000000000 --- a/russian/lts/security/2014/dla-41.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Эндрю Дрейк обнаружил, что отсутствие очистки входных данных в декодере icns -в библиотеке Python Imaging Library может приводить к отказу в обслуживании в случае -обработки специально сформированного изображения.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете python-imaging версии 1.1.7-2+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-41.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-42.wml b/russian/lts/security/2014/dla-42.wml deleted file mode 100644 index bf17db3726c..00000000000 --- a/russian/lts/security/2014/dla-42.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Сообщено об уязвимости в Debian Live, проекте создания <q>живых</q> систем. По -умолчанию <q>живые</q> образы содержат сервер SSH, который позволяет входить в систему, используя -имя пользователя и пароль по умолчанию. Данное исправление устанавливает PasswordAuthentication в /etc/ssh/sshd_config -в значение <q>no</q>.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете live-config версии 2.0.15-1.1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-42.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-43.wml b/russian/lts/security/2014/dla-43.wml deleted file mode 100644 index e558507b6d5..00000000000 --- a/russian/lts/security/2014/dla-43.wml +++ /dev/null @@ -1,35 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0475">CVE-2014-0475</a> - - <p>Стефан Чезалас обнаружил, что библиотека GNU C, glibc, обрабатывает - части пути ".." в переменных окружения, связанных с локалью, что может - позволить злоумышленникам обойти такие ограничения, как - ForceCommand в OpenSSH в том случае, если они могут передать специально подобранные - настройки локали.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5119">CVE-2014-5119</a> - - <p>Тэвис Орманди обнаружил переполнение динамической памяти в - модуле транслитерации для загрузки кода в eglibc, версии библиотеки GNU C - для Debian. В результате злоумышленник, который может передать специально сформированный - аргумент целевого набора символов функциям преобразования символов, связанным с - iconv, может выполнить произвольный код.</p> - - <p>Данное обновление удаляет поддержку загружаемых модулей транслитерации gconv. - Помимо этой уязвимости модуль загрузки кода содержал ошибки - функциональности, которые не позволяли ему выполнять те задачи, - для которых он создавался.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете eglibc версии 2.11.3-4+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-43.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-44.wml b/russian/lts/security/2014/dla-44.wml deleted file mode 100644 index a9018d8b5f0..00000000000 --- a/russian/lts/security/2014/dla-44.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Исправление выполнения произвольного кода удалёнными злоумышленниками с помощью -специально сформированных документов в формате .WPD Wordperfect.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libwpd версии 0.8.14-1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-44.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-45.wml b/russian/lts/security/2014/dla-45.wml deleted file mode 100644 index 0573fac5ca9..00000000000 --- a/russian/lts/security/2014/dla-45.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p><a href="https://security-tracker.debian.org/tracker/CVE-2014-3609">CVE-2014-3609</a>: отказ в обслуживании при обработке заголовка Range.</p> - -<p>Теперь будут игнорироваться заголовки Range с неопределёнными значениями байтового диапазона. Если squid -не может определить байтовое значение для диапазонов, то такой заголовок считается -неправильным.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете squid3 версии 3.1.6-1.2+squeeze4</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-45.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-46.wml b/russian/lts/security/2014/dla-46.wml deleted file mode 100644 index 673f032e5ff..00000000000 --- a/russian/lts/security/2014/dla-46.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Борис <q>pi</q> Пивингер и Тэвис Орманди сообщили о переполнении динамической -памяти в утилите formail из состава procmail, которое возникает при обработке -специально сформированных заголовков сообщений электронной почты. Удалённый злоумышленник может использовать -эту уязвимость для аварийной остановки formail, что приводит к отказу в обслуживании или -потере данных, либо потенциальному выполнению произвольного кода.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете procmail версии 3.22-19+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-46.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-47.wml b/russian/lts/security/2014/dla-47.wml deleted file mode 100644 index ff2693c0224..00000000000 --- a/russian/lts/security/2014/dla-47.wml +++ /dev/null @@ -1,11 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Исправление переполнение стека в функциях vararg.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете lua5.1 версии 5.1.4-5+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-47.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-48.wml b/russian/lts/security/2014/dla-48.wml deleted file mode 100644 index b23d3516132..00000000000 --- a/russian/lts/security/2014/dla-48.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Исправление отказа в обслуживании, возникающего при обработке запросов зон с подписями NSEC3. -Проблема исправлена путём запрета вызова memcpy с пересекающимися отрезками в -bin/named/query.c. Заплата была перенесена из версии 9.8.6-P2 Марком Делури -из команды безопасности Ubuntu для USN-2081-1.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете bind9 версии 9.7.3.dfsg-1~squeeze12</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-48.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-49.wml b/russian/lts/security/2014/dla-49.wml deleted file mode 100644 index 6ed5f623e22..00000000000 --- a/russian/lts/security/2014/dla-49.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В ходе проверки EDF Рафаэль Гэйсье обнаружил, что -пакет acpi-support неправильно обрабатывает данные, полученные из -пользовательского окружения.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете acpi-support версии 0.137-5+deb6u2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-49.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-50.wml b/russian/lts/security/2014/dla-50.wml deleted file mode 100644 index 6fd444cbc46..00000000000 --- a/russian/lts/security/2014/dla-50.wml +++ /dev/null @@ -1,33 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3538">CVE-2014-3538</a> - - <p>Утилита file неправильно ограничивает количество считываемых данных в ходе - поиска по регулярному выражению, что позволяет удалённым злоумышленникам вызывать - отказ в обслуживании (чрезмерное потребление ресурсов ЦП).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3587">CVE-2014-3587</a> - - <p>Переполнение целых чисел в функции cdf_read_property_info в - cdf.c позволяет удалённым злоумышленникам вызывать отказ в обслуживании - (аварийная остановка приложения).</p></li> - -</ul> - -<p><b>Внимание</b>: другие семь проблем для выпуска wheezy, исправленные в версии 5.11-2+deb7u4 -(<a href="./dsa-3021">DSA-3021-1</a>), уже были исправлены в версии 5.04-5+squeeze6 -(<a href="./dla-27">DLA 27-1</a>) в июле 2014 года. Кроме того, в качестве стороннего -эффекта этих изменений для некоторых файлов было улучшено определение MIME-типа -от значения "application/octet-stream" к чему-то более конкретному -вида "application/x-dosexec" или "application/x-iso9660-image".</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете file версии 5.04-5+squeeze7</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-50.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-51.wml b/russian/lts/security/2014/dla-51.wml deleted file mode 100644 index 502e3790ce7..00000000000 --- a/russian/lts/security/2014/dla-51.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Жан-Рене Рейнхард, Оливье Левилайн и Флориан Мари сообщили, что -GnuPG, GNU Privacy Guard, неправильно выполняет грамматический разбор определённых искажённых -сжатых пакетов данных. Удалённый злоумышленник может использовать эту уязвимость для вызова -отказа в обслуживании в GnuPG, заставляя программу войти в бесконечный цикл.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете gnupg2 версии 2.0.14-2+squeeze3</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-51.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-52.wml b/russian/lts/security/2014/dla-52.wml deleted file mode 100644 index d8930ae71eb..00000000000 --- a/russian/lts/security/2014/dla-52.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Пакеты ia32-libs и ia32-libs-gtk содержат 32-битные версии различных -библиотек для их использования на 64-битных системах. Данное обновление содержит все исправления -безопасности, которые были внесены в данные библиотеки с момента запуска Squeeze LTS.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакетах ia32-libs и ia32-libs-gtk версии 20140911</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-52.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-53.wml b/russian/lts/security/2014/dla-53.wml deleted file mode 100644 index d50afb1b50d..00000000000 --- a/russian/lts/security/2014/dla-53.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что APT, высокоуровневый менеджер пакетов, неправильно -выполняет проверку неаутентифицированных данных (<a -href="https://security-tracker.debian.org/tracker/CVE-2014-0488">CVE-2014-0488</a>), -выполняет неправильную проверку ответов 304 (<a -href="https://security-tracker.debian.org/tracker/CVE-2014-0487">CVE-2014-0487</a>) -и не выполняет проверку контрольных сумм при использовании опции Acquire::GzipIndexes -(<a href="https://security-tracker.debian.org/tracker/CVE-2014-0489">CVE-2014-0489</a>).</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете apt версии 0.8.10.3+squeeze3</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-53.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-54.wml b/russian/lts/security/2014/dla-54.wml deleted file mode 100644 index 64d40dc24a2..00000000000 --- a/russian/lts/security/2014/dla-54.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Генкин, Пипман и Тромер обнаружили атаку через сторонний канал на подключи шифрования -Elgamal (<a href="https://security-tracker.debian.org/tracker/CVE-2014-5270">CVE-2014-5270</a>).</p> - -<p>Кроме того, данное обновление делает поведение GnuPG при интерпретации ответов серверов -ключей более строгим; GnuPG теперь фильтрует ответы серверов ключей с целью принятия только тех -идентификаторов ключей, которые фактически были запрошены пользователем.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете gnupg версии 1.4.10-4+squeeze6</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-54.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-55.wml b/russian/lts/security/2014/dla-55.wml deleted file mode 100644 index a4bda933be3..00000000000 --- a/russian/lts/security/2014/dla-55.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Антуан Делине-Лаво обнаружил, что можно повторно использовать сессии SSL -в несвязанных контекстах в случае разделяемого кеша SSL-сессий или использования того же -билетного ключа TLS-сессии для нескольких <q>серверных</q> блоков.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете nginx версии 0.7.67-3+squeeze4</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-55.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-56.wml b/russian/lts/security/2014/dla-56.wml deleted file mode 100644 index 822b7784a68..00000000000 --- a/russian/lts/security/2014/dla-56.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Wordpress, инструменте для ведения блога, были обнаружены многочисленные -проблемы безопасности, которые приводят к отказу в обслуживании или раскрытию информации.</p> - -<p>Дополнительную информацию можно найти в рекомендации основной ветки разработки по адресу -<a href="https://wordpress.org/news/2014/08/wordpress-3-9-2/">https://wordpress.org/news/2014/08/wordpress-3-9-2/</a></p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете wordpress версии 3.6.1+dfsg-1~deb6u5</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-56.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-57.wml b/russian/lts/security/2014/dla-57.wml deleted file mode 100644 index 1a28a77a688..00000000000 --- a/russian/lts/security/2014/dla-57.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что отсутствие проверок доступа в объекте Struts ActionForm object -может приводить к выполнению произвольного кода. Данное обновление исправляет эту -проблему.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libstruts1.2-java версии 1.2.9-4+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-57.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-58.wml b/russian/lts/security/2014/dla-58.wml deleted file mode 100644 index 0c47b7f3779..00000000000 --- a/russian/lts/security/2014/dla-58.wml +++ /dev/null @@ -1,38 +0,0 @@ -#use wml::debian::translation-check translation="34239e22946311752b2b808ea341a924e702bbe5" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет регрессию, появившуюся в версии 0.8.10.3+squeeze5, -которая состоит в том, что apt при отправке запросов If-Range отправляет неправильные HTTP-запросы.</p> - -<p>Ниже приводится изначальная рекомендация.</p> - -<p>Команда безопасности Google обнаружила переполнение буфера в -коде HTTP-транспорта в apt-get. Злоумышленник, способный путём атаки по -принципу человек-в-середине осуществить HTTP-запрос к репозиторию apt, может -вызвать переполнение буфера, приводящее к аварийной остановке метода <q>http</q> в apt или -к потенциальному выполнению произвольного кода.</p> - -<p>В настоящее обновление включены следующие исправления регрессий:</p> - -<ul> - - <li>Исправление регрессии из предыдущего обновления в <a href="dla-53">DLA-53-1</a>, - когда опция настройки apt Dir::state::lists устанавливалась в значение - относительного пути (#762160).</li> - - <li>Исправление регрессии в обработке повторной проверки источников cdrom:, что - может приводить к предупреждениям о неправильных контрольных суммах. Пользователям, у которых проявляется - эта проблема, следует снова выполнить "apt-cdrom add" после установки данного обновления.</li> - - <li>Исправление регрессии из предыдущего обновления в <a href="dla-53">DLA-53-1</a>, - когда используются источники file:///, находящиеся на разделе, отличающемся от - каталога состояния apt.</li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете apt версии 0.8.10.3+squeeze6</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-58.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-59.wml b/russian/lts/security/2014/dla-59.wml deleted file mode 100644 index 0bdb8f9f413..00000000000 --- a/russian/lts/security/2014/dla-59.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>Стефан Шазелас обнаружил уязвимость в bash, GNU -Bourne-Again Shell, связанную с тем, как обрабатываются переменные -окружения. При многих привычных настройках эта уязвимость может -использоваться по сети, в особенности в том случае, если bash выбран -в качестве командной оболочки по умолчанию.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете bash версии 4.1-3+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-59.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-60.wml b/russian/lts/security/2014/dla-60.wml deleted file mode 100644 index 35451072a7b..00000000000 --- a/russian/lts/security/2014/dla-60.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Два исправления для классического интерфейса пользователя:</p> -<ul> - <li>исправление ошибки на единицу при доступе к памяти в функции process_cgivars() (<a href="https://security-tracker.debian.org/tracker/CVE-2013-7108">CVE-2013-7108</a>)</li> - <li>предотвращение возможных переполнений буфера в cmd.cgi (<a href="https://security-tracker.debian.org/tracker/CVE-2014-1878">CVE-2014-1878</a>)</li> -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете icinga версии 1.0.2-2+squeeze2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-60.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-61.wml b/russian/lts/security/2014/dla-61.wml deleted file mode 100644 index 133296f16c2..00000000000 --- a/russian/lts/security/2014/dla-61.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Применение исправления для <a href="https://security-tracker.debian.org/tracker/CVE-2014-5269">CVE-2014-5269</a>: функция Plack::App::File ранее удаляла -косые черты в концах передаваемых путей. При определённых обстоятельствах это может приводить -к случайное передаче файлов. Подробности смотрите по адресу -<a href="https://github.com/plack/Plack/pull/446">https://github.com/plack/Plack/pull/446</a> .</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libplack-perl версии 0.9941-1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-61.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-62.wml b/russian/lts/security/2014/dla-62.wml deleted file mode 100644 index fe35d002cc9..00000000000 --- a/russian/lts/security/2014/dla-62.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Антуан Делинэ-Лаву из Inria обнаружил проблему в способе, используемом NSS -(библиотека Mozilla Network Security Service) для грамматического разбора данных ASN.1, -используемых в подписях, что делает эту библиотеку уязвимой к атаке через подделку подписи.</p> - -<p>Злоумышленник может сформировать данные ASN.1 для подделки сертификатов RSA, имеющих -корректную цепочку сертификатов к доверенному авторитету CA.</p> - -<p>Данное обновление исправляет указанную проблему в библиотеках NSS.</p> - -<p>Заметьте, что поддержка веб-браузера iceweasel, который также подвержен <a href="https://security-tracker.debian.org/tracker/CVE-2014-1568">CVE-2014-1568</a>, -в Squeeze(-LTS) прекращена, в нём эта ошибка исправлена не будет.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете nss версии 3.12.8-1+squeeze9</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-62.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-63.wml b/russian/lts/security/2014/dla-63.wml deleted file mode 100644 index 30608c53293..00000000000 --- a/russian/lts/security/2014/dla-63.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Тэвис Орманди обнаружил, что заплата, использованная для исправления <a href="https://security-tracker.debian.org/tracker/CVE-2014-6271">CVE-2014-6271</a> -и выпущенная в <a href="dla-59">DLA-59-1</a>, для bash, GNU Bourne-Again Shell, -оказалась неполной, что позволяет вводить некоторые символы в -другое окружение (<a href="https://security-tracker.debian.org/tracker/CVE-2014-7169">CVE-2014-7169</a>). Данное обновление добавляет к именам -переменных окружения, содержащих функции командной оболочки, префиксы и суффиксы с целью -защиты этих функций.</p> - -<p>Кроме того, было исправлено два случая обращения за пределы выделенного буфера памяти -в коде bash для выполнения грамматического разбора, которые были выявлены -в ходе внутреннего анализа в Red Hat на предмет наличия таких проблем, а -также были независимо обнаружены Тоддом Сабином.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете bash версии 4.1-3+deb6u2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-63.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-64.wml b/russian/lts/security/2014/dla-64.wml deleted file mode 100644 index f68866441c8..00000000000 --- a/russian/lts/security/2014/dla-64.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p><a href="https://security-tracker.debian.org/tracker/CVE-2014-3613">CVE-2014-3613</a></p> - - <p>Из-за отсутствия определения и отклонения доменных имён для частичных буквенных - IP адресов при выполнении грамматического разбора получаемых HTTP-куки, libcurl можно - заставить отправить куки неправильным сайтам, а также позволить - произвольным сайтам устанавливать куки для других сайтов.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете curl версии 7.21.0-2.1+squeeze9</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-64.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-65.wml b/russian/lts/security/2014/dla-65.wml deleted file mode 100644 index 3b666e4879e..00000000000 --- a/russian/lts/security/2014/dla-65.wml +++ /dev/null @@ -1,93 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет проблему с функцией reverse(), порождающей внешние URL; -отказ в обслуживании, касающийся загрузок файлов; потенциальное хищение сессии -с помощью удалённого ПО промежуточного уровня; утечку данных в интерфейсе -администратора.</p> - -<p>Данное обновление создано благодаря спонсорам Debian LTS: -<a href="http://www.freexian.com/services/debian-lts.html">http://www.freexian.com/services/debian-lts.html</a></p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0480">CVE-2014-0480</a> - - <p>Django включает в себя вспомогательную функцию django.core.urlresolvers.reverse, - обычно используемую для создания URL из ссылки на функцию вида или - имя шаблона URL. Тем не менее, если ей переданы входные данные, начинающиеся с двух - косых черт (//), то reverse() создаёт относительные (относительно схемы) URL - к другим узлам, что позволяет злоумышленнику, которому известно о небезопасном использовании - функции reverse() (например, в ситуации, когда конечный пользователь может управлять целью - перенаправления), создавать ссылки на сайты по его - выбору, что позволяет выполнять выуживание и другие виды атак.</p> - - <p>Для исправления этой проблемы при преобразовании URL теперь выполняется проверка того, что URL не начинается с - двух косых черт (//), а также замена второй косой черты на закодированный эквивалент - (%2F). Такой подход гарантирует, что семантика остаётся той же, а - URL создаются относительно домена, а не относительно схемы.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0481">CVE-2014-0481</a> - - <p>При настройках по умолчанию, когда система Django для обработки загрузки файлов - получает файл, который должен иметь путь и имя, совпадающие с уже существующим - файлом, то делается попытка создать новое уникальное имя файла путём добавления - символа подчёркивания и целого числа в конце (сохраняемого на диск) - имени файла, при этом число увеличивается (например, _1, _2 и т. д.) до тех пор, пока - не будет создано такое имя файла, которое не вступает в конфликт с уже существующими файлами.</p> - - <p>Злоумышленник может использовать последовательное поведение кода для - создания имени файла, загрузив множество небольших файлов, имеющих одно и то же - имя; в ходе их обработки Django порождает увеличивающееся число - вызовов os.stat() в попытке создания уникального имени файла. - В результате даже относительно небольшое число таких загрузок может - существенно снизить производительность системы.</p> - - <p>Для исправления этой проблемы система загрузки файлов в Django более не использует последовательные - имена с целыми числами для того, чтобы не происходили конфликты на диске; вместо этого к имени файла - добавляется короткая случайная строка с числами и буквами, что не позволяет использовать - создание множества конфликтующих имён файлов.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0482">CVE-2014-0482</a> - - <p>Django содержит ПО промежуточного уровня, django.contrib.auth.middleware.RemoteUserMiddleware, - а на движке аутентификации — django.contrib.auth.backends.RemoteUserBackend, - которое использует заголовок REMOTE_USER для целей аутентификации.</p> - - <p>При некоторых обстоятельствах использование этого ПО промежуточного уровня и этого движка может приводить к - тому, что один пользователь получает сессию другого пользователя в случае изменения заголовка REMOTE_USER - без соответствующих действий по входу/выходу.</p> - - <p>Для исправления этой проблемы ПО промежуточного уровня выполняет проверку того, что изменение - REMOTE_USER без явного выполнения выхода обязательно приводит к выходу и последующей - процедуре входа до момента принятия нового REMOTE_USER.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0483">CVE-2014-0483</a> - - <p>Интерфейс администратора Django, django.contrib.admin, предлагает возможность, - посредством которой связанные объекты могут отображаться во всплывающем окне для их выбора. - Этот механизм основывается на помещении значений в URL и строку запроса, - которые определяют связанную модель для отображения, а также поле, через которое - реализуется данное отношение. Этот механизм выполняет проверки прав доступа - на уровне класса модели как целого.</p> - - <p>Тем не менее, этот механизм не выполняет проверку того, что указанное поле представляет - отношение между моделями. Таким образом, пользователь, имеющий доступ к - интерфейсу администратора, а также достаточные знания структуры модели и соответствующих - URL, может построить всплывающие виды, которые будут отображать - значения несвязанных полей, включая поля, которые не предназначаются - разработчиком приложения для показа в таком виде.</p> - - <p>Для исправления этой проблемы в интерфейсе администратора в дополнение к обычным - проверкам прав доступа выполняются проверки того, что конкретное поле представляет - отношение к модели, связанной с администратором, и вызывает - исключение в том случае, если одно из условий не выполняется.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете python-django версии 1.2.3-3+squeeze11</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-65.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-66.wml b/russian/lts/security/2014/dla-66.wml deleted file mode 100644 index b8e54771582..00000000000 --- a/russian/lts/security/2014/dla-66.wml +++ /dev/null @@ -1,22 +0,0 @@ -#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0231">CVE-2014-0231</a> -<p>предотвращение отказа в обслуживании в mod_cgid.</p></li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0226">CVE-2014-0226</a> -<p>предотвращение отказа в обслуживании из-за состояния гонки в mod_status.</p></li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0118">CVE-2014-0118</a> -<p>исправление потребления ресурсов при распаковке тела mod_deflate.</p></li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6438">CVE-2013-6438</a> -<p>предотвращение отказа в обслуживании из-за некорректного конца строки в mod_dav</p></li> -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете apache2 версии 2.2.16-6+squeeze13</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-66.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-67.wml b/russian/lts/security/2014/dla-67.wml deleted file mode 100644 index 861d95b343a..00000000000 --- a/russian/lts/security/2014/dla-67.wml +++ /dev/null @@ -1,41 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3538">CVE-2014-3538</a> - - <p>Было обнаружено, что изначальное исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2013-7345">CVE-2013-7345</a> недостаточно - решает указанную проблему. Удалённый злоумышленник всё ещё может - вызвать отказ в обслуживании (чрезмерное потребление ресурсов ЦП) с помощью специально сформированного - входного файла, вызывающего перебор с возвратом в ходе обработки правила регулярных - выражений awk.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3587">CVE-2014-3587</a> - - <p>Было обнаружено, что код для грамматического разбора CDF в модуле fileinfo - неправильно обрабатывает некорректные файлы в формате Composite Document File - (CDF), что приводит к аварийным остановкам.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3597">CVE-2014-3597</a> - - <p>Было обнаружено, что изначальное исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2014-4049">CVE-2014-4049</a> не полностью - решает указанную проблему. Злоумышленник, управляющий сервером или выполняющий - атаку по принципу человек-в-середине, может вызывать отказ в обслуживании (аварийная остановка) - и возможное выполнение произвольного кода через специально сформированную TXT-запись DNS.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4670">CVE-2014-4670</a> - - <p>Было обнаружено, что PHP неправильно обрабатывает определённые итераторы - SPL. Локальный злоумышленник может использовать эту уязвимость для аварийной остановки - PHP, что приводит к отказу в обслуживании.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете php5 версии 5.3.3-7+squeeze22</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-67.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-68.wml b/russian/lts/security/2014/dla-68.wml deleted file mode 100644 index e8f4a70efaa..00000000000 --- a/russian/lts/security/2014/dla-68.wml +++ /dev/null @@ -1,33 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<ul> -<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3875">CVE-2014-3875</a>] - - <p>При вставке закодированных символов новой строки в запрос к rup, - в ответ могут быть вставлены дополнительные заголовки HTTP, а также - новый код HTML в верхней части веб-сайта.</p></li> - -<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3876">CVE-2014-3876</a>] - <p>Параметр akey отражается нефильтрованным образом как часть страницы - HTML. Некоторые символы запрещено использовать в параметре GET из-за - фильтрации URL, но это ограничение можно обойти путём использования - параметра POST. - Тем не менее, данная проблема может использоваться только через параметр - GET и требует взаимодействия с пользователем.</p></li> - -<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3877">CVE-2014-3877</a>] - <p>Параметр addto отражается пользователю только в слегка фильтрованном - виде как часть страницы HTML. Некоторые символы запрещено использовать - в параметре GET из-за фильтрации URL, но это ограничение можно - обойти путём использования параметра POST. Тем не менее, данная - уязвимость может использоваться только через параметр GET и требует - взаимодействия с пользователем.</p></li> - -</ul> -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете fex версии 20100208+debian1-1+squeeze4</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-68.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-69.wml b/russian/lts/security/2014/dla-69.wml deleted file mode 100644 index e64ba9c19a3..00000000000 --- a/russian/lts/security/2014/dla-69.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Стефано Дзаккироли обнаружил, что определённые входные файлы на языке JavaScript -вызывают бесконечный цикл в ctags, который продолжается до исчерпания -всего дискового пространства. Данное обновление исправляет код, выполняющий -грамматический разбор JavaScript.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете exuberant-ctags версии 1:5.8-3squeeze2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-69.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-70.wml b/russian/lts/security/2014/dla-70.wml deleted file mode 100644 index 7d4ac4f8a8a..00000000000 --- a/russian/lts/security/2014/dla-70.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>duesenfranz обнаружил, что функция safe_eval в trytond может использоваться для -выполнения произвольных команд (в основном в интерфейсе webdav). Применённая заплата не -позволяет использовать двойное подчёркивание в safe_eval, и позволяет избежать двойного -вычисления из наследования с другой моделью.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете tryton-server версии 1.6.1-2+squeeze2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-70.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-71.wml b/russian/lts/security/2014/dla-71.wml deleted file mode 100644 index 23e22868ef8..00000000000 --- a/russian/lts/security/2014/dla-71.wml +++ /dev/null @@ -1,27 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет две проблемы безопасности в apache2.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-5704">CVE-2013-5704</a> - - <p>Отключение возможности замены заголовков HTTP на концевые метки HTTP, - поскольку это может использоваться для обхода операций над заголовками, осуществлённых - другими модулями. Это поведение можно восстановить с помощью новой директивы - MergeTrailers.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3581">CVE-2014-3581</a> - - <p>Исправление отказа в обслуживании, при котором Apache может завершиться с ошибкой сегментирования, если используется mod_cache, - и если кешированный запрос содержит пустой заголовок Content-Type.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете apache2 версии 2.2.16-6+squeeze14</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-71.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-72.wml b/russian/lts/security/2014/dla-72.wml deleted file mode 100644 index cd23bb50154..00000000000 --- a/russian/lts/security/2014/dla-72.wml +++ /dev/null @@ -1,30 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Заплата для выпуска Wheezy оставила неразрешённый символ в модуле imklog -из версии для Squeeze. rsyslog работает нормально за исключением того, что более -нельзя отправлять сообщения ядра. Данное обновление исправляет эту проблему.</p> - -<p>Ниже приводится текст оригинальной рекомендации.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3634">CVE-2014-3634</a> - - <p>Исправление удалённой уязвимости syslog, возникающей из-за неправильной обработки - некорректных значений PRI.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3683">CVE-2014-3683</a> - - <p>Последующее исправление <a href="https://security-tracker.debian.org/tracker/CVE-2014-3634">CVE-2014-3634</a>. Первоначальная заплата оказалась неполной. - Она не покрывала случаи, когда значения PRI > MAX_INT, что вызывало переполнение - целых чисел, приводящее к отрицательным значениям.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете rsyslog версии 4.6.4-2+deb6u2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-72.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-74.wml b/russian/lts/security/2014/dla-74.wml deleted file mode 100644 index 3044b3e038a..00000000000 --- a/russian/lts/security/2014/dla-74.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет потенциальное переполнение целых чисел в коде для грамматического разбора опций.</p> - -<p>Пользователь из группы <q>dip</q> может передать специально сформированный -файл настроек размером более 2ГБ, что вызовет переполнение целых чисел. -Это может позволить злоумышленнику перезаписать содержимое динамической памяти и повредить тем самым -значения важных для безопасности переменных.</p> - -<p>Подробности смотрите в основной ветке разработки: -<a href="https://github.com/paulusmack/ppp/commit/7658e8257183f062dc01f87969c140707c7e52cb">https://github.com/paulusmack/ppp/commit/7658e8257183f062dc01f87969c140707c7e52cb</a></p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете ppp версии 2.4.5-4+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-74.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-75.wml b/russian/lts/security/2014/dla-75.wml deleted file mode 100644 index c737f6ad3fa..00000000000 --- a/russian/lts/security/2014/dla-75.wml +++ /dev/null @@ -1,33 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет одну важную уязвимость (<a href="https://security-tracker.debian.org/tracker/CVE-2014-4274">CVE-2014-4274</a>), а также -содержит два небольших исправления (<a href="https://security-tracker.debian.org/tracker/CVE-2013-2162">CVE-2013-2162</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2014-0001">CVE-2014-0001</a>).</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4274">CVE-2014-4274</a> - - <p>Небезопасная обработка временных файлов, которая может приводить к выполнению - произвольного кода из-за создания файла настройки mysql, - указывающего на каталог plugin_dir, которым может управлять злоумышленник.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2162">CVE-2013-2162</a> - - <p>Небезопасное создание файла данных учётных записей debian.cnf. Данные учётных записей - могут быть похищены локальным пользователем, отслеживающим этот файл во время - установки пакета.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0001">CVE-2014-0001</a> - - <p>Переполнение буфера в клиенте MySQL, которое возникает когда сервер отправляет строку - с указанием версии, которая оказывается слишком большой для выделенного буфера.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете mysql-5.1 версии 5.1.73-1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-75.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-76.wml b/russian/lts/security/2014/dla-76.wml deleted file mode 100644 index e921e4f612e..00000000000 --- a/russian/lts/security/2014/dla-76.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что KAuth, часть kdelibs, использует polkit таким -образом, что это приводит к состоянию гонки, что может позволить обойти авторизацию.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете kde4libs версии 4:4.4.5-2+squeeze4</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-76.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-77.wml b/russian/lts/security/2014/dla-77.wml deleted file mode 100644 index 9c9ae18035d..00000000000 --- a/russian/lts/security/2014/dla-77.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В libtasn1-3, библиотеке для управления структурами ASN1 (Abstract Syntax -Notation One), было обнаружено несколько уязвимостей. Злоумышленник -может использовать их для вызова отказа в обслуживании из-за обращения к области памяти за -пределами выделенного буфера или разыменования NULL-указателя.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libtasn1-3 версии 2.7-1+squeeze+2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-77.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-78.wml b/russian/lts/security/2014/dla-78.wml deleted file mode 100644 index 27fc65c5d84..00000000000 --- a/russian/lts/security/2014/dla-78.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Чад Визино сообщил об уязвимости в torque, системе пакетной обработки на -основе PBS. Пользователь, не являющийся суперпользователем, может использовать данную уязвимость -в вызове tm_adopt() библиотеки для принудительного завершения любого процесса, включая процессы, -владельцем которых является суперпользователь, на любой ноде задачи.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете torque версии 2.4.8+dfsg-9squeeze5</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-78.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-79.wml b/russian/lts/security/2014/dla-79.wml deleted file mode 100644 index 9757fc042b2..00000000000 --- a/russian/lts/security/2014/dla-79.wml +++ /dev/null @@ -1,31 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обовление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет возможность обхода аутентификации в wiki, если для -LDAP-аутентификации используется Active Directory. Эти два CVE почти совпадают, -один явно является надмножеством другого. Они исправлены одновременно.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8763">CVE-2014-8763</a> - - <p>DokuWiki до версии 2014-05-05b при использовании Active Directory для - LDAP-аутентификации позволяет удалённым злоумышленникам обойти аутентификацию с помощью - пароля, начинающегося с нулевого символа (\0) и корректного имени пользователя, что - приводит к неаутентифицированному связыванию.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8764">CVE-2014-8764</a> - - <p>DokuWiki 2014-05-05a или более ранних версий при использовании Active Directory для - LDAP-аутентификации позволяет удалённым злоумышленникам обходить аутентификацию с помощью имени - пользователя и пароля, начинающихся с нулевого символа (\0), что приводит к - анонимному связыванию.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете dokuwiki версии 0.0.20091225c-10+squeeze3</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-79.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-80.wml b/russian/lts/security/2014/dla-80.wml deleted file mode 100644 index 2e723d9c0c1..00000000000 --- a/russian/lts/security/2014/dla-80.wml +++ /dev/null @@ -1,20 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Сотрудники Sogeti обнаружили отказ в обслуживании в libxml2, библиотеке, предоставляющей -поддержку чтения, изменения и записи файлов XML и HTML. Удалённый злоумышленник -может передать специально сформированный файл XML, который при его обработке -приложением, использующим libxml2, может привести к чрезмерному потреблению ресурсов ЦП -(отказ в обслуживании) из-за излишней подстановки сущностей даже в том случае, если -подстановка сущностей отключена, что является поведением по умолчанию. -(<a href="https://security-tracker.debian.org/tracker/CVE-2014-3660">CVE-2014-3660</a>)</p> - -<p>Кроме того, данное обновление исправляет неправильно применённую порцию заплаты, -выпущенной в предыдущей версии (#762864).</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libxml2 версии 2.7.8.dfsg-2+squeeze10</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-80.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-81.wml b/russian/lts/security/2014/dla-81.wml deleted file mode 100644 index 69021bd6c29..00000000000 --- a/russian/lts/security/2014/dla-81.wml +++ /dev/null @@ -1,53 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В OpenSSL было обнаружено несколько уязвимостей.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566">CVE-2014-3566</a> - -<p>("POODLE")</p> - - <p>В способе, используемом SSL 3.0 для обработки заполняющих байтов, при - расшифровке сообщений, зашифрованных с использованием блочных шифров в режиме CBC, была - обнаружена уязвимость. Эта уязвимость позволяет путём атаки по принципу человек-в-середине (MITM) - расшифровать избранные байты шифротекста за 256 попыток в том случае, - если злоумышленник может заставить приложение жертвы повторно - отправлять одни и те же данные по заново создаваемым соединениям SSL 3.0.</p> - - <p>Данное обновление добавляет поддержку для Fallback SCSV с тем, чтобы уменьшить риск данной проблемы. - Это не исправляет проблему. Исправить её можно только отключив - поддержку SSL 3.0.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3567">CVE-2014-3567</a> - - <p>Была обнаружена утечка памяти в способе, используемом OpenSSL для обработки - неудачных проверок целостности билета сессии. Удалённый злоумышленник может исчерпать всю - доступную память SSL/TLS или DTLS сервера путём отправки этому серверу - большого количества некорректных сессионных билетов.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3568">CVE-2014-3568</a> - - <p>Если сборка OpenSSL была произведена с опцией "no-ssl3", то серверы - принимают и завершают рукопожатие SSL 3.0, а клиенты настраиваются - на отправку таких рукопожатий.</p> - - <p>Заметьте, что пакет в Debian собирается без этой опции.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3569">CVE-2014-3569</a> - - <p>Если сборка OpenSSL была произведена с опцией "no-ssl3", и получено сообщение SSL v3 Client - Hello, то метод ssl устанавливается в значение NULL, что позже может приводить - к разыменованию NULL-указателя.</p> - - <p>Заметьте, что пакет в Debian собирается без этой опции.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете openssl версии 0.9.8o-4squeeze18</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-81.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-82.wml b/russian/lts/security/2014/dla-82.wml deleted file mode 100644 index d1a815d06c4..00000000000 --- a/russian/lts/security/2014/dla-82.wml +++ /dev/null @@ -1,20 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Эйчди Мур из Rapid7 обнаружил возможность атаки через символьные ссылки в Wget, утилите -командной строки для загрузки файлов по протоколам HTTP, HTTPS и FTP. Эта уязвимость -позволяет создавать произвольные файлы в пользовательской системе в том случае, когда Wget запущен -в рекурсивном режиме для обработки FTP-сервера злоумышленника. Создание произвольных файлов -может привести к перезаписи содержимого файлов пользователя или позволить удалённо выполнить код с -правами пользователя.</p> - -<p>Данное обновление изменяет настройки по умолчанию в Wget так, что программа более -не создаёт локальные символьные ссылки, а переходит по ним и загружает -файл, на который указывает ссылка.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете wget версии 1.12-2.1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-82.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-83.wml b/russian/lts/security/2014/dla-83.wml deleted file mode 100644 index 9779b94cf03..00000000000 --- a/russian/lts/security/2014/dla-83.wml +++ /dev/null @@ -1,18 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление ffmpeg отключает поддержку более 100 кодеков, декодеров -и форматов, которые редко используются в настоящее время, и поддержка которых -в squeeze скорее недостаточна.</p> - -<p>Данное обновление предназначено исключительно для снижение рисков.</p> - -<p>Пакет ffmpeg в squeeze-lts не поддерживается, любое его использование -с недоверенными данными крайне нежелательно.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете ffmpeg версии 4:0.5.10-1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-83.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-84.wml b/russian/lts/security/2014/dla-84.wml deleted file mode 100644 index 22d23d2544a..00000000000 --- a/russian/lts/security/2014/dla-84.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Симеон Парашудис обнаружил, что функция curl_easy_duphandle() -в cURL, библиотеке передачи URL, содержит ошибку, которая может приводить к тому, что libcurl -случайно отправляет чувствительные данные, не предназначенные для отправки, -в ходе выполнения HTTP-операции POST.</p> - -<p>Данная ошибка требует, чтобы использовались по порядку CURLOPT_COPYPOSTFIELDS и curl_easy_duphandle(), -а затем должен использоваться код обработки дубликатов для -выполнения HTTP POST. Команда curl не подвержена -этой проблеме, поскольку она не использует указанную последовательность.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете curl версии 7.21.0-2.1+squeeze10</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-84.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-85.wml b/russian/lts/security/2014/dla-85.wml deleted file mode 100644 index c48c62d23cd..00000000000 --- a/russian/lts/security/2014/dla-85.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Джеймс Форшоу обнаружил, что в Apache Santuario XML Security для -Java параметры CanonicalizationMethod проверяются неправильно. -Указав произвольный слабый алгоритм нормализации, злоумышленник -может подделать подписи XML.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libxml-security-java версии 1.4.3-2+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-85.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-86.wml b/russian/lts/security/2014/dla-86.wml deleted file mode 100644 index 0b930773731..00000000000 --- a/russian/lts/security/2014/dla-86.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Франциско Алонзо из Red Hat Product Security обнаружил проблему в утилите -file: при проверке файлов в формате ELF заголовки NOTE проверяются неправильно, -что потенциально позволяет злоумышленникам вызывать отказ в обслуживании -(чтение за пределами выделенного буфера памяти и аварийная остановка приложения) путём -передачи специально сформированного файла в формате ELF.</p> - -<p>В стабильном выпуске с долгосрочной поддержкой (squeeze-lts) эта проблема была -исправлена в версии 5.04-5+squeeze8.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-86.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-87.wml b/russian/lts/security/2014/dla-87.wml deleted file mode 100644 index fb10a423dfe..00000000000 --- a/russian/lts/security/2014/dla-87.wml +++ /dev/null @@ -1,33 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет многочисленные (локальные) отказы в обслуживании, обнаруженные Албаном -Крешо и Симоном Маквитти.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3477">CVE-2014-3477</a> - - <p>Исправление отказа в обслуживании (невозможность получить имя шины) во - впервые активированных системных службах, к которым имеют доступ не все - пользователи.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3638">CVE-2014-3638</a> - - <p>Уменьшение максимального числа ждущих обработки ответов на одно соединение, чтобы - избежать отказа в обслуживании из-за алгоритмической сложности.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3639">CVE-2014-3639</a> - - <p>Теперь служба ограничивает число слотов неаутентифицированных соединений - так, чтобы вредоносные процессы не могли предотвратить новые подключения к - системной шине.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете dbus версии 1.2.24-4+squeeze3</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-87.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-88.wml b/russian/lts/security/2014/dla-88.wml deleted file mode 100644 index ae214ff8f5e..00000000000 --- a/russian/lts/security/2014/dla-88.wml +++ /dev/null @@ -1,46 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет многочисленные локальные и удалённые отказы в обслуживании и проблемы, связанные с -удалённым выполнением кода:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-0188">CVE-2011-0188</a> - -<p>Корректное выделение памяти с целью предотвращения выполнения произвольного кода или аварийной -остановки приложения. Об уязвимости сообщил Дрю Яо.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2686">CVE-2011-2686</a> - -<p>Повторная инициализация случайного начального числа при разветвлении с целью предотвращения подобных -<a href="https://security-tracker.debian.org/tracker/CVE-2003-0900">CVE-2003-0900</a> ситуаций.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2705">CVE-2011-2705</a> - -<p>Изменение состояния PRNG с целью предотвращения повторов последовательностей случайных чисел в ответвлённом -дочернем процессе, имеющим тот же идентификатор. Об уязвимости сообщил Эрик Вонг.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-4815">CVE-2011-4815</a> - -<p>Исправление проблемы с предсказуемыми столкновениями хешей, приводящими к отказу в обслуживании -(чрезмерное потребление ресурсов ЦП). О проблеме сообщил Александр Клинк и Джулиан Вилд.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8080">CVE-2014-8080</a> - -<p>Исправление кода для грамматического разбора REXML с целью предотвращения отказа в обслуживании из-за чрезмерного потребления памяти, -вызываемого специально сформированными документами в формате XML. О проблеме сообщил Уиллис Вандевантер.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8090">CVE-2014-8090</a> - -<p>Добавление REXML::Document#document к исправлению для <a href="https://security-tracker.debian.org/tracker/CVE-2014-8080">CVE-2014-8080</a>. -О проблеме сообщил Томас Хогер.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете ruby1.8 версии 1.8.7.302-2squeeze3</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-88.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-89.wml b/russian/lts/security/2014/dla-89.wml deleted file mode 100644 index 97526285dd6..00000000000 --- a/russian/lts/security/2014/dla-89.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>В nss, наборе библиотек, разработанных для поддержки межплатформенной разработки -защищённых клиентских и серверных приложений, Тайсон Смит и Джесс -Шварцентрубер обнаружили использование указателей после освобождения памяти, позволяющее удалённым -злоумышленникам выполнять произвольный код путём инициации некорректного удаления -структуры NSSCertificate из доверенного домена.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете nss версии 3.12.8-1+squeeze10</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-89.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-90.wml b/russian/lts/security/2014/dla-90.wml deleted file mode 100644 index 35839a2a724..00000000000 --- a/russian/lts/security/2014/dla-90.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Некоторые специально сформированные файлы JPEG могут приводить к отказу в обслуживании из-за -отсутствия проверок встроенных свойств EXIF (отступы каталога EXIF должны быть больше 0).</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете imagemagick версии 8:6.6.0.4-3+squeeze5</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-90.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-91.wml b/russian/lts/security/2014/dla-91.wml deleted file mode 100644 index 543a9691738..00000000000 --- a/russian/lts/security/2014/dla-91.wml +++ /dev/null @@ -1,49 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление tomcat с версии 6.0.35 (версия, которая была ранее доступна -в squeeze) до версии 6.0.41, полный список изменений между этими версиями -можно посмотреть в журнале изменений основной ветки разработки, которая доступна по адресу -<a href="http://tomcat.apache.org/tomcat-6.0-doc/changelog.html">http://tomcat.apache.org/tomcat-6.0-doc/changelog.html</a></p> - -<p>Данное обновление исправляет следующие проблемы безопасности, которые ранее не были исправлены -в squeeze:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0033">CVE-2014-0033</a> - -<p>Предотвращение атак удалённых злоумышленников по фиксации сессии с помощью специально -сформированных URL.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4590">CVE-2013-4590</a> - -<p>Предотвращение утечек <q>внутренней информации Tomcat</q>.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4322">CVE-2013-4322</a> - -<p>Предотвращение атак удалённых злоумышленников с целью вызова отказа в обслуживании.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4286">CVE-2013-4286</a> - -<p>Отклонение запросов с множественными заголовками с указанием длины содержимого или с одним заголовком с -указанием длины содержимого, но при использовании порционной кодировки.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1571">CVE-2013-1571</a> - -<p>Избегание <a href="https://security-tracker.debian.org/tracker/CVE-2013-1571">CVE-2013-1571</a> при порождении Javadoc.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3439">CVE-2012-3439</a> - -<p>Различные улучшения аутентификатора DIGEST.</p></li> - -</ul> - - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете tomcat6 версии 6.0.41-2+squeeze5</p> -<p>Благодарим Тони Манчилли за большую часть работы над этим обновлением!</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-91.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-92.wml b/russian/lts/security/2014/dla-92.wml deleted file mode 100644 index 0898876e067..00000000000 --- a/russian/lts/security/2014/dla-92.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Это обновление tomcat-native с версии 1.1.20 (версия, которая ранее была доступна -в squeeze) до версии 1.1.31, полный список изменения между этими версиями можно -найти в журнале изменений в основной ветке разработки, который доступен в сети по адресу -<a href="http://tomcat.apache.org/native-doc/miscellaneous/changelog.html">http://tomcat.apache.org/native-doc/miscellaneous/changelog.html</a></p> - -<p>Данное обновление не исправляет проблемы безопасности, но оно требуется для пользователей -libtcnative-1, поскольку версия 1.1.20 из Squeeze не работает с tomcat6 6.0.41 из -Squeeze LTS.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-92.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-93.wml b/russian/lts/security/2014/dla-93.wml deleted file mode 100644 index be54186c4fa..00000000000 --- a/russian/lts/security/2014/dla-93.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Дэниел Генкин, Итамар Пипман и Эран Тромер обнаружили, что подключи для шифрования -Elgamal в приложениях, использующих библиотеку libgcrypt11, например -GnuPG 2.x, могут быть раскрыты через атаку по стороннему каналу (см.: -<a href="http://www.cs.tau.ac.il/~tromer/handsoff/">http://www.cs.tau.ac.il/~tromer/handsoff/</a>).</p> - -<p>Эта проблема была исправлена в Squeeze в версии 1.4.5-2+squeeze2.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-93.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-94.wml b/russian/lts/security/2014/dla-94.wml deleted file mode 100644 index a6dff2af3ce..00000000000 --- a/russian/lts/security/2014/dla-94.wml +++ /dev/null @@ -1,34 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3668">CVE-2014-3668</a> - - <p>Исправление ошибки #68027: исправление грамматического разбора даты в библиотеке XMLRPC</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3669">CVE-2014-3669</a> - - <p>Исправление ошибки #68044: переполнение целых чисел в функции unserialize() (только на 32-битных архитектурах)</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3670">CVE-2014-3670</a> - - <p>Исправление ошибки #68113: повреждение содержимого динамической памяти в функции exif_thumbnail()</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3710">CVE-2014-3710</a> - - <p>Исправление ошибки #68283: fileinfo: чтение за пределами выделенного буфера памяти в заголовках NOTE файлов в формате ELF</p></li> - -</ul> - -<p>Дополнительные исправления ошибок</p> - - <p>Исправление обработки null-байтов в привязках LDAP в ldap-fix.patch</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете php5 версии 5.3.3-7+squeeze23</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-94.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-95.wml b/russian/lts/security/2014/dla-95.wml deleted file mode 100644 index b2741345f83..00000000000 --- a/russian/lts/security/2014/dla-95.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В clamav было обнаружено две ошибки, они исправлены в данном выпуске.</p> - -<p>Одна проблема касается clamscan, антивирусного сканера для командной строки, который входит -в пакет. Эта проблема может приводить к аварийным остановкам при сканировании определённых файлов -(<a href="https://security-tracker.debian.org/tracker/CVE-2013-6497">CVE-2013-6497</a>). -Вторая проблема касается libclamav и вызывает переполнение динамической памяти -при сканировании специально сформированных PE-файлов y0da Crypter -(<a href="https://security-tracker.debian.org/tracker/CVE-2014-9050">CVE-2014-9050</a>). Заметьте, что эти ошибки могут использоваться злоумышленниками -удалённо в том случае, если ClamAV используется для сканирования файлов на узлах электронной почты.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете clamav версии 0.98.1+dfsg-1+deb6u4</p> - -<p>Если вы используете clamav, то настоятельно рекомендуется выполнить обновление до данной версии.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-95.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-96.wml b/russian/lts/security/2014/dla-96.wml deleted file mode 100644 index 5284c87bfdd..00000000000 --- a/russian/lts/security/2014/dla-96.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В OpenJDK, реализации платформы Oracle Java, было обнаружено несколько -уязвимостей, приводящих к выполнению произвольного кода, -выходу за пределы песочницы Java, раскрытию информации или отказу в обслуживании.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии -6b33-1.13.5-2~deb6u1.</p> - -<p>Рекомендуется обновить пакеты openjdk-6 и подписаться -на <a href="https://lists.debian.org/debian-lts/">https://lists.debian.org/debian-lts/</a> для того, чтобы помогать -в тестировании обновлённых пакетов до момента их выпуска.</p> - -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-96.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-97.wml b/russian/lts/security/2014/dla-97.wml deleted file mode 100644 index 3a5ab3e7fb7..00000000000 --- a/russian/lts/security/2014/dla-97.wml +++ /dev/null @@ -1,39 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6656">CVE-2012-6656</a> - - <p>Исправление проверки при преобразовании из ibm930 в utf. - При преобразовании кода IBM930 с помощью iconv(), если определён код IBM930, содержащий - некорректный многобайтовый символ <q>0xffff</q>, то - работа iconv() прерывается с ошибкой сегментирования.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6040">CVE-2014-6040</a> - - <p>Аварийные остановки при некорректных входных данных в gconv-модулях IBM [BZ #17325] - Эти изменения основываются на исправлении BZ #14134 в коммите - 6e230d11837f3ae7b375ea69d7905f0d18eb79e5.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7817">CVE-2014-7817</a> - - <p>Функция wordexp() неправильно обрабатывает флаг WRDE_NOCMD - при обработке арифметических входных данных в виде "$((... ``))", - где "..." может быть любой корректной строкой. Обратные галочки в арифметических - выражениях оцениваются командной оболочкой даже в том случае, если WRDE_NOCMD запрещает - подстановку команд. Это позволяет злоумышленнику попытаться передать - опасные команды с помощью выражений указанного выше вида и обойти - флаг WRDE_NOCMD. Данная заплата исправляет эту проблему включением проверки WRDE_NOCMD - в функции exec_comm(), единственном месте, где может выполняться интерпретатор команд. Все другие - проверки WRDE_NOCMD излишни и были удалены.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете eglibc версии 2.11.3-4+deb6u2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-97.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-98.wml b/russian/lts/security/2014/dla-98.wml deleted file mode 100644 index 2138108d73e..00000000000 --- a/russian/lts/security/2014/dla-98.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Драгана Дамянович обнаружил, что аутентифицированный клиент может аварийно -завершить работу сервера OpenVPN, отправив управляющий пакет, содержащий данные -размером менее четырёх байт.</p> - -<p>В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в -версии 2.1.3-2+squeeze3 в squeeze-lts.</p> - -<p>Рекомендуется обновить пакеты openvpn.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-98.data" -# $Id$ diff --git a/russian/lts/security/2014/dla-99.wml b/russian/lts/security/2014/dla-99.wml deleted file mode 100644 index c7b0ca33181..00000000000 --- a/russian/lts/security/2014/dla-99.wml +++ /dev/null @@ -1,30 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Микеле Спаньюоло из команды безопасности Google и Мирослав Личвар из -Red Hat обнаружили две проблемы в flac, библиотеке для обработки мультимедиа в формате -Free Lossless Audio Codec: передав специально сформированный файл FLAC, -злоумышленник может выполнить произвольный код.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8962">CVE-2014-8962</a> - - <p>Переполнение динамической памяти в stream_decoder.c позволяет - удалённым злоумышленникам выполнять произвольный код с помощью специально - сформированного файла .flac.</p> </li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9028">CVE-2014-9028</a> - - <p>Переполнение буфера в stream_decoder.c позволяет - удалённым злоумышленникам выполнять произвольный код с помощью специально - сформированного файла .flac.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете flac версии 1.2.1-2+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2014/dla-99.data" -# $Id$ diff --git a/russian/lts/security/2014/index.wml b/russian/lts/security/2014/index.wml deleted file mode 100644 index e9252a7e23a..00000000000 --- a/russian/lts/security/2014/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" -<define-tag pagetitle>Рекомендации по безопасности LTS за 2014 год</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list_security - -<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2014' ) :> - -<p>Вы можете получать последние анонсы о безопасности Debian, подписавшись на список рассылки -<a href="https://lists.debian.org/debian-lts-announce/">\ -<strong>debian-lts-announce</strong></a>. -Архив списка рассылки доступен <a href="https://lists.debian.org/debian-lts-announce/">\ -здесь</a>.</p> diff --git a/russian/lts/security/2015/Makefile b/russian/lts/security/2015/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/lts/security/2015/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/lts/security/2015/dla-120.wml b/russian/lts/security/2015/dla-120.wml deleted file mode 100644 index 431c19dbb95..00000000000 --- a/russian/lts/security/2015/dla-120.wml +++ /dev/null @@ -1,22 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Андреас Корд-Ландвер сообщил о проблеме, при которой X.Org Xserver -часто аварийно завершает работу с арифметическим исключением при разворачивании -во весь экран окон приложений.</p> - -<p>Эта проблема (<a href="https://security-tracker.debian.org/tracker/CVE-2015-3418">CVE-2015-3418</a>) является регрессом, который появился из-за исправления -<a href="https://security-tracker.debian.org/tracker/CVE-2014-8092">CVE-2014-8092</a>. Указанная выше версия xorg-server в Debian -squeeze-lts исправляет этот регресс следующим способом:</p> - -<p>Коде проверки длины проверяет высоту PutImage и байтовую ширину, -чтобы <tt>байтовая-ширина >= INT32_MAX / высота</tt>. Если высота равна нулю, -то возникает исключение <q>деление на ноль</q>. Разрешаются явные запросы -с нулевой высотой, что обходит проверку INT32_MAX (в dix/dispatch.c).</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в xorg-server версии 2:1.7.7-18+deb6u3</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-120.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-127.wml b/russian/lts/security/2015/dla-127.wml deleted file mode 100644 index 9459a2d0d00..00000000000 --- a/russian/lts/security/2015/dla-127.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Джонатан Грэй и Станислав Питуча обнаружили ошибку утверждения в -способе, используемом для грамматического разбора обёрнутых строк в Python-YAML, модуле Python для -выполнения грамматического разбора и создания YAML. Злоумышленник, способный загрузить специально сформированные -входные данные в формате YAML в приложение, использующее python-yaml, может вызвать аварийную остановку этого приложения.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в pyyaml версии 3.09-5+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-127.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-128.wml b/russian/lts/security/2015/dla-128.wml deleted file mode 100644 index c0cffe34ddf..00000000000 --- a/russian/lts/security/2015/dla-128.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Михель Шпагнуло из команды безопасности Google обнаружил два переполнения -динамической памяти в SoX, универсальном наборе программ для обработки -звука. Специально сформированный файл в формате wav может приводить к аварийной -остановке приложения, использующего SoX, или потенциальному выполнению произвольного кода.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в sox версии 14.3.1-1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-128.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-129.wml b/russian/lts/security/2015/dla-129.wml deleted file mode 100644 index 4d1648d3194..00000000000 --- a/russian/lts/security/2015/dla-129.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что утечка памяти при выполнении грамматического разбора сертификатов X.509 -может приводить к отказу в обслуживании.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в polarssl версии 1.2.9-1~deb6u3</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-129.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-130.wml b/russian/lts/security/2015/dla-130.wml deleted file mode 100644 index 42f78117201..00000000000 --- a/russian/lts/security/2015/dla-130.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что специально сформированный пакет может вызывать ошибку сегментирования. -См.: <a href="http://tracker.firebirdsql.org/browse/CORE-4630">http://tracker.firebirdsql.org/browse/CORE-4630</a></p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в firebird2.1 версии 2.1.3.18185-0.ds1-11+squeeze2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-130.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-131.wml b/russian/lts/security/2015/dla-131.wml deleted file mode 100644 index 9de5f9cee8b..00000000000 --- a/russian/lts/security/2015/dla-131.wml +++ /dev/null @@ -1,41 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В file, инструменте/библиотеке для определения типа файлов, были -обнаружены многочисленные проблемы безопасности. Обработка специально сформированных файлов может приводить к -отказу в обслуживании. Большинство изменений связаны с грамматическим разбором файлов -ELF.</p> - -<p>В качестве исправлений в ряде случаев были добавлены новые или усилены существующие ограничения -аспектов определения, что иногда приводит к сообщениям вида <q>исчерпан -лимит рекурсии</q> или <q>слишком много разделов заголовков программы</q>.</p> - -<p>Для того, чтобы обойти подобные затруднения, эти ограничения можно изменить с помощью нового -параметра "-R"/"--recursion" в программе file. Внимание: будущее -обновление file в squeeze-lts может заменить этот параметр на параметр "-P" -для того, чтобы использование данной утилиты во всех выпусках было одинаковым.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8116">CVE-2014-8116</a> - - <p>Код для грамматического разбора ELF (readelf.c) позволяет удалённым злоумышленникам вызывать - отказ в обслуживании (чрезмерное потребление ресурсов ЦП или аварийная остановка).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8117">CVE-2014-8117</a> - - <p>softmagic.c неправильно ограничивает рекурсию, что позволяет удалённым - злоумышленникам вызывать отказ в обслуживании (чрезмерное потребление ресурсов ЦП или аварийная остановка).</p> - -<p>(идентификатор пока не назначен)</p> - - <p>Доступ за пределами выделенного буфера памяти</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в file версии 5.04-5+squeeze9</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-131.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-132.wml b/russian/lts/security/2015/dla-132.wml deleted file mode 100644 index c9182440fb0..00000000000 --- a/russian/lts/security/2015/dla-132.wml +++ /dev/null @@ -1,54 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружены -многочисленные уязвимости. Проект Common Vulnerabilities and Exposures -определяет следующие проблемы:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3570">CVE-2014-3570</a> - - <p>Питер Вуилль из Blockstream сообщил, что возведение в квадрат сверхбольших - чисел (BN_sqr) может на некоторых платформах выдавать неправильные результаты, что - облегчает удалённым пользователям обход механизма криптографической - защиты.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3571">CVE-2014-3571</a> - - <p>Маркус Штенберг из Cisco Systems, Inc. сообщил, что специально - сформированное сообщение DTLS может вызывать ошибку сегментирования в OpenSSL из-за - разыменования NULL-указателя. Удалённый злоумышленник может использовать данную уязвимость - для вызова отказа в обслуживании.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3572">CVE-2014-3572</a> - - <p>Картикеян Бхаргаван из команды PROSECCO из INRIA сообщил, что - клиент OpenSSL принимает рукопожатие, используя недолговечный набор шифров - ECDH в случае, если пропущено сообщение сервера по обмену ключей. Это - позволяет удалённым SSL-серверам выполнять атаки по снижению уровня защиты ECDHE до ECDH - и вызывать потерю защищённости.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8275">CVE-2014-8275</a> - - <p>Антти Карялаинен и Туомо Унтинен из проекта Codenomicon CROSS - и Конрад Крашевски из Google сообщили о различных проблемах с отпечатками - сертификата, которые могут позволить удалённым злоумышленникам обойти - механизмы защиты на основе чёрного списка сертификатов, содержащего отпечатки.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0204">CVE-2015-0204</a> - - <p>Картикеян Бхаргаван из команды PROSECCO из INRIA сообщил, что - клиент OpenSSL принимает использование недолговечного ключа RSA в - неэкспортном наборе шифров для обмена ключами RSA, нарушая стандарт - TLS. Это позволяет удалённым SSL-серверам снижать уровень совершенной прямой - секретности сессии.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в openssl версии 0.9.8o-4squeeze19</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-132.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-133.wml b/russian/lts/security/2015/dla-133.wml deleted file mode 100644 index 4e72fc75dac..00000000000 --- a/russian/lts/security/2015/dla-133.wml +++ /dev/null @@ -1,26 +0,0 @@ -#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9274">CVE-2014-9274</a> - - <p>Проверка того, что доступ к таблице цветов осуществляется в пределах выделенного буфера памяти. - Заплаты взяты из основной ветки разработки: - - <a href="https://security-tracker.debian.org/tracker/CVE-2014-9274">CVE-2014-9274</a>: b0cef89a170a66bc48f8dd288ce562ea8ca91f7a</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9275">CVE-2014-9275</a> - - <p>Различные аварийные остановки. - - <a href="https://security-tracker.debian.org/tracker/CVE-2014-9275">CVE-2014-9275</a>: 1df886f2e65f7c512a6217588ae8d94d4bcbc63d - 3c7ff3f888de0f0d957fe67b6bd4bec9c0d475f3</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в unrtf версии 0.19.3-1.1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-133.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-134.wml b/russian/lts/security/2015/dla-134.wml deleted file mode 100644 index 986d2e9b677..00000000000 --- a/russian/lts/security/2015/dla-134.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Андрей Лабунец из Facebook обнаружил, что cURL, библиотека -передачи URL, неправильно обрабатывает URL, содержащие символы -конца строки. Злоумышленник, способный создать приложение, использующее libcurl для -получения доступа к специально сформированному URL через HTTP-прокси, может использовать данную -уязвимость для выполнения дополнительных ненамеренных запросов, либо вставлять -дополнительные заголовки в запрос.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в curl версии 7.21.0-2.1+squeeze11</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-134.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-135.wml b/russian/lts/security/2015/dla-135.wml deleted file mode 100644 index 3f1131541c8..00000000000 --- a/russian/lts/security/2015/dla-135.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Пакеты ia32-libs и ia32-libs-gtk содержат 32-битные версии различных -библиотек для использования на 64-битных системах. Данное обновление включает в себя все исправления -безопасности для этих библиотек с момента предыдущего обновления ia32-libs и -ia32-libs-gtk в Squeeze LTS.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в ia32-libs, ia32-libs-gtk версий 20150116</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-135.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-136.wml b/russian/lts/security/2015/dla-136.wml deleted file mode 100644 index ac563889684..00000000000 --- a/russian/lts/security/2015/dla-136.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Джеймс Клоусон обнаружил, что websvn, служба веб-просмотра репозиториев -Subversion, может переходить по символьным ссылкам в репозитории при указании -файла для загрузки. Злоумышленник с правом на запись в репозиторий может -получить доступ к любому файлу, доступ для чтения к которому есть у пользователю, от лица которого -запущен веб-сервер.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в websvn версии 2.3.3-1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-136.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-137.wml b/russian/lts/security/2015/dla-137.wml deleted file mode 100644 index d65d6faf302..00000000000 --- a/russian/lts/security/2015/dla-137.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Библиотека libevent уязвима к потенциальному переполнению динамической памяти в -функциях API для работы с буфером/буферными событиями.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в libevent версии 1.4.13-stable-1+deb6u1</p> - -<p>Данное обновление было подготовлено Нгуеном Конгом, который использовал заплату, предоставленную -разработчиками основной ветки разработки. Выражаем ему благодарность!</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-137.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-138.wml b/russian/lts/security/2015/dla-138.wml deleted file mode 100644 index 850ec626926..00000000000 --- a/russian/lts/security/2015/dla-138.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В JasPer, библиотеке для работы с файлами в формате JPEG-2000, была обнаружена ошибка на единицу, приводящая к переполнению динамической памяти -(<a href="https://security-tracker.debian.org/tracker/CVE-2014-8157">CVE-2014-8157</a>), а также обнаружено неограниченное -использование стековой памяти -(<a href="https://security-tracker.debian.org/tracker/CVE-2014-8158">CVE-2014-8158</a>). Специально сформированный файл может вызвать -аварийную остановку приложения, использующего JasPer, или потенциальное выполнению произвольного кода.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в jasper версии 1.900.1-7+squeeze4</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-138.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-139.wml b/russian/lts/security/2015/dla-139.wml deleted file mode 100644 index bb136066c64..00000000000 --- a/russian/lts/security/2015/dla-139.wml +++ /dev/null @@ -1,31 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В eglibc, версии библиотеки GNU C для Debian, была исправлена -уязвимость:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0235">CVE-2015-0235</a> - - <p>Сотрудники Qualys обнаружили, что функции gethostbyname и gethostbyname2 - содержат переполнения буфера, которые проявляются при получении - специально сформированного IP адреса в виде аргумента. Это может использоваться злоумышленником - для выполнения произвольного кода в процессе, который вызвал указанные - функции.</p></li> - -</ul> - -<p>Об ошибке в glibc сообщил Петер Клотц.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в eglibc версии 2.11.3-4+deb6u4</p> - -<p>Рекомендуется обновить пакеты eglibc.</p> - -<p>Другие три CVE исправленные в Debian wheezy в <a href="./dsa-3142">DSA 3142-1</a> уже были -исправлены в squeeze LTS в <a href="../2014/dla-97">DLA 97-1</a>.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-139.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-140.wml b/russian/lts/security/2015/dla-140.wml deleted file mode 100644 index fdf4adfcc27..00000000000 --- a/russian/lts/security/2015/dla-140.wml +++ /dev/null @@ -1,38 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В rpm было обнаружено несколько уязвимостей:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8118">CVE-2014-8118</a> - - <p>Исправление переполнения целых чисел, позволяющего удалённым злоумышленникам выполнять произвольный - код.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6435">CVE-2013-6435</a> - - <p>Предотвращение выполнения произвольного кода удалёнными злоумышленниками с помощью специально - сформированных файлов RPM.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-0815">CVE-2012-0815</a> - - <p>Исправление отказа в обслуживании и возможного выполнения кода с помощью отрицательного значения в - отступе региона в специально сформированных файлах RPM.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-0060">CVE-2012-0060</a> - -<p>и <a href="https://security-tracker.debian.org/tracker/CVE-2012-0061">CVE-2012-0061</a></p> - - <p>Предотвращение отказа в обслуживании (аварийная остановка) и возможного выполнения произвольного - кода с помощью неправильного тега региона в файлах RPM.</p></li> - -</ul> - -<p>Рекомендуется обновить пакеты rpm.</p> -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в rpm версии 4.8.1-6+squeeze2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-140.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-141.wml b/russian/lts/security/2015/dla-141.wml deleted file mode 100644 index 96863ec5aa8..00000000000 --- a/russian/lts/security/2015/dla-141.wml +++ /dev/null @@ -1,20 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В libksba, библиотеке поддержки X.509 и CMS, была обнаружена и исправлена уязвимость:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9087">CVE-2014-9087</a> - - <p>Исправлено переполнение буфера в ksba_oid_to_str, о котором сообщил Ханно Бёк.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в libksba версии 1.0.7-2+deb6u1</p> -<p>Рекомендуется обновить пакеты libksba.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-141.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-142.wml b/russian/lts/security/2015/dla-142.wml deleted file mode 100644 index 90f5750ca45..00000000000 --- a/russian/lts/security/2015/dla-142.wml +++ /dev/null @@ -1,34 +0,0 @@ -#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В privoxy, HTTP-прокси с продвинутыми возможностями защиты конфиденциальных данных, было -обнаружено несколько уязвимостей:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1031">CVE-2015-1031</a>, CID66394 - - <p>unmap(): предотвращение использования указателей после освобождения памяти в случае, если обрабатываемый список состоит только из одного элемента.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1031">CVE-2015-1031</a>, CID66376 и CID66391 - - <p>pcrs_execute(): постоянная установка *result в значение NULL в случае ошибок. - Это должно сделать использование указателей после освобождения памяти в вызывающей функции менее вероятным.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1381">CVE-2015-1381</a> - - <p>Исправление многочисленных ошибок сегментирования и утечек памяти в коде pcrs.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1382">CVE-2015-1382</a> - - <p>Исправление неправильного чтения с целью предотвращения потенциальных аварийных остановок.</p></li> - -</ul> - -<p>Рекомендуется обновить пакеты privoxy.</p> -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в privoxy версии 3.0.16-1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-142.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-143.wml b/russian/lts/security/2015/dla-143.wml deleted file mode 100644 index b536c0bc689..00000000000 --- a/russian/lts/security/2015/dla-143.wml +++ /dev/null @@ -1,83 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Django были обнаружены многочисленные проблемы безопасности: -<a href="https://www.djangoproject.com/weblog/2015/jan/13/security/">https://www.djangoproject.com/weblog/2015/jan/13/security/</a></p> - -<p>В Debian 6 Squeeeze они были исправлены в версии 1.2.3-3+squeeze12 -пакета python-django. Разработчики основной ветки разработки описывают эти -проблемы следующим образом:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0219">CVE-2015-0219</a> - -<p>- Подделка заголовка WSGI из-за объединения символов подчёркивания/тире</p> - - <p>Когда заголовки HTTP помещаются в окружение WSGI, они - нормализуются путём преобразования букв в верхних регистр, преобразования всех тире в - подчёркивания, и добавления префикса HTTP_. Например, заголовок X-Auth-User - в окружении WSGI стал бы HTTP_X_AUTH_USER (и в Django словаре - request.META).</p> - - <p>К сожалению, это означает, что окружение WSGI не различает - заголовки, содержащие тире, и заголовки, содержащие подчёркивания: - X-Auth-User и X-Auth_User оба становятся HTTP_X_AUTH_USER. Это означает, - что если какой-то заголовок используется важным для безопасности образом (например, - передача аутентификационной информации от внешнего прокси), даже - если прокси очищает входящее значение X-Auth-User, злоумышленник - может оказаться способным предоставить заголовок X-Auth_User (с - подчёркиванием) и обойти эту защиту.</p> - - <p>Для того, чтобы предотвратить подобные атаки, и Nginx, и Apache 2.4+ по умолчанию - выполняют очистку заголовков, содержащих подчёркивания, в исходящих - запросах. Встроенный сервер Django, используемый для нужд разработки, теперь делает то же самое. - Не рекомендуется использовать этот сервер Django для важных проектов, - но соответствующее поведение общих серверов снижает - изменение поведения при развёртывании.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0220">CVE-2015-0220</a> - -<p>- Возможная XSS-атака через передаваемые пользователем URL перенаправлений</p> - - <p>В некоторых случаях Django полагается на пользовательские входные данные (например, - django.contrib.auth.views.login() и i18n) для перенаправления пользователя на - URL, отмеченную как <q>при успехе</q>. Проверки безопасности для этих перенаправлений (а именно - django.util.http.is_safe_url()) не выполняют очистку символов пробела - в тестируемых URL, поэтому URL вида "\njavascript:..." считаются безопасными. Если - разработчик полагается на is_safe_url() в плане предоставления безопасных целей для - перенаправления и помещает такие URL в ссылку, то они могут быть подвержены XSS-атакам. - Эта ошибка в настоящее время на актуальна для Django, поскольку мы лишь помещаем URL - в заголовок ответа Location, а браузеры в них игнорируют - код JavaScript.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0221">CVE-2015-0221</a> - -<p>- Отказ в обслуживании в django.views.static.serve</p> - - <p>В предыдущих версиях Django вид django.views.static.serve() считывал - передаваемые файлы по одной строке за раз. Поэтому большой файл без символов - новой строки приводил к использованию объёма памяти равного этому файлу. - Злоумышленник может использовать эту проблему и вызвать отказ в обслуживании - путём одновременного запроса множества больших файлов. Теперь указанный вид выполняет чтение - файла по кускам, что предотвращает использование большого количества памяти.</p> - - <p>Тем не менее, заметьте, что этот вид содержит предупреждение о том, что он - недостаточно безопасен для использования в серьёзных проектах и должен использоваться только с - целью разработки. Следует провести аудит ваших проектов и - передавать ваши файлы через полноценный внешний - веб-сервер.</p></li> - -</ul> - -<p>Заметьте, что версия Django, используемая в Debian 6 Squeeze, не -подвержена <a href="https://security-tracker.debian.org/tracker/CVE-2015-0222">CVE-2015-0222</a> (Отказ в обслуживании в базе данных с -ModelMultipleChoiceField), поскольку эта возможность отсутствует -в данной версии.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете python-django версии 1.2.3-3+squeeze12</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-143.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-144.wml b/russian/lts/security/2015/dla-144.wml deleted file mode 100644 index e9315fe1cd9..00000000000 --- a/russian/lts/security/2015/dla-144.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В PolarSSL, легковесной библиотеке SSL/TLS, была обнаружена -уязвимость. Удалённый злоумышленник может использовать эту уязвимость с помощью -специально сформированных сертификатов для вызова отказа в обслуживании в -приложении, скомпонованном с указанной библиотекой (аварийная остановка приложения) или -потенциального выполнения произвольного кода.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в polarssl версии 1.2.9-1~deb6u4</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-144.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-145.wml b/russian/lts/security/2015/dla-145.wml deleted file mode 100644 index 31d134c9e99..00000000000 --- a/russian/lts/security/2015/dla-145.wml +++ /dev/null @@ -1,53 +0,0 @@ -#use wml::debian::translation-check translation="e03db691eef0bf1e048da79524a1cbc851b57faf" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Краткое введение</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0237">CVE-2014-0237</a> - - <p>Функция cdf_unpack_summary_info в cdf.c в компоненте Fileinfo - для PHP до версии 5.4.29 в ветке 5.5.x до версии 5.5.13 позволяет - удалённым злоумышленникам вызывать отказ в обслуживании (снижение - производительности) путём многочисленных вызовов file_printf.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0238">CVE-2014-0238</a> - - <p>Функция cdf_read_property_info в cdf.c в компоненте Fileinfo - для PHP до версии 5.4.29 и в ветке 5.5.x до версии 5.5.13 позволяет - удалённым злоумышленникам вызывать отказ в обслуживании (бесконечный цикл - или доступ за пределами выделенного буфера памяти) с помощью вектора, который имеет (1) нулевую - длину, или (2) слишком большую длину.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2270">CVE-2014-2270</a> - - <p>softmagic.c в file до версии 5.17 и libmagic позволяет злоумышленникам в - зависимости от контексте вызывать отказ в обслуживании (доступ за пределами выделенного - буфера памяти и аварийная остановка) с помощью специально сформированных отступов в softmagic - исполняемого файла PE.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8117">CVE-2014-8117</a> - - <ul> - <li>Прекращение вывода сообщений о плохих характеристиках после вывода нескольких первых сообщений.</li> - <li>Ограничение числа программ и номера заголовка раздела у разделов.</li> - <li>Ограничение уровня рекурсии.</li> - </ul></li> - -<li>CVE-2015-TEMP (no official CVE number available yet) - - <ul> - <li>Разыменование null-указателя (ошибки PHP: 68739 68740).</li> - <li>Доступ за пределами выделенного буфера памяти (ошибка file: 398). - Добавлены дополнительные заплаты из <a href="https://security-tracker.debian.org/tracker/CVE-2014-3478">CVE-2014-3478</a>.</li> - </ul></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в php5 версии 5.3.3-7+squeeze24</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-145.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-146.wml b/russian/lts/security/2015/dla-146.wml deleted file mode 100644 index 94da0c0d5c8..00000000000 --- a/russian/lts/security/2015/dla-146.wml +++ /dev/null @@ -1,35 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В krb5, реализации Kerberos от MIT, было обнаружено несколько -уязвимостей:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5352">CVE-2014-5352</a> - - <p>Неправильное управление памятью в библиотеке libgssapi_krb5 может - приводить к отказу в обслуживании или выполнению произвольного кода.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9421">CVE-2014-9421</a> - - <p>Неправильное управление памятью в коде kadmind для обработки данных XDR - может приводить к отказу в обслуживании или выполнению произвольного кода.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9422">CVE-2014-9422</a> - - <p>Неправильная обработка двухкомпонентных серверных субъектов может приводить - к атакам с целью имитации.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9423">CVE-2014-9423</a> - - <p>Утечка информации в библиотеке libgssrpc.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в krb5 версии 1.8.3+dfsg-4squeeze9</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-146.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-147.wml b/russian/lts/security/2015/dla-147.wml deleted file mode 100644 index b41ccf570e0..00000000000 --- a/russian/lts/security/2015/dla-147.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что wpasupplicant может выполнить произвольные -команды при вызове сценариев действий.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в wpasupplicant версии 0.6.10-2.1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-147.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-148.wml b/russian/lts/security/2015/dla-148.wml deleted file mode 100644 index 161a3c9db0d..00000000000 --- a/russian/lts/security/2015/dla-148.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В веб-интерфейсе sympa, менеджере списков рассылки, была обнаружена -уязвимость. Злоумышленник может использовать эту уязвимость в -зоне отправки писем, что позволяет отправлять в список рассылки или -самому себе любой файл, расположенный в файловой системе сервера и открытый для чтения -пользователю sympa.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в sympa версии 6.0.1+dfsg-4+squeeze3</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-148.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-149.wml b/russian/lts/security/2015/dla-149.wml deleted file mode 100644 index 6801e10598c..00000000000 --- a/russian/lts/security/2015/dla-149.wml +++ /dev/null @@ -1,30 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В пакете ntp, реализации протокола сетевого времени, было -обнаружено несколько уязвимостей. Проект Common Vulnerabilities -and Exposures определяет следующие проблемы:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9297">CVE-2014-9297</a> - - <p>Стивен Ротгер из команды безопасности Google, Себастиан Крамер из - команды безопасности SUSE и Харлан Штенн из Network Time Foundation - обнаружили, что значение длины в полях расширения проверяют в нескольких - участках кода в ntp_crypto.c неправильно, что может приводить к - утечке информации или отказу в обслуживании (аварийная остановка ntpd).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9298">CVE-2014-9298</a> - - <p>Стивен Ротгер из команды безопасности Google сообщил, что ACL - на основе адресов IPv6 ::1 можно обойти.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в ntp версии 1:4.2.6.p2+dfsg-1+deb6u2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-149.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-150.wml b/russian/lts/security/2015/dla-150.wml deleted file mode 100644 index b2f56de8f8c..00000000000 --- a/russian/lts/security/2015/dla-150.wml +++ /dev/null @@ -1,18 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В функции test_compr_eb() была обнаружена уязвимость, позволяющая получать доступ для -чтения и записи за пределами выделенных областей памяти. При помощи специально сформированного -повреждённого архива ZIP злоумышленник может вызвать переполнение динамической памяти, приводящее -к аварийной остановке приложения или потенциально оказать какое-то другое влияние на безопасность.</p> - - -<p>Кроме того, данное обновление исправляет неполную заплату, применённую для решения -<a href="https://security-tracker.debian.org/tracker/CVE-2014-8139">CVE-2014-8139</a>. Эта заплата привела к регессу с выполняемыми файлами jar.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в unzip версии 6.0-4+deb6u2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-150.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-151.wml b/russian/lts/security/2015/dla-151.wml deleted file mode 100644 index 2bf4100b0e3..00000000000 --- a/russian/lts/security/2015/dla-151.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что обновление, выпущенное для libxml2 в <a href="../2014/dsa-2978">DSA 2978</a> и исправляющее -<a href="https://security-tracker.debian.org/tracker/CVE-2014-0191">CVE-2014-0191</a>, неполно. Это приводит к тому, что libxml2 всё ещё загружает -внешние сущности, независимо от того, включена подстановка сущностей или соответствующая проверка -или нет.</p> - -<p>Кроме того, данное обновление исправляет регресс, возникший после <a href="../2014/dsa-3057">DSA 3057</a> из-за -заплаты, исправляющей <a href="https://security-tracker.debian.org/tracker/CVE-2014-3660">CVE-2014-3660</a>. Этот регресс приводит к тому, что libxml2 -не выполняет грамматический разбор сущности, когда она впервые используется в другой сущности путём указания из -значения атрибута.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в libxml2 версии 2.7.8.dfsg-2+squeeze11</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-151.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-152.wml b/russian/lts/security/2015/dla-152.wml deleted file mode 100644 index 92a465bf7de..00000000000 --- a/russian/lts/security/2015/dla-152.wml +++ /dev/null @@ -1,45 +0,0 @@ -#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В PostgreSQL, серверной системе реляционных баз данных, было обнаружено -несколько уязвимостей. Поддержка ветки 8.4 в основной ветке разработки прекращена, но она -всё ещё имеется в Debian squeeze. Эта новая младшая версия LTS содержит -исправления, которые были применены в основной ветке разработки к версии 9.0.19, они были адаптированы -к версии 8.4.22, которая является последней версией, официально выпущенной разработчиками -PostgreSQL. Поддержка в squeeze-lts является проектом сообщества, который -спонсируется credativ GmbH.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8161">CVE-2014-8161</a> - -<p>Утечка информации. -Пользователь, имеющий ограниченный допуск к таблице, может получить доступ к информации -в столбцах, не имея для них прав SELECT, используя серверные сообщения об ошибках.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0241">CVE-2015-0241</a> - -<p>Чтение/запись за пределами буфера. -Функция to_char() может выполнять чтение/запись за границами буфера. Это -может приводить к аварийной остановке сервера при обработке форматирования шаблона.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0243">CVE-2015-0243</a> - -<p>Переполнения буфера в contrib/pgcrypto. -Модуль pgcrypto уязвим к переполнению буфера, которое может приводить к -аварийной остановке сервера.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0244">CVE-2015-0244</a> - -<p>Инъекция команд SQL. -Эмиль Леннгрен сообщил, что злоумышленник может вводить команды SQL в случае, когда -теряется синхронизация между клиентом и сервером.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в postgresql-8.4 версии 8.4.22lts1-0+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-152.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-153.wml b/russian/lts/security/2015/dla-153.wml deleted file mode 100644 index 98ad3a0b37d..00000000000 --- a/russian/lts/security/2015/dla-153.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Сломанная (или специально сформированная) файловая система может вызвать переполнение -буфера в e2fsprogs.</p> - -<p>Данное обновление было подготовлено Нгуеном Конгом.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в e2fsprogs версии 1.41.12-4+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-153.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-154.wml b/russian/lts/security/2015/dla-154.wml deleted file mode 100644 index 36764079a7b..00000000000 --- a/russian/lts/security/2015/dla-154.wml +++ /dev/null @@ -1,27 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>nss 3.12.8-1+squeeze11 исправляет две проблемы безопасности:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3389">CVE-2011-3389</a> - - <p>Соединения SSL 3.0 и TLS 1.0 уязвимы к некоторым избранным - атакам через открытый текст, что позволяет злоумышленникам, использующим принципы атаки человек-в-середине, - получать HTTP-заголовки в виде открытого текста из сессии HTTPS. Эта проблема известна как - атака <q>BEAST</q>.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1569">CVE-2014-1569</a> - - <p>Возможная утечка информации при слишком нестрогом ASN.1 DER декодировании - длины.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в nss версии 3.12.8-1+squeeze11</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-154.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-155.wml b/russian/lts/security/2015/dla-155.wml deleted file mode 100644 index 2ea46a0a15c..00000000000 --- a/russian/lts/security/2015/dla-155.wml +++ /dev/null @@ -1,95 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В данном обновлении исправлены описываемые ниже CVE.</p> - -<p>Была рассмотрена ещё одна проблема, <a href="https://security-tracker.debian.org/tracker/CVE-2014-9419">CVE-2014-9419</a>, но, как кажется, для -её исправления требуется внести существенные изменения, имеющие высокий риск последующей регрессии. Скорее -всего она не будет исправлена в squeeze-lts.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6885">CVE-2013-6885</a> - - <p>Было обнаружено, что при определённых обстоятельствах комбинация - операций записи в память комбинированной записи и блокировка инструкций - ЦП может вызвать зависание ядра процессора на процессорах AMD 16h с 00h - по 0Fh. Локальный пользователь может использовать эту уязвимость для вызова отказа - в обслуживании (зависание системы) с помощью специально сформированного приложения.</p> - - <p>За дополнительной информации обращайтесь к информации об ошибках AMD CPU номер 793 по адресу - <a href="http://support.amd.com/TechDocs/51810_16h_00h-0Fh_Rev_Guide.pdf">http://support.amd.com/TechDocs/51810_16h_00h-0Fh_Rev_Guide.pdf</a></p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7822">CVE-2014-7822</a> - - <p>Было обнаружено, что системный вызов splice() не выполняет проверку - отступа и длины данного файла. Локальный непривилегированный пользователь может использовать - эту уязвимость для повреждения файловой системы на разделах с файловой системой ext4 либо - для других потенциальных действий.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8133">CVE-2014-8133</a> - - <p>Было обнаружено, что функциональность espfix можно обойти путём - установки 16-битного RW-сегмента данных в GDT вместо LDT (что - проверяется espfix) и использования его в качестве стека. Локальный непривилегированный пользователь - потенциально может использовать эту уязвимость для вызова утечки адресов стека ядра.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8134">CVE-2014-8134</a> - - <p>Было обнаружено, что функциональность espfix ошибочно отключается в - 32-битной гостевой системе KVM. Локальный непривилегированный пользователь потенциально - может использовать эту уязвимость для вызова утечки адресов стека ядра.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8160">CVE-2014-8160</a> - - <p>Было обнаружено, что правило netfilter (iptables или ip6tables), - принимающее пакеты на отдельных портах и конечных точках SCTP, DCCP, GRE - и UDPlite может приводить к некорректному состоянию отслеживания соединения. - Если загружен только общий модуль отслеживания соединения (nf_conntrack), - а не модуль отслеживания соединения для конкретного протокола, - то это может позволить получить доступ к любому порту или конечной точке этого - протокола.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9420">CVE-2014-9420</a> - - <p>Было обнаружено, что реализация файловой системы ISO-9660 (isofs) - следует по цепочкам произвольной длины (включая циклы) пунктов - продолжения (CE). Это позволяет локальным пользователям вызывать отказ в - обслуживании с помощью специально сформированного образа диска.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9584">CVE-2014-9584</a> - - <p>Было обнаружено, что реализация файловой системы ISO-9660 (isofs) - не выполняет проверку длины значения в поле системного использования - ссылок расширений (ER), что позволяет локальным пользователям получать чувствительную - информацию из памяти ядра с помощью специально сформированного образа диска.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9585">CVE-2014-9585</a> - - <p>Было обнаружено, что рандомизация адресов для vDSO в - 64-битных процессах чрезвычайно предсказуема. Локальный непривилегированный пользователь - потенциально может использовать эту уязвимость для обхода механизма - защиты ASLR.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1421">CVE-2015-1421</a> - - <p>Было обнаружено, что реализация SCTP может освободить состояние - аутентификации в то время, как оно ещё используется, что приводит к повреждению содержимого - памяти. Это может позволить удалённым пользователям вызвать отказ в - обслуживании или повышение привилегий.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1593">CVE-2015-1593</a> - - <p>Было обнаружено, что рандомизация адресов начального стека в - 64-битных процессах ограничена 20, а не 22 битами энтропии. - Локальный непривилегированный пользователь потенциально может использовать эту уязвимость для - обхода механизма защиты ASLR.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете linux-2.6 версии 2.6.32-48squeeze11</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-155.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-156.wml b/russian/lts/security/2015/dla-156.wml deleted file mode 100644 index ba3b9ba46c1..00000000000 --- a/russian/lts/security/2015/dla-156.wml +++ /dev/null @@ -1,20 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Ричард ван Иден из Microsoft Vulnerability Research обнаружил, что -Samba, файловый сервер, сервер печати и аутентификации SMB/CIFS для Unix, содержит -уязвимость в серверном коде netlogon, которая позволяет удалённо выполнять код с -правами суперпользователя из неаутентифицированного подключения.</p> - -<p>В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в -версии 2:3.5.6~dfsg-3squeeze12.</p> - -<p>В стабильном выпуске (wheezy) эта проблема была исправлена в -версии 2:3.6.6-6+deb7u5.</p> - -<p>Рекомендуется обновить пакеты samba.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-156.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-157.wml b/russian/lts/security/2015/dla-157.wml deleted file mode 100644 index d1a4d763c8a..00000000000 --- a/russian/lts/security/2015/dla-157.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В OpenJDK, реализации платформы Oracle Java, было обнаружено несколько -уязвимостей, которые приводят к выполнению произвольного -кода, раскрытию информации или отказу в обслуживании.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в openjdk-6 версии 6b34-1.13.6-1~deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-157.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-158.wml b/russian/lts/security/2015/dla-158.wml deleted file mode 100644 index 49a149eac6e..00000000000 --- a/russian/lts/security/2015/dla-158.wml +++ /dev/null @@ -1,39 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Request Tracker, расширяемой системе отслеживания билетов, были -обнаружены многочисленные уязвимости. Проект Common Vulnerabilities -and Exposures определяет следующие проблемы:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9472">CVE-2014-9472</a> - - <p>Кристиан Лоос обнаружил вызываемый удалённо отказ в обслуживании, - который может использоваться через узел электронной почты и который касается любой установки, - принимающей почту из недоверенных источников. В зависимости от настроек журналирования - в RT удалённый злоумышленник может использовать - данную уязвимость для чрезмерного потребления ресурсов ЦП и пространства на диске.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1165">CVE-2015-1165</a> - - <p>Кристиан Лоос обнаружил раскрытие информации, которое может приводить к - раскрытию URL RSS-лент и, таким образом, данных билетов.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1464">CVE-2015-1464</a> - - <p>Было обнаружено, что URL RSS-лент могут использоваться для хищения - сессии, позволяя пользователю, имеющему соответствующий URL, входить от лица - пользователя, создавшего ленту.</p></li> - -</ul> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены -в версии 3.8.8-7+squeeze9.</p> - -<p>Рекомендуется обновить пакеты request-tracker3.8.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-158.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-159.wml b/russian/lts/security/2015/dla-159.wml deleted file mode 100644 index a8e9ef9ff99..00000000000 --- a/russian/lts/security/2015/dla-159.wml +++ /dev/null @@ -1,20 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Петер Де Вахтер обнаружил, что CUPS, общая система печати UNIX, -неправильно выполняет грамматической разбор сжатых растерных файлов. Передавая -специально сформированный растерный файл, удалённый злоумышленник может использовать эту -уязвимость для вызова переполнения буфера.</p> - -<p>В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в -версии 1.4.4-7+squeeze7.</p> - -<p>В стабильном выпуске (wheezy) эта проблема была исправлена в -версии 1.5.3-5+deb7u5.</p> - -<p>Рекомендуется обновить пакеты cups.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-159.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-160.wml b/russian/lts/security/2015/dla-160.wml deleted file mode 100644 index 4f030d38eb3..00000000000 --- a/russian/lts/security/2015/dla-160.wml +++ /dev/null @@ -1,42 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет описанные ниже CVE.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0106">CVE-2014-0106</a> - - <p>Тодд Миллер сообщил, что если опция env_reset отключена в - файле sudoers, то опция env_delete неправильно применяется - к переменным окружения, указанным в командной строке. Злоумышленник - с правами на использование sudo может запустить произвольные - команды с повышенными правами доступа путём изменения окружения - команды, которую этому пользователю разрешено запускать.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9680">CVE-2014-9680</a> - - <p>Якуб Вилк сообщил, что sudo сохраняет переменную TZ из пользовательского - окружения без какой-либо её очистки. Пользователь с доступом к sudo - может использовать это для того, чтобы использовать ошибки в функциях библиотеки - C, которые выполняют грамматический разбор переменной окружения TZ, или для открытия - файлов, которые в противном случае этому пользователю открывать - нельзя. Последнее может потенциально вызвать изменения - в поведении системы при чтении определённых - специальных файлов устройств или вызвать блокировку запуска программы - через sudo.</p></li> - -</ul> - -<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены -в версии 1.7.4p4-2.squeeze.5.</p> - -<p>В стабильном выпуске (wheezy) они были исправлены в версии -1.8.5p2-1+nmu2.</p> - -<p>Рекомендуется обновить пакеты sudo.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-160.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-161.wml b/russian/lts/security/2015/dla-161.wml deleted file mode 100644 index ef4a4652d4a..00000000000 --- a/russian/lts/security/2015/dla-161.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что libgtk2-perl, интерфейс Perl к библиотеке набора инструментов -Gimp серии 2.x, ошибочно освобождает память, с которой ещё работает GTK+ -и к которой он может позже обратиться, что приводит к отказу в обслуживании -(аварийная остановка приложения) или потенциальному выполнению произвольного кода.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в libgtk2-perl версии 2:1.222-1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-161.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-162.wml b/russian/lts/security/2015/dla-162.wml deleted file mode 100644 index c3e53e14ae5..00000000000 --- a/russian/lts/security/2015/dla-162.wml +++ /dev/null @@ -1,24 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Жозе Дуарт из команды безопасности Google обнаружил переполнение буфера в -e2fsprogs, наборе утилит для файловых систем ext2, ext3 и -ext4. Эта проблема потенциально может приводить к выполнению произвольного кода в случае, если -подключено специально подготовленное устройство, система настроена -на его автоматическое монтирование, а процесс монтирования решает запустить fsck -для проверки файловой системы указанного устройства.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1572">CVE-2015-1572</a> - - <p>Неполное исправление <a href="https://security-tracker.debian.org/tracker/CVE-2015-0247">CVE-2015-0247</a>.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в e2fsprogs версии 1.41.12-4+deb6u2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-162.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-163.wml b/russian/lts/security/2015/dla-163.wml deleted file mode 100644 index 98791ab6c56..00000000000 --- a/russian/lts/security/2015/dla-163.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Ян-Пит Менс обнаружил, что DNS-сервер BIND аварийно завершает свою работу при -обработке некорректных смен ключей DNSSEC либо из-за ошибки в -части оператора зоны, либо из-за вмешательства сетевого трафика -злоумышленника. Данная проблема касается настроек с директивами -"dnssec-validation auto;" (в Debian она включена -по умолчанию) или "dnssec-lookaside auto;".</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в bind9 версии 1:9.7.3.dfsg-1~squeeze14</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-163.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-164.wml b/russian/lts/security/2015/dla-164.wml deleted file mode 100644 index aa72d74f229..00000000000 --- a/russian/lts/security/2015/dla-164.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Якуб Вилк обнаружил, что unace, утилита для распаковки, тестирования и просмотра -архивов .ace, содержит переполнение динамической памяти, приводящее к переполнению -буфера. Если пользователь или автоматизированная система запускают обработку -специально сформированного архива ace, злоумышленник может вызвать отказ в обслуживании -(аварийная остановка приложения) или потенциально выполнить произвольный код.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в unace версии 1.2b-7+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-164.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-165.wml b/russian/lts/security/2015/dla-165.wml deleted file mode 100644 index 62276aeef1a..00000000000 --- a/russian/lts/security/2015/dla-165.wml +++ /dev/null @@ -1,129 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В eglibc, версии библиотеки GNU C для Debian, было обнаружено несколько -уязвимостей.</p> - -<ul> - -<li>#553206, -<a href="https://security-tracker.debian.org/tracker/CVE-2015-1472">CVE-2015-1472</a>, -<a href="https://security-tracker.debian.org/tracker/CVE-2015-1473">CVE-2015-1473</a> - - <p>Семейство функций scanf неправильно ограничивает выделение - стека, что позволяет злоумышленникам в зависимости от контекста вызывать - отказ в обслуживании (аварийная остановка) или потенциально выполнять произвольный код.</p> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3405">CVE-2012-3405</a> - - <p>Семейство функций printf неправильно вычисляет длину - буфера, что позволяет злоумышленникам в зависимости от контекста обходить - механизм защиты форматной строки FORTIFY_SOURCE и вызывать - отказ в обслуживании.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3406">CVE-2012-3406</a> - - <p>Семейство функций printf неправильно ограничивает выделение - стека, что позволяет злоумышленникам в зависимости от контекста обходить - механизм защиты форматной строки FORTIFY_SOURCE и вызывать - отказ в обслуживании (аварийная остановка) или потенциально выполнять произвольный код с помощью - специально сформированной форматной строки.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3480">CVE-2012-3480</a> - - <p>Многочисленные переполнения целых чисел в strtod, strtof, strtold, - strtod_l и других связанных функциях позволяют локальным пользователям вызывать - отказ в обслуживании (аварийная остановка приложения) и потенциально выполнять - произвольный код с помощью длинных строк, вызывающих переполнение - буфера.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4412">CVE-2012-4412</a> - - <p>Переполнение целых чисел в функциях strcoll и wcscoll позволяют - злоумышленникам в зависимости от контекста вызывать отказ в обслуживании (аварийная остановка) - или потенциально выполнять произвольный код с помощью длинных строк, вызывающих - переполнение динамической памяти.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4424">CVE-2012-4424</a> - - <p>Переполнение буфера в функциях strcoll и wcscoll - позволяет злоумышленникам в зависимости от контекста вызывать отказ в обслуживании - (аварийная остановка) или потенциально выполнять произвольный код с помощью длинных строк, - вызывающих ошибку malloc и использование функции alloca.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0242">CVE-2013-0242</a> - - <p>Переполнение буфера в функции extend_buffers в коде сравнения - для регулярных выражений позволяет злоумышленникам в зависимости от контекста вызывать - отказ в обслуживании (повреждение содержимого памяти и аварийная остановка) с помощью специально - сформированных многобайтовых символов.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1914">CVE-2013-1914</a>, - <a href="https://security-tracker.debian.org/tracker/CVE-2013-4458">CVE-2013-4458</a> - - <p>Переполнение буфера в функции getaddrinfo позволяет - удалённым злоумышленникам вызывать отказ в обслуживании (аварийная остановка) с помощью - имени узла или IP адреса, которые при их обработке кодом для преобразования домена - приводят к порождению большого числа результатов преобразования.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4237">CVE-2013-4237</a> - - <p>readdir_r позволяет злоумышленникам в зависимости от контекста вызывать отказ в - обслуживании (запись за пределами выделенного буфера памяти и аварийная остановка) или потенциально выполнять - произвольный код с помощью специально подготовленного образа NTFS или службы CIFS.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4332">CVE-2013-4332</a> - - <p>Многочисленные переполнения целых чисел в malloc/malloc.c позволяют - злоумышленникам в зависимости от контекста вызывать отказ в обслуживании (повреждение - содержимого динамической памяти) с помощью большого значения, передаваемого функциям pvalloc, - valloc, posix_memalign, memalign или aligned_alloc.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4357">CVE-2013-4357</a> - - <p>Функции getaliasbyname, getaliasbyname_r, getaddrinfo, getservbyname, - getservbyname_r, getservbyport, getservbyport_r и glob - неправильно ограничивают выделение стека, что позволяет - злоумышленникам в зависимости от контекста вызывать отказ в обслуживании (аварийная остановка) - или потенциально выполнять произвольный код.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4788">CVE-2013-4788</a> - - <p>Если библиотека GNU C статически скомпонована в выполняемый файл, - то реализация PTR_MANGLE не выполняет инициализацию случайного значения - для защитника указателей, поэтому различные механизмы повышения уровня защищённости - оказываются неэффективными.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7423">CVE-2013-7423</a> - - <p>Функция send_dg в resolv/res_send.c неправильно повторно использует - файловые дескрипторы, что позволяет удалённым злоумышленника отсылать - DNS-запросы в неожиданные места с помощью большого числа запросов, приводящих - к вызову функции getaddrinfo.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7424">CVE-2013-7424</a> - - <p>Функция getaddrinfo может попытаться освободить некорректный указатель - при обработке IDN (интернационализированных имён доменов), что позволяет - удалённым злоумышленникам вызывать отказ в обслуживании (аварийная остановка) или потенциально - выполнять произвольный код.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4043">CVE-2014-4043</a> - - <p>Функция posix_spawn_file_actions_addopen не выполняет копирование аргумента - пути в соответствии со спецификацией POSIX, что - позволяет злоумышленникам в зависимости от контекста вызывать использование - указателей после освобождения памяти.</p></li> - -</ul> - -<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены -в версии 2.11.3-4+deb6u5.</p> - -<p>В стабильном выпуске (wheezy) эти проблемы были исправлены в -версии 2.13-38+deb7u8 или более ранних.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-165.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-166.wml b/russian/lts/security/2015/dla-166.wml deleted file mode 100644 index 0307203f0bf..00000000000 --- a/russian/lts/security/2015/dla-166.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Александр Черепанов обнаружил, что bsdcpio, реализация -программы <q>cpio</q> из проекта libarchive, может содержать уязвимость, -приводящую к обходу каталога через абсолютные пути.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в libarchive версии 2.8.4.forreal-1+squeeze3</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-166.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-167.wml b/russian/lts/security/2015/dla-167.wml deleted file mode 100644 index 51680a4e65b..00000000000 --- a/russian/lts/security/2015/dla-167.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Коусуке Эбихара обнаружил, что redcloth, модуль Ruby для -преобразования разметки Textile в HTML, неправильно выполняет очистку -входных данных. Это позволяет удалённому злоумышленнику выполнять атаки по принципу -межсайтового скриптинга путём инъекции произвольного кода на языке JavaScript в -создаваемый HTML-код.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в redcloth версии 4.2.2-1.1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-167.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-168.wml b/russian/lts/security/2015/dla-168.wml deleted file mode 100644 index bb104443ab1..00000000000 --- a/russian/lts/security/2015/dla-168.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что Konversation, клиент IRC для KDE, может -аварийно завершить свою работу при получении специально сформированных сообщений, использующих шифрование FiSH.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в konversation версии 1.3.1-2+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-168.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-169.wml b/russian/lts/security/2015/dla-169.wml deleted file mode 100644 index c7499928d68..00000000000 --- a/russian/lts/security/2015/dla-169.wml +++ /dev/null @@ -1,20 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - <p>В axis, реализации SOAP на Java, была исправлена уязвимость:</p> - - <p>Функция getCN в Apache Axis 1.4 и более ранних версиях неправильно выполняет - проверку того, что имя узла сервера совпадает с именем домена в теме Common Name - (CN) или поле subjectAltName сертификата X.509, что позволяет - злоумышленникам, использующим принцип человек-в-середине, выдавать себя за серверы SSL с помощью сертификата с - темой, определяющей общее имя в поле, которое не является полем CN.</p> - - <p>Благодарим Маркуса Кошани за предоставление исправленного пакета, а также Дэвида Йорма - и Аруна Ниликатту (Red Hat Product Security) за предоставление заплаты.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в axis версии 1.4-12+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-169.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-170.wml b/russian/lts/security/2015/dla-170.wml deleted file mode 100644 index a1a2bcafca4..00000000000 --- a/russian/lts/security/2015/dla-170.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Томас Клюте обнаружил, что ошибка в mod-gnutls, модуле для Apache, предоставляющем -шифрование SSL и TLS с помощью GnuTLS, приводит к тому, что серверный режим -проверки клиента вообще не запускается в том случае, если не выбраны настройки -каталога. Клиенты с некорректными сертификатами способны -использовать эту уязвимость для того, чтобы получить доступ к этому каталогу.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в mod-gnutls версии 0.5.6-1+squeeze2</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-170.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-171.wml b/russian/lts/security/2015/dla-171.wml deleted file mode 100644 index 64c7eac4197..00000000000 --- a/russian/lts/security/2015/dla-171.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Мариуш Зилек сообщил, что libssh2, клиентская библиотека SSH2, считывает -и использует пакет SSH_MSG_KEXINIT без выполнения необходимых проверок -границ массива при согласовании новой сессии SSH с удалённым сервером. Злоумышленник -может выполнить атаку по принципу человек-в-середине и выдать себя за сервер, что -приведёт к аварийному завершению работы клиента, использующего библиотеку libssh2 (отказ в обслуживании) или -к чтению и использованию неправильных областей памяти этим процессом.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в libssh2 версии 1.2.6-1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-171.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-172.wml b/russian/lts/security/2015/dla-172.wml deleted file mode 100644 index 37efad5b415..00000000000 --- a/russian/lts/security/2015/dla-172.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Добавление заплат 633974b2759d9b92 и 4540e7102b803624 из основной ветки разработки для -удаления символа и преобразования типов YAML в коде для грамматического разбора XML.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в libextlib-ruby версии 0.9.13-2+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-172.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-173.wml b/russian/lts/security/2015/dla-173.wml deleted file mode 100644 index cdabf993857..00000000000 --- a/russian/lts/security/2015/dla-173.wml +++ /dev/null @@ -1,23 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>MATTA-2015-002</p> - - <p>Флорен Даигни обнаружил, что PuTTY не устанавливает принудительно - допустимый ряд серверных значений по протоколу Диффи-Хеллмана, как то требуется по - RFC 4253, что в случае слабого сервера потенциально позволяет создать - подслушиваемые соединения.</p> - -<p>#779488, -<a href="https://security-tracker.debian.org/tracker/CVE-2015-2157">CVE-2015-2157</a></p> - - <p>Патрик Коулман обнаружил, что PuTTY не очищает информацию о закрытом ключе - SSH-2 из памяти при загрузке и сохранении файлов ключей, что - может приводить к раскрытию закрытого ключа.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в putty версии 0.60+2010-02-20-1+squeeze3</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-173.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-174.wml b/russian/lts/security/2015/dla-174.wml deleted file mode 100644 index c3f2be5dedf..00000000000 --- a/russian/lts/security/2015/dla-174.wml +++ /dev/null @@ -1,30 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено несколько уязвимостей в способе, используемом tcpdump для -обработки некоторых протоколов принтеров. Эти проблемы могут приводить к отказу -в обслуживании или потенциальному выполнению произвольного кода.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0261">CVE-2015-0261</a> - - <p>Отсутствие проверок границ в принтере IPv6 Mobility</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2154">CVE-2015-2154</a> - - <p>Отсутствие проверок границ в принтере ISOCLNS</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2155">CVE-2015-2155</a> - - <p>Отсутствие проверок границ в принтере ForCES</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в tcpdump версии tcpdump_4.1.1-1+deb6u2</p> -<p>Благодарим Ромена Франсуа, подготовившего данное обновление.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-174.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-175.wml b/russian/lts/security/2015/dla-175.wml deleted file mode 100644 index 05ba26b0b48..00000000000 --- a/russian/lts/security/2015/dla-175.wml +++ /dev/null @@ -1,41 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В GnuPG, GNU Privacy Guard, были обнаружены многочисленные уязвимости:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3591">CVE-2014-3591</a> - - <p>Функция расшифровки Elgamal может быть подвержена атаке через сторонний - канал, что было обнаружено исследователями из Тель-Авивского университете. Для того чтобы - противостоять этой проблеме, была включена маскировка шифротекста. Заметьте, что это сильно - влияет на производительность расшифровки Elgamal.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0837">CVE-2015-0837</a> - - <p>Функция mpi_powm() для модульного потенцирования может быть подвержена атаке - через сторонний канал, что вызвано вариациями таймингов в зависимости от данных при - обращении к внутренней предварительно вычисленной таблице.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1606">CVE-2015-1606</a> - - <p>Код для грамматического разбора брелоков ключей неправильно отклоняет определённые типы пакетов, - не относящихся к брелоку, что приводит к обращению к памяти, которая уже была - освобождена. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании - (аварийная остановка) с помощью специально сформированных файлов брелоков ключей.</p></li> - -</ul> - -<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в -версии 1.4.10-4+squeeze7.</p> - -<p>В стабильном выпуске (wheezy) эти проблемы были исправлены в -версии 1.4.12-7+deb7u7.</p> - -<p>Рекомендуется обновить пакеты gnupg.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-175.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-176.wml b/russian/lts/security/2015/dla-176.wml deleted file mode 100644 index 27bf435c1c8..00000000000 --- a/russian/lts/security/2015/dla-176.wml +++ /dev/null @@ -1,31 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В TLS-стеке Mono были исправлены три проблемы.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2318">CVE-2015-2318</a> - - <p>Реализация стека SSL/TLS в Mono не выполняет проверку - порядка сообщений при рукопожатии. Это позволяет осуществлять - различные атаки на протокол. ("SKIP-TLS")</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2319">CVE-2015-2319</a> - - <p>Реализация SSL/TLS в Mono содержит поддержку для - слабых шифров EXPORT и подвержена атаке FREAK.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2320">CVE-2015-2320</a> - - <p>Mono содержит код для отката к SSLv2, который более не требуется - и может считаться небезопасным.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в mono версии 2.6.7-5.1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-176.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-177.wml b/russian/lts/security/2015/dla-177.wml deleted file mode 100644 index 81200e08f39..00000000000 --- a/russian/lts/security/2015/dla-177.wml +++ /dev/null @@ -1,52 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружены -многочисленные уязвимости. Проект Common Vulnerabilities and Exposures -определяет следующие проблемы:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0209">CVE-2015-0209</a> - - <p>Было обнаружено, что некорректный закрытый ключ EC может приводить к - повреждению содержимого памяти.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0286">CVE-2015-0286</a> - - <p>Стивен Хэнсон обнаружил, что функция ASN1_TYPE_cmp() может - аварийно завершить свою работу, что приводит к отказу в обслуживании.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0287">CVE-2015-0287</a> - - <p>Эмилия Кэспер обнаружила повреждение содержимого памяти при выполнении грамматического разбора ASN.1.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0288">CVE-2015-0288</a> - - <p>Было обнаружено, что отсутствие очистки входных данных в функции - X509_to_X509_REQ() может приводить к отказу в обслуживании.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0289">CVE-2015-0289</a> - - <p>Михал Залевски обнаружил разыменование NULL-указателей в коде для выполнения - грамматического разбора PKCS#7, которое приводит к отказу в обслуживании.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0292">CVE-2015-0292</a> - - <p>Было обнаружено, что отсутствие очистки входных данных в коде для декодирования base64 - может приводить к повреждению содержимого памяти.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0293">CVE-2015-0293</a> - - <p>Злоумышленник путём отправки специально сформированного SSLv2-сообщения CLIENT-MASTER-KEY - может вызвать OPENSSL_assert (т. е., принудительное прекращение работы) на - сервере, поддерживающем SSLv2, и на котором включена возможность экспорта шифров.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в openssl версии 0.9.8o-4squeeze20</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-177.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-178.wml b/russian/lts/security/2015/dla-178.wml deleted file mode 100644 index 53ae3dbd608..00000000000 --- a/russian/lts/security/2015/dla-178.wml +++ /dev/null @@ -1,30 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Tor, системе анонимного взаимодействия с низкой задержкой на -основе соединений, было обнаружено несколько проблем.</p> - - <p>Jowr обнаружил, что очень высокая загрузка по DNS-запросам на узле может - вызвать ошибку утверждения.</p> - - <p>Узел может аварийно завершить работу с ошибкой утверждения в том случае, если функции - buf_pullup() будет передан буфер с неправильной разметкой в - неподходящее время.</p> - - <p>При отправлении адреса выбранной точки встречи скрытому сервису - клиенты этого сервиса раскрываются в том случае, если они используют - системы с порядком байтов от младшего к старшему или от старшего к младшему.</p> - -<p>Кроме того, данное обновление отключает поддержку SSLv3 в Tor. Все -версии OpenSSL, используемые в настоящее время в Tor поддерживают TLS 1.0 и более поздних версиях.</p> - -<p>Также данный выпуск содержит обновление базы данных geoIP, используемой Tor, -а также обновление списка каталогов авторитетных серверов, которые клиенты Tor используют -для запуска и которым доверяют подписание документа согласия каталога Tor.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в tor версии 0.2.4.26-1~deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-178.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-180.wml b/russian/lts/security/2015/dla-180.wml deleted file mode 100644 index 794e2cb5b8f..00000000000 --- a/russian/lts/security/2015/dla-180.wml +++ /dev/null @@ -1,32 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В GnuTLS, библиотеке, реализующей протоколы TLS и SSL, были обнаружены -многочисленные уязвимости. Проект Common Vulnerabilities and -Exposures определяет следующие проблемы:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8155">CVE-2014-8155</a> - - <p>Отсутствие проверок даты/времени для сертификатов CA</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0282">CVE-2015-0282</a> - - <p>GnuTLS не выполняет проверку совпадения алгоритма подписи RSA PKCS #1 с - алгоритмом подписи в сертификате, что приводит к потенциальному - использованию запрещённого алгоритма без определения этой ситуации.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0294">CVE-2015-0294</a> - - <p>GnuTLS не выполняет проверку того, что два алгоритма подписи совпадают - при импорте сертификата.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в gnutls26 версии 2.8.6-1+squeeze5</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-180.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-181.wml b/russian/lts/security/2015/dla-181.wml deleted file mode 100644 index bb83d1996f1..00000000000 --- a/russian/lts/security/2015/dla-181.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Антон Рэйджер и Джонатан Броссар из команды безопасности продуктов -Salesforce.com, а также Бен Лоури из Google обнаружили отказ в обслуживании -в xerces-c, библиотеке для грамматического разбора и проверки XML для C++. Код, -выполняющий грамматический разбор, неправильно обрабатывает некоторые виды некорректных входных документов, что приводит -к ошибке сегментирования в ходе грамматического разбора. Неаутентифицированный -злоумышленник может использовать данную уязвимость для вызова аварийной остановки приложения, -использующего библиотеку xerces-c.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в xerces-c версии 3.1.1-1+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-181.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-182.wml b/russian/lts/security/2015/dla-182.wml deleted file mode 100644 index 69c703819f3..00000000000 --- a/russian/lts/security/2015/dla-182.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Николас Грегори и Кевин Шаллер обнаружили, что Batik, набор инструментов -для обработки изображений в формате SVG, по умолчанию загружает внешние -сущности XML. Если пользователь или автоматизированная система открывают -специально сформированный файл SVG, злоумышленник может получить доступ -к произвольным файлам или вызвать чрезмерное потребление ресурсов.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в batik версии 1.7-6+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-182.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-183.wml b/russian/lts/security/2015/dla-183.wml deleted file mode 100644 index c2d14dc4bd2..00000000000 --- a/russian/lts/security/2015/dla-183.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Илья ван Шпрундель, Алан Куперсмит и Уильям Робине обнаружили -многочисленные проблемы в коде libxfont для обработки шрифтов BDF, которые могут -приводить к повышению привилегий.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в libxfont версии 1:1.4.1-5+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-183.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-184.wml b/russian/lts/security/2015/dla-184.wml deleted file mode 100644 index 629fa72e529..00000000000 --- a/russian/lts/security/2015/dla-184.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В binutils, наборе инструментов для работы с двоичными файлами, были -обнаружены многочисленные уязвимости. Уязвимости включают в себя многочисленные ошибки целостности -содержимого памяти, переполнения буфера, использования указателей после освобождения памяти и другие -ошибки реализации, которые могут приводить к выполнению произвольного кода, обходу ограничений -безопасности, обходу каталога или отказам в обслуживании.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в binutils версии 2.20.1-16+deb6u1</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-184.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-185.wml b/russian/lts/security/2015/dla-185.wml deleted file mode 100644 index fbf428b1440..00000000000 --- a/russian/lts/security/2015/dla-185.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Матеуш Юржик обнаружил многочисленные уязвимости в Freetype. Открытие -специально сформированных шрифтов может приводить к отказу в обслуживании или выполнению -произвольного кода.</p> - -<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены -в версии 2.4.2-2.1+squeeze5.</p> - -<p>В стабильном выпуске (wheezy) эти проблемы были исправлены в -версии 2.4.9-1.1+deb7u1.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-185.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-186.wml b/russian/lts/security/2015/dla-186.wml deleted file mode 100644 index 59024c151a0..00000000000 --- a/russian/lts/security/2015/dla-186.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Mailman, менеджере списков рассылки, был обнаружен -обход пути. Установки, использующие сценарии передачи почты (такие как -postfix-to-mailman.py) для взаимодействия с MTA вместо статичных -псевдонимов, уязвимы к обходу пути. Для успешного использования -данной проблемы злоумышленнику требуется доступ с правами на запись в локальной файловой системе.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в mailman версии 1:2.1.13-6</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-186.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-187.wml b/russian/lts/security/2015/dla-187.wml deleted file mode 100644 index c84c157fa25..00000000000 --- a/russian/lts/security/2015/dla-187.wml +++ /dev/null @@ -1,25 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В службе скрытых сервисов Tor, системе анонимного взаимодействия -с низкой задержкой на основе соединений, было обнаружено несколько -отказов в обслуживании.</p> - -<p><q>disgleirio</q> обнаружил, что злоумышленник может вызвать - ошибку утверждения на узле Tor, предоставляющем скрытый сервис, делая - этот сервис недоступным. - [<a href="https://security-tracker.debian.org/tracker/CVE-2015-2928">CVE-2015-2928</a>]</p> - -<p><q>DonnchaC</q> обнаружил, что клиенты Tor могут аварийно завершить работу с ошибкой - утверждения при выполнении грамматического разбора специально сформированных дескрипторов скрытого сервиса. - [<a href="https://security-tracker.debian.org/tracker/CVE-2015-2929">CVE-2015-2929</a>]</p> - -<p>Точки входа принимают многочисленные клетки INTRODUCE1 на одном - круге, что облегчает злоумышленнику переполнение скрытого - сервиса входами. Точки входа более не позволяют - использовать многочисленные клетки на одном и том же круге.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-187.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-188.wml b/russian/lts/security/2015/dla-188.wml deleted file mode 100644 index bf878a26f2e..00000000000 --- a/russian/lts/security/2015/dla-188.wml +++ /dev/null @@ -1,37 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В arj, версии архиватора arj с открытым исходным кодом, были обнаружены -многочисленные уязвимости. Проект Common Vulnerabilities and Exposures -определяет следующие проблемы:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0556">CVE-2015-0556</a> - - <p>Якуб Вилк обнаружил, что arj переходит по символьным ссылкам, создаваемым во время - распаковки архива arj. Удалённый злоумышленник может использовать эту уязвимость - для выполнения обхода каталога в том случае, если пользователь или автоматизированная - система запускает обработку специально сформированного архива arj.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0557">CVE-2015-0557</a> - - <p>Якуб Вилк обнаружил, что arj недостаточно защищён от - обхода каталога при распаковке архива arj, содержащего пути к файлам, содержащими - в начале многочисленные косые черты. Удалённый злоумышленник может использовать - эту уязвимость для записи произвольных файлов в том случае, если пользователь или автоматизированная система - запускает обработку специально сформированного архива arj.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2782">CVE-2015-2782</a> - - <p>Якуб Вилк и Гильом Жовье обнаружили переполнение буфера - в arj. Удалённый злоумышленник может использовать данную уязвимость для вызова - аварийной остановки приложения или потенциального выполнения произвольного кода с - правами пользователя, запустившего arj.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-188.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-189.wml b/russian/lts/security/2015/dla-189.wml deleted file mode 100644 index 24923be0ce9..00000000000 --- a/russian/lts/security/2015/dla-189.wml +++ /dev/null @@ -1,26 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В libgd2, библиотеке для работы с графикой, были обнаружены многочисленные уязвимости:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2497">CVE-2014-2497</a> - - <p>Функция gdImageCreateFromXpm() пытается выполнить разыменование NULL-указателя - при чтении файла XPM со специальной таблицей цветов. Это - может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) с - помощью специально сформированных файлов XPM.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9709">CVE-2014-9709</a> - - <p>Импортирование некорректного файла GIF, используя функцию gdImageCreateFromGif(), - приводит к переполнению буфера чтения, что позволяет удалённым злоумышленникам - вызывать отказ в обслуживании (аварийная остановка) с помощью специально сформированных файлов GIF.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-189.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-190.wml b/russian/lts/security/2015/dla-190.wml deleted file mode 100644 index 697e57fe94d..00000000000 --- a/russian/lts/security/2015/dla-190.wml +++ /dev/null @@ -1,26 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В libgcrypt были обнаружены многочисленные уязвимости:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3591">CVE-2014-3591</a> - - <p>Функция расшифровки Elgamal предположительно подвержена атаке через - сторонние каналы, которая была обнаружена исследователями Тель-Авивского университета. Для того, чтобы - противостоять этой атаке было включено скрытие шифротекста. Заметьте, что это может - серьёзно повлиять на производительность Elgamal при расшифровке.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0837">CVE-2015-0837</a> - - <p>Функция модульного потенцирования mpi_powm() предположительно уязвима - к атаке через сторонние каналы путём вариации зависящих от данных таймингов при - обращении к внутренней предварительно вычисленной таблице.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-190.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-191.wml b/russian/lts/security/2015/dla-191.wml deleted file mode 100644 index 1a3122f3c21..00000000000 --- a/russian/lts/security/2015/dla-191.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Хиройа Ито из GMO Pepabo, Inc. сообщил, что checkpw, программа -парольной аутентификации, содержит уязвимость в коде обработки имён учётных записей, -содержащих двойные тире. Удалённый злоумышленник может использовать эту уязвимость для вызова -отказа в обслуживании (бесконечный цикл).</p> - -<p>Выражаем благодарность Маркусу Кошани, который подготовил пакет Debian.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-191.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-192.wml b/russian/lts/security/2015/dla-192.wml deleted file mode 100644 index 0d71f6f2e92..00000000000 --- a/russian/lts/security/2015/dla-192.wml +++ /dev/null @@ -1,49 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1798">CVE-2015-1798</a> - - <p>Если ntpd настроен на использование симметричных ключей для аутентификации удалённого - NTP-сервера или однорангового узла, то он проверяет правильность кода аутентификации (MAC) сообщения NTP в - полученных пакетах, но не проверяет, имеется ли вообще какой-либо MAC. Пакеты без - MAC принимаются как пакеты, содержащие правильный MAC. Это позволяет злоумышленнику MITM, - не имея симметричного ключа, отправлять ложные пакеты, которые принимаются - клиентом или одноранговым узлом. Злоумышленнику нужно знать временную отметку передачи, - чтобы отметка в его поддельном ответе соответствовала её, а ложный ответ должен дойти до - клиента раньше ответа настоящего сервера. Злоумышленнику не обязательно - выполнять роль передатчика пакетов между клиентом и сервером.</p> - - <p>Аутентификация, использующая автоключ, не подвержена этой проблеме, поскольку в ней имеется проверка, - требующая, чтобы идентификатор ключа был больше NTP_MAXKEY. Это условие не выполняется для - пакетов, не имеющих MAC.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1799">CVE-2015-1799</a> - - <p>Злоумышленник, знающий, что NTP-узлы A и B соединяются друг с другом - (симметричная связь), может отправить пакет узлу A с адресом источника B, - что приведёт к установке переменных состояния NTP на A в значения, отправленные злоумышленником. - Затем узел A при следующем опросе отправит B пакет с начальной временной отметкой, - которая не совпадает с временной отметкой передачи B, и этот пакет будет сброшен. - Если злоумышленник периодически выполняет указанные действия на двух узлах, то они не смогут - синхронизироваться друг с другом. Эта ситуация, известная как отказ в обслуживании, и была - описана в <a href="https://www.eecis.udel.edu/~mills/onwire.html">https://www.eecis.udel.edu/~mills/onwire.html</a> .</p> - - <p>Согласно этому документу, аутентификация NTP должна защищать - симметричные связи от этой атаки, но это не - так. Переменные состояния обновляются даже в том случае, когда аутентификация завершилась неудачно, - а одноранговые узлы отправляют пакеты с инициированными временными отметками, которые не совпадают - с временными отметками передачи на получающей стороне.</p> - -<p>ntp-keygen на узлах с порядком байтов от младшего к старшему</p> - - <p>Использование ntp-keygen для создания ключа MD5 на узлах с порядком байтов от младшего к старшему приводит - либо к возникновению бесконечного цикла, либо к тому, что создаётся ключ лишь из 93 возможных ключей.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-192.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-193.wml b/russian/lts/security/2015/dla-193.wml deleted file mode 100644 index 9c4042954bc..00000000000 --- a/russian/lts/security/2015/dla-193.wml +++ /dev/null @@ -1,63 +0,0 @@ -#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1853">CVE-2015-1853</a> - - <p>Защита аутентифицированных симметричных связей NTP от атак с целью вызова отказа в обслуживании.</p> - - <p>Злоумышленник, знающий о том, что узлы A и B связываются друг с другом - (симметричная связь), может отправить пакет со случайной временной отметкой узлу - A с адресом источника B, что приведёт к установке переменных состояния NTP на узле A - в значения, отправленные злоумышленником. Затем узел A при следующем опросе отправит B - пакет с начальной временной отметкой, которая не совпадает с - временной отметкой передачи B, и этот пакет будет сброшен. Если злоумышленник - периодически выполняет указанные действия на двух узлах, то они не смогут - синхронизироваться друг с другом. Это отказ в обслуживании.</p> - - <p>Согласно <a href="https://www.eecis.udel.edu/~mills/onwire.html">https://www.eecis.udel.edu/~mills/onwire.html</a>, аутентификация NTP должна защищать симметричные - связи это таких атак, но по спецификации NTPv3 (RFC 1305) и NTPv4 - (RFC 5905) переменные состояния обновляются до выполнения - проверки аутентификации, что означает, что связь - уязвима к атаке даже в случае включения аутентификации.</p> - - <p>Для исправления этой проблемы сохраняйте начальные и локальные временные метки только в том случае, когда - проверка аутентификации (test5) завершается успешно.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1821">CVE-2015-1821</a> - - <p>Исправление настройки доступа с размером подсети, который не делится на 4.</p> - - <p>При настройке доступа NTP или cmdmon (в chrony.conf или с помощью - аутентифицированного cmdmon) с размером подсети, который не делится на 4, и - адресом, которые содержит ненулевые биты в 4-битном остатке подсети (например, - 192.168.15.0/22 или f000::/3), новые опции записываются в - неправильное место, которое может находится за пределами выделенного массива.</p> - - <p>Злоумышленник, имеющий командный ключ и доступ к cmdmon - (по умолчанию доступ имеется только с локальной машины), может использовать эту уязвимость для - аварийной остановки chronyd или потенциального выполнения произвольного кода с правами - процесса chronyd.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1822">CVE-2015-1822</a> - - <p>Исправление инициализации слотов ответов для аутентифицированных команд.</p> - - <p>При выделении памяти для сохранения неподтверждённых ответов на аутентифицированные - командные запросы последний указатель <q>next</q> не инициализируется со значением NULL. - Когда все выделенные слоты ответов уже использованы, следующий ответ может - быть записан в неверную область памяти вместо выделения для него нового слота.</p> - - <p>Злоумышленник, имеющий командный ключ и доступ к cmdmon - (по умолчанию доступ имеется только с локальной машины), может использоваться эту уязвимость для - аварийной остановки chronyd или потенциального выполнения произвольного кода с правами - процесса chronyd.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-193.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-194.wml b/russian/lts/security/2015/dla-194.wml deleted file mode 100644 index e080cbe461c..00000000000 --- a/russian/lts/security/2015/dla-194.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Адам Сэмпсон обнаружил переполнение буфера в коде обработки -переменной окружения XAUTHORITY в das-watchdog, службе watchdog для -проверки того, чтобы процессы реального времени не приводили к зависанию машины. Локальный пользователь может -использовать эту уязвимость для повышения привилегий и выполнения произвольного -кода от лица суперпользователя.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-194.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-195.wml b/russian/lts/security/2015/dla-195.wml deleted file mode 100644 index af169b02bff..00000000000 --- a/russian/lts/security/2015/dla-195.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Ханно Бёк обнаружил переполнение буфера в функции -asn1_der_decoding в Libtasn1, библиотеке для работы со структурами -ASN.1. Удалённый злоумышленник может использовать эту уязвимость для -аварийной остановки приложения, использующего библиотеку Libtasn1, или для -потенциального выполнения произвольного кода.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-195.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-196.wml b/russian/lts/security/2015/dla-196.wml deleted file mode 100644 index 518e7bed4c3..00000000000 --- a/russian/lts/security/2015/dla-196.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Пакеты ia32-libs и ia32-libs-gtk содержат 32-битные версии различных -библиотек, предназначенные для использования в 64-битных системах. Данное обновление содержит все -исправления безопасности, которые были выпущены для этих библиотек с момента предыдущего обновления пакетов ia32-libs -и ia32-libs-gtk в Squeeze LTS.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-196.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-197.wml b/russian/lts/security/2015/dla-197.wml deleted file mode 100644 index cbb3c5113ff..00000000000 --- a/russian/lts/security/2015/dla-197.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В libvncserver, библиотеке, реализующей функциональность сервера VNC, было -обнаружено несколько уязвимостей. Эти уязвимости могут приводить к -выполнению произвольного кода или отказу в обслуживании и на стороне клиента, -и на стороне сервера.</p> - -<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в -версии 0.9.7-2+deb6u1.</p> - -<p>Данное обновление было подготовлено Нгуеном Конгом.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-197.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-198.wml b/russian/lts/security/2015/dla-198.wml deleted file mode 100644 index d041bec2b47..00000000000 --- a/russian/lts/security/2015/dla-198.wml +++ /dev/null @@ -1,38 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В версии Wireshark из Squeeze были обнаружены следующие -уязвимости:</p> - -<ul> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2188">CVE-2015-2188</a> Диссектор WCP может аварийно завершить свою работу</li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0564">CVE-2015-0564</a> Wireshark может аварийно завершить работу при расшифровке сессий TLS/SSL</li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0562">CVE-2015-0562</a> Диссектор DEC DNA Routing Protocol может аварийно завершить свою работу</li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8714">CVE-2014-8714</a> Бесконечные циклы в TN5250</li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8713">CVE-2014-8713</a> Аварийная остановка NCP</li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8712">CVE-2014-8712</a> Аварийная остановка NCP</li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8711">CVE-2014-8711</a> Аварийная остановка AMQP</li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8710">CVE-2014-8710</a> Переполнение буфера в SigComp UDVM</li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6432">CVE-2014-6432</a> Аварийная остановка кода для грамматического разбора файлов в анализаторе</li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6431">CVE-2014-6431</a> Аварийная остановка кода для грамматического разбора файлов в анализаторе</li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6430">CVE-2014-6430</a> Аварийная остановка кода для грамматического разбора файлов в анализаторе</li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6429">CVE-2014-6429</a> Аварийная остановка кода для грамматического разбора файлов в анализаторе</li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6428">CVE-2014-6428</a> Аварийная остановка диссектора SES</li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6423">CVE-2014-6423</a> Бесконечный цикл в диссекторе MEGACO</li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6422">CVE-2014-6422</a> Аварийная остановка диссектора RTP</li> -</ul> - -<p>С момента адаптации заплат из основной ветки разработки к версии 1.2.11-6+squeeze15 были исправлены -не все серьёзные проблемы, а некоторые проблемы даже не отслеживались публично, -поэтому команда долгосрочной поддержки решила синхронизировать пакет в squeeze-lts с -пакетов в wheezy-security с целью предоставления лучшей поддержки безопасности.</p> - -<p>Заметьте, что обновление Wireshark с версии 1.2.x до версии 1.8.x вносит -несколько несовместимых изменений, относящихся к структуре пакета, API/ABI разделяемой -библиотеки, доступности диссекторов, а также синтаксису параметров -командной строки.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-198.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-199.wml b/russian/lts/security/2015/dla-199.wml deleted file mode 100644 index 939afaf10af..00000000000 --- a/russian/lts/security/2015/dla-199.wml +++ /dev/null @@ -1,23 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Абхишек Арья обнаружил переполнение буфера в макросе MakeBigReq, -предоставляемом libx11, которое может приводить к отказу в обслуживании или -выполнению произвольного кода.</p> - -<p>Несколько других пакетов xorg (напр., libxrender) после данного обновления -должны быть собраны заново с использованием исправленного пакета. Подробную -информацию о статусе скомпилированных заново пакетов см. в -службе отслеживания безопасности Debian по адресу -<a href="https://security-tracker.debian.org/tracker/CVE-2013-7439">CVE-2013-7439</a></p> - -<p>В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена -в версии 2:1.3.3-4+squeeze2.</p> - -<p>В стабильном выпуске (wheezy) эта проблема была исправлена в -версии 2:1.5.0-1+deb7u2.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-199.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-200.wml b/russian/lts/security/2015/dla-200.wml deleted file mode 100644 index d7c79569ef6..00000000000 --- a/russian/lts/security/2015/dla-200.wml +++ /dev/null @@ -1,26 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4975">CVE-2014-4975</a> - - <p>Функция encodes() в pack.c содержит ошибку на единицу, которая может - приводить к переполнению буфера. Это позволяет удалённым - злоумышленникам вызывать отказ в обслуживании (аварийная остановка) или выполнение - произвольного кода.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8080">CVE-2014-8080</a>, - <a href="https://security-tracker.debian.org/tracker/CVE-2014-8090">CVE-2014-8090</a> - - <p>Код для грамматического разбора REXML может выделить строковые объекты - большого размера, что приводит к потреблению всей доступной памяти системы. Это - может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка).</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-200.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-202.wml b/russian/lts/security/2015/dla-202.wml deleted file mode 100644 index 5c6e790a790..00000000000 --- a/russian/lts/security/2015/dla-202.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Игнасио Моралле обнаружил, что отсутствие ограничений на пути в -игре <q>Battle of Wesnoth</q> может приводить к раскрытию произвольных -файлов в домашнем каталоге пользователя в случае загрузки специально сформированных -кампаний/карт.</p> - -<p>В предыдущем стабильном выпуске (squeeze) эта проблема была -исправлена в версии 1:1.8.5-1+deb6u1. Версии для других выпусков см. в -<a href="./dsa-3218">DSA-3218-1</a>.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-202.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-203.wml b/russian/lts/security/2015/dla-203.wml deleted file mode 100644 index 66000dc0fe3..00000000000 --- a/russian/lts/security/2015/dla-203.wml +++ /dev/null @@ -1,55 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В OpenLDAP, свободной реализации протокола LDAP, были обнаружены -многочисленные уязвимости.</p> - -<p>Внимательно проверьте, подвержены ли ваши системы <a href="https://security-tracker.debian.org/tracker/CVE-2014-9713">CVE-2014-9713</a>: если -да, то вам следует вручную обновить ваши настройки! Подробности по этому поводу -см. ниже. Обычного обновления пакетов недостаточно!</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-1164">CVE-2012-1164</a> - - <p>Исправление аварийной остановки при выполнении поиска attrsOnly из базы данных, настроенной - с оверлеями rwm и translucent.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4449">CVE-2013-4449</a> - - <p>Михаэль Фишерс из Seven Principles AG обнаружил отказ в - обслуживании в slapd, реализации сервера каталогов. - Если сервер настроен на использование оверлея RWM, то злоумышленник - может аварийно завершить его работу путём отмены соединения, что происходит из-за - проблемы с подсчётом ссылок.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9713">CVE-2014-9713</a> - - <p>Настройки базы данных каталогов в Debian по умолчанию позволяют - каждому пользователю редактировать собственные атрибуты. Если каталоги LDAP - используются для управления доступом, и это сделано через пользовательские атрибуты, - то аутентифицированный пользователь может использовать это для получения доступа к неавторизованным - ресурсам.</p> - - <p>Заметьте, что эта уязвимость касается конкретно Debian.</p> - - <p>В новом пакете не используется небезопасное правило управления доступом для новых - баз данных, но существующие настройки не будут изменены - автоматически. Администраторам рекомендуется ознакомиться с файлом README.Debian, - содержащимся в обновлённом пакете в том случае, если им следует исправить правило - управления доступом.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1545">CVE-2015-1545</a> - - <p>Райан Тэнди обнаружил отказ в обслуживании в slapd. - При использовании оверлея deref передача пустого списка атрибутов в - запросе приводит к аварийной остановке службы.</p></li> - -</ul> - -<p>Выражаем благодарность Райану Тэнди за подготовку данного обновления.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-203.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-204.wml b/russian/lts/security/2015/dla-204.wml deleted file mode 100644 index d77e013843f..00000000000 --- a/russian/lts/security/2015/dla-204.wml +++ /dev/null @@ -1,20 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет следующую проблему в пакете file:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9653">CVE-2014-9653</a> - - <p>readelf.c не определяет, что pread иногда вызывает подмножество доступных - данных в режиме только для чтения, что позволяет удалённым злоумышленникам - вызывать отказ в обслуживании (обращение к неинициализированной области памяти) или - оказывать какое-либо другое влияние на безопасность системы с помощью специально сформированного файла ELF.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-204.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-205.wml b/russian/lts/security/2015/dla-205.wml deleted file mode 100644 index 784e3c2d18d..00000000000 --- a/russian/lts/security/2015/dla-205.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Эммануэль Рокка обнаружил, что ppp, служба, реализующая -двухточечный протокол, содержит переполнение буфера, которое возникает -при взаимодействии с сервером RADIUS. Это позволяет неаутентифицированным -пользователям вызывать отказ в обслуживании путём аварийного завершения работы службы.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-205.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-206.wml b/russian/lts/security/2015/dla-206.wml deleted file mode 100644 index daf5ff25816..00000000000 --- a/russian/lts/security/2015/dla-206.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Джеймс Тёрк обнаружил, что код отрисовки ReST в django-markupfield, -специальном поле Django для облегчения использования разметки в текстовых полях, не -отключает директиву ..raw, что позволяет удалённым злоумышленникам добавлять -произвольные файлы.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-206.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-207.wml b/russian/lts/security/2015/dla-207.wml deleted file mode 100644 index 1a354d99e3e..00000000000 --- a/russian/lts/security/2015/dla-207.wml +++ /dev/null @@ -1,39 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Subversion, системе управления версиями, было обнаружено несколько -уязвимостей. Проект Common Vulnerabilities and Exposures определяет -следующие проблемы:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0248">CVE-2015-0248</a> - - <p>Subversion mod_dav_svn и svnserve уязвимы к вызываемой удалённо - ошибке утверждения, приводящей к отказу в обслуживании при определённых запросах с - динамически оцениваемыми номерами ревизии.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0251">CVE-2015-0251</a> - - <p>HTTP-серверы Subversion позволяют подделывать значения свойства svn:author для - новых ревизий с помощью специально сформированных последовательностей запросов по - протоколу HTTP v1.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1845">CVE-2013-1845</a> - - <p>Subversion mod_dav_svn уязвим к отказу в обслуживании - через вызываемое удалённо чрезмерное потребление памяти.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1846">CVE-2013-1846</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2013-1847">CVE-2013-1847</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2013-1849">CVE-2013-1849</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2014-0032">CVE-2014-0032</a> - - <p>Subversion mod_dav_svn уязвим к многочисленным вызываемым удалённо - аварийным установкам.</p></li> - -</ul> - -<p>Данное обновление было подготовлено Джеймсом Маккоем.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-207.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-209.wml b/russian/lts/security/2015/dla-209.wml deleted file mode 100644 index 83ef0a2ee09..00000000000 --- a/russian/lts/security/2015/dla-209.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>JRuby до версии 1.6.5.1 вычисляет хеш-значения без ограничения возможности -предсказуемо вызывать столкновения хешей, что в зависимости от контекста позволяет злоумышленникам -вызывать отказ в обслуживании (чрезмерное потребление ресурсов ЦП) при помощи специально сформированных -входных данных приложения, работающего с таблицей хешей. Внимание: данное обновление включает в себя -исправления оригинального исправления для более поздних выпусков Debian с целью избежать проблемы, -определяемые в <a href="https://security-tracker.debian.org/tracker/CVE-2012-5370">CVE-2012-5370</a>.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-209.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-210.wml b/russian/lts/security/2015/dla-210.wml deleted file mode 100644 index 4aba21c9bb7..00000000000 --- a/russian/lts/security/2015/dla-210.wml +++ /dev/null @@ -1,25 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет многочисленные уязвимости в библиотеке Qt.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0254">CVE-2013-0254</a> - - <p>Класс QSharedMemory использует слабые права доступа (доступ для чтения и записи - для всех пользователей) для сегментов разделяемой памяти, что позволяет локальным пользователям - считывать чувствительную информацию или изменять критические данные программы, что - демонстрируется чтением пиксельных изображений, отправляемых X-серверу.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0295">CVE-2015-0295</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2015-1858">CVE-2015-1858</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2015-1859">CVE-2015-1859</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2015-1860">CVE-2015-1860</a> - - <p>Отказ в обслуживании (через ошибки сегментирования) при помощи специально - сформированных изображений (BMP, GIF, ICO).</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-210.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-211.wml b/russian/lts/security/2015/dla-211.wml deleted file mode 100644 index 0172d021241..00000000000 --- a/russian/lts/security/2015/dla-211.wml +++ /dev/null @@ -1,27 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В cURL, библиотеке передачи URL, было обнаружено несколько уязвимостей:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3143">CVE-2015-3143</a> - - <p>Соединения, аутентифицированные с помощью NTLM, могут ошибочно повторно использоваться для запросов - без каких-либо данных учётной записи, что приводит к тому, что HTTP-запросы отправляются - по соединению, аутентифицированному от другого пользователя. Эта проблема - схожа с проблемой, исправленной в DSA-2849-1.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3148">CVE-2015-3148</a> - - <p>При выполнении HTTP-запросов, использующих метод аутентификации Negotiate - наряду с NTLM, используемое соединение не отмечается как - аутентифицированное, что позволяет его повторно использовать и отправлять запросы - одного пользователя по соединению, аутентифицированному от другого пользователя.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-211.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-212.wml b/russian/lts/security/2015/dla-212.wml deleted file mode 100644 index 39bf06619dc..00000000000 --- a/russian/lts/security/2015/dla-212.wml +++ /dev/null @@ -1,71 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9705">CVE-2014-9705</a> - - <p>Переполнение динамической памяти в функции enchant_broker_request_dict - в ext/enchant/enchant.c в PHP до версии 5.4.38, 5.5.x - до версии 5.5.22 и 5.6.x до версии 5.6.6 позволяет удалённым злоумышленникам - выполнять произвольный код через векторы, выполняющие создание - нескольких словарей.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0232">CVE-2015-0232</a> - - <p>Функция exif_process_unicode в ext/exif/exif.c в PHP - до версии 5.4.37, 5.5.x до версии 5.5.21 и 5.6.x до версии 5.6.5 - позволяет удалённым злоумышленникам выполнять произвольный код или вызывать - отказ в обслуживании (освобождение неинициализированного указателя и аварийная - остановка приложения) через специально сформированные данные EXIF в изображениях в формате JPEG.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2301">CVE-2015-2301</a> - - <p>Использование указателей после освобождения в функции phar_rename_archive - в phar_object.c в PHP до версии 5.5.22 и 5.6.x до версии 5.6.6 - позволяет удалённым злоумышленникам вызывать отказ в обслуживании или потенциально - оказывать другое влияние на безопасность через векторы, выполняющие попытку - переименования архива Phar в имя существующего файла.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2331">CVE-2015-2331</a> - - <p>Переполнение целых чисел в функции _zip_cdir_new в zip_dirent.c - в libzip 0.11.2 и более ранних версиях, используемой в расширении ZIP в PHP - до версии 5.4.39, 5.5.x до версии 5.5.23 и 5.6.x до версии 5.6.7 - и других продуктах позволяет удалённым злоумышленникам вызывать отказ в - обслуживании (аварийная остановка приложения) или потенциально выполнять произвольный код - с помощью ZIP-архива, содержащего много записей, что приводит - к переполнению динамической памяти.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2783">CVE-2015-2783</a> - - <p>Чтение за пределами выделенного буфера памяти в коде десериализации при выполнении грамматического разбора Phar</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2787">CVE-2015-2787</a> - - <p>Использование указателей после освобождения памяти в функции process_nested_data - в ext/standard/var_unserializer.re в PHP до версии 5.4.39, 5.5.x - до версии 5.5.23 и 5.6.x до версии 5.6.7 позволяет удалённым злоумышленникам - выполнять произвольный код через специально сформированный десериализованный вызов, - использующий функцию unset в функции __wakeup. - Эта проблема связана с <a href="https://security-tracker.debian.org/tracker/CVE-2015-0231">CVE-2015-0231</a>.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3329">CVE-2015-3329</a> - - <p>Переполнение буфера при выполнении грамматического разбора tar/zip/phar в phar_set_inode</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3330">CVE-2015-3330</a> - - <p>Потенциально удалённое выполнение кода PHP с apache 2.4 apache2handler</p> - -<li>CVE-2015-temp-68819 - - <p>Отказ в обслуживании при обработке специально сформированного файла с Fileinfo</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-212.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-213.wml b/russian/lts/security/2015/dla-213.wml deleted file mode 100644 index b5e2126a3b0..00000000000 --- a/russian/lts/security/2015/dla-213.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В OpenJDK, реализации платформы Oracle Java, было обнаружено несколько -уязвимостей, приводящих к выполнению произвольного кода, -выходу за пределы песочницы Java, раскрытию информации -или отказу в обслуживании.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии -6b35-1.13.7-1~deb6u1.</p> - -<p>Рекомендуется обновить пакеты openjdk-6.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-213.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-214.wml b/russian/lts/security/2015/dla-214.wml deleted file mode 100644 index 113754cf28c..00000000000 --- a/russian/lts/security/2015/dla-214.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В некоторых ситуациях функция XML::LibXML не выполняет запрос на отключение раскрытия -сущностей. Приложения, обрабатывающие недоверенные документы XML, могут -раскрывать содержимое локальных файлов.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в libxml-libxml-perl -версии 1.70.ds-1+deb6u1.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-214.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-215.wml b/russian/lts/security/2015/dla-215.wml deleted file mode 100644 index 39676046dbe..00000000000 --- a/russian/lts/security/2015/dla-215.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Модуль JSON для Ruby позволяет удалённым злоумышленникам вызывать отказ -в обслуживании (чрезмерное потребление ресурсов) или обходить механизм защиты от массового -присваивания при помощи специально сформированного документа в формате JSON, который вызывает создание -произвольных символов Ruby или определённых внутренних объектов, что демонстрируется -выполнением SQL-инъекции в Ruby on Rails и также известно как <q>Небезопасное -создание объекта</q>.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в libjson-ruby -версии 1.1.9-1+deb6u1.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-215.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-216.wml b/russian/lts/security/2015/dla-216.wml deleted file mode 100644 index fc1def4fe09..00000000000 --- a/russian/lts/security/2015/dla-216.wml +++ /dev/null @@ -1,20 +0,0 @@ -#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3609">CVE-2014-3609</a> - -<p>Отказ в обслуживании в коде обработки заголовка Range.</p> - -<p>Игнорируются заголовки Range с неопределёнными байтовыми значениями. Если squid -не может определить байтовое значение для отрезков, то такой заголовок считается -неправильным.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-216.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-218.wml b/russian/lts/security/2015/dla-218.wml deleted file mode 100644 index dc41324dd6b..00000000000 --- a/russian/lts/security/2015/dla-218.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Оливье Фурдан обнаружил, что отсутствие проверки входных данных в коде Xserver -для обработки запросов XkbSetGeometry может приводить к утечке информации или -отказу в обслуживании.</p> - -<p>Данное обновление Debian squeeze-lts исправляет указанную проблему путём запрета перемещения -данных XkbSetGeometry в буфер входных данных и выполнения обязательной проверки длины строк -и соответствия их длины размеру запроса.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-218.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-219.wml b/russian/lts/security/2015/dla-219.wml deleted file mode 100644 index 3e34f39adde..00000000000 --- a/russian/lts/security/2015/dla-219.wml +++ /dev/null @@ -1,57 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В библиотеке International Components for Unicode (ICU) было обнаружено -несколько уязвимостей:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1569">CVE-2013-1569</a> - - <p>Проблема с таблицей глифов.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2383">CVE-2013-2383</a> - - <p>Проблема с таблицей глифов.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2384">CVE-2013-2384</a> - - <p>Проблема с разметкой шрифтов.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2419">CVE-2013-2419</a> - - <p>Проблема с обработкой шрифтов.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6585">CVE-2014-6585</a> - - <p>Чтение за пределами выделенного буфера.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6591">CVE-2014-6591</a> - - <p>Ещё чтения за пределами выделенного буфера.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7923">CVE-2014-7923</a> - - <p>Повреждение содержимого памяти при сравнении регулярных выражений.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7926">CVE-2014-7926</a> - - <p>Повреждение содержимого памяти при сравнении регулярных выражений.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7940">CVE-2014-7940</a> - - <p>Неинициализированная память.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9654">CVE-2014-9654</a> - - <p>Ещё проблемы с регулярными выражениями.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в icu версии -4.4.1-8+squeeze3.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-219.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-220.wml b/russian/lts/security/2015/dla-220.wml deleted file mode 100644 index f119b7c3246..00000000000 --- a/russian/lts/security/2015/dla-220.wml +++ /dev/null @@ -1,24 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Янн Хорн обнаружил, что проверку целостности пакетов с исходным кодом в -dpkg-source можно обойти с помощью специально сформированных управляющих файлов -Debian (.dsc). Заметьте, что данная уязвимость касается только распаковки -локальных пакетов Debian с исходным кодом с помощью dpkg-source, а не установки -пакетов из архива Debian.</p> - -<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была -исправлена в версии 1.15.12. Кроме того, данное обновление исправляет схожую ошибку, обнаруженную -Ансгаром Бурхардтом, и ошибку в той же области, обнаруженную Роджером -Лигом.</p> - -<p>В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в -версии 1.16.16.</p> - -<p>Стабильный выпуск (jessie) не подвержен данной проблеме, поскольку -она была исправлена до выхода этого выпуска.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-220.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-221.wml b/russian/lts/security/2015/dla-221.wml deleted file mode 100644 index 58e6bd89594..00000000000 --- a/russian/lts/security/2015/dla-221.wml +++ /dev/null @@ -1,48 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В LibTIFF, библиотеке и утилитах для работы с изображениями в формате TIFF, было -обнаружено несколько уязвимостей. Эти проблемы приводят к -отказу в обслуживании, раскрытию информации или повышению привилегий.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8128">CVE-2014-8128</a> - - <p>Уильям Робине обнаружил, что в нескольких утилитах LibTIFF может возникать - запись за пределами выделенного буфера при обработке специально сформированных файлов - TIFF. Другие приложения, использующие LibTIFF, скорее всего тоже - подвержены этой проблеме.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8129">CVE-2014-8129</a> - - <p>Уильям Робине обнаружил, что чтение и запись за пределами выделенного буфера - могут возникать в tiff2pdf при обработке специально сформированных файлов TIFF. Другие - приложения, использующие LibTIFF, скорее всего тоже подвержены этой - проблеме.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9330">CVE-2014-9330</a> - - <p>Парис Зумпоулоглу обнаружил, что в bmp2tiff при обработке специально сформированных файлов - BMP может возникать чтение и запись за пределами выделенного буфера.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9655">CVE-2014-9655</a> - - <p>Михал Залевски обнаружил, что в LibTIFF при обработке файлов TIFF могут возникать - чтения и запись за пределами выделенного буфера.</p></li> - -</ul> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были -исправлены в версии 3.9.4-5+squeeze12.</p> - -<p>В предыдущем стабильном выпуске (wheezy) эти проблемы будут исправлены -позже.</p> - -<p>Стабильный выпуск (jessie) не подвержен этим проблемам, так как они были -исправлены до момента выпуска jessie.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-221.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-222.wml b/russian/lts/security/2015/dla-222.wml deleted file mode 100644 index 20cf5fa1799..00000000000 --- a/russian/lts/security/2015/dla-222.wml +++ /dev/null @@ -1,33 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-5783">CVE-2012-5783</a> - -<p>и <a href="https://security-tracker.debian.org/tracker/CVE-2012-6153">CVE-2012-6153</a> - Apache Commons HttpClient 3.1 не выполняет проверку того, что имя сервера - совпадает с именем домена в поле Common Name (CN) или subjectAltName - сертификата X.509, что позволяет злоумышленникам выполнять атаку по принципу человек-в-середине для - подделки SSL серверов с помощью произвольного корректного сертификата. - Выражаем благодарность Алберто Фернандезу Мартинезу за эту заплату.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3577">CVE-2014-3577</a> - - <p>Было обнаружено, что исправление <a href="https://security-tracker.debian.org/tracker/CVE-2012-6153">CVE-2012-6153</a> неполно: код, добавленный - для проверки того, что имя сервера совпадает с именем домена в поле - Common Name (CN) сертификатов X.509, оказался уязвим. Злоумышленник, используя принцип человек-в-середине, может - использовать эту уязвимость для подделки SSL сервера, используя специально сформированный - сертификат X.509. Исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2012-6153">CVE-2012-6153</a> должно было исправить - неполную заплату для <a href="https://security-tracker.debian.org/tracker/CVE-2012-5783">CVE-2012-5783</a>. Данная проблема теперь полностью решена - путём применения указанной заплаты и заплаты для предыдущей проблемы CVE.</p></li> - -</ul> - -<p>Данная загрузка была подготовлена Маркусом Кошани.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-222.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-223.wml b/russian/lts/security/2015/dla-223.wml deleted file mode 100644 index e0b51e36a31..00000000000 --- a/russian/lts/security/2015/dla-223.wml +++ /dev/null @@ -1,28 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В nbd-server, сервере для сетевых блочных устройств Linux, была -обнаружена уязвимость.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0847">CVE-2015-0847</a> - - <p>Туомас Рясянен обнаружил, что в nbd-server имеется небезопасная обработка - сигналов. Данная уязвимость может использоваться удалённым клиентом - для вызова отказа в обслуживании.</p></li> - -</ul> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были -исправлены в версии 1:2.9.16-8+squeeze2.</p> - -<p>В предыдущем стабильном, стабильном и тестируемом выпусках эти проблемы -будут исправлены позже.</p> - -<p>Рекомендуется обновить пакеты nbd-server.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-223.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-224.wml b/russian/lts/security/2015/dla-224.wml deleted file mode 100644 index 8fbb5a17892..00000000000 --- a/russian/lts/security/2015/dla-224.wml +++ /dev/null @@ -1,18 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что расширение OpenSSL для Ruby, часть -интерпретатора языка Ruby, неправильно реализует сравнение имён -узлов, что нарушает RFC 6125. Это позволяет удалённым злоумышленникам -выполнять атаки по принципу человек-в-середине при помощи специально сформированных сертификатов SSL.</p> - -<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была -исправлена в версии 1.8.7.302-2squeeze4.</p> - -<p>В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в -версии 1.8.7.358-7.1+deb7u3.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-224.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-225.wml b/russian/lts/security/2015/dla-225.wml deleted file mode 100644 index c1ed01c6a6d..00000000000 --- a/russian/lts/security/2015/dla-225.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В dnsmasq была обнаружена следующая уязвимость:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3294">CVE-2015-3294</a> - - <p>Удалённые злоумышленники могут считывать память процесса и вызывать отказ в обслуживании - с помощью специально сформированных запросов DNS.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в dnsmasq версии -2.55-2+deb6u1.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-225.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-226.wml b/russian/lts/security/2015/dla-226.wml deleted file mode 100644 index 9e401804c2f..00000000000 --- a/russian/lts/security/2015/dla-226.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Тэвис Орманди обнаружил, что NTFS-3G, драйвер NTFS для FUSE с возможностью -чтения и записи, не выполняет очистку окружения перед выполнением команд mount и umount -с повышенными привилегиями. Локальный пользователь может использовать эту уязвимость -для перезаписи произвольных файлов и получать повышенные права доступа путём обращения -к функциям отладки через окружение, которое не считается безопасным -для непривилегированных пользователей.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-226.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-227.wml b/russian/lts/security/2015/dla-227.wml deleted file mode 100644 index 39b5e45bbe5..00000000000 --- a/russian/lts/security/2015/dla-227.wml +++ /dev/null @@ -1,44 +0,0 @@ -#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В PostgreSQL, серверной системе реляционных баз данных, было обнаружено -несколько уязвимостей. Поддержка ветки 8.4 в основной ветке разработки была прекращена, но -эта версия всё ещё присутствует в Debian squeeze. Данная новая младшая версия LTS содержит -исправления, который были применены в основной ветке к версии 9.0.20 и адаптированы -для 8.4.22, которая была последней версией, официально выпущенной разработчиками -PostgreSQL. Данная работа для squeeze-lts является проектом сообщества -и спонсируется credativ GmbH.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3165">CVE-2015-3165</a> - -<p>Удалённая аварийная остановка. -Клиенты SSL, отключающиеся до завершения периода аутентификации, могут -вызывать аварийную остановку сервера.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3166">CVE-2015-3166</a> - -<p>Раскрытие информации. -Замена реализации snprintf() не выполняет проверку на ошибки, -о которых сообщают вызовы низлежащей системной библиотеки; в основном -могут быть пропущены ситуации с доступом за пределы выделенного буфера памяти. В худших случаях это -может приводить к раскрытию информации.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3167">CVE-2015-3167</a> - -<p>Возможное раскрытие ключа через сторонний канал. -В contrib/pgcrypto в некоторых случаях расшифровка с неправильным ключом -может приводить к выводу какого-то другого сообщения об ошибке. Исправлено с помощью -сообщения one-size-fits-all.</p> - -<p>Заметьте, что следующий этап выпуска младших версий PostgreSQL уже -запланирован на начало июня 2015 года. В то же время будет выпущено -обновление 8.4.22lts3.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-227.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-228.wml b/russian/lts/security/2015/dla-228.wml deleted file mode 100644 index f98c5930f1d..00000000000 --- a/russian/lts/security/2015/dla-228.wml +++ /dev/null @@ -1,26 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В программах работы с изображениями ExactImage была обнаружена -уязвимость.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3885">CVE-2015-3885</a> - - <p>Эдуардо Кастелланос обнаружил переполнение динамической памяти в версии dcraw, - входящей в состав ExactImage. Эта уязвимость позволяет удалённым злоумышленникам - вызывать отказ в обслуживании (аварийная остановка) с помощью специально сформированного изображения.</p></li> - -</ul> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены в -версии 0.8.1-3+deb6u4.</p> - -<p>В предыдущем стабильном, стабильном и тестируемом выпусках эти проблемы будут -исправлены позже.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-228.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-229.wml b/russian/lts/security/2015/dla-229.wml deleted file mode 100644 index 568ba619f41..00000000000 --- a/russian/lts/security/2015/dla-229.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Nokogiri, пакете Ruby для выполнения грамматического разбора HTML, XML и SAX, была -обнаружена уязвимость XML eXternal Entity (XXE). Используя внешние сущности XML, удалённый злоумышленник -может указать URL в специально сформированном документе XML, который при его грамматическом разборе -попытается открыть подключение к указанному URL.</p> - -<p>Данное обновление по умолчанию включает опцию <q>nonet</q> (и предоставляет при необходимости -новые методы отключения опций по умолчанию).</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-229.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-230.wml b/russian/lts/security/2015/dla-230.wml deleted file mode 100644 index 56c3d382643..00000000000 --- a/russian/lts/security/2015/dla-230.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Арджун Шанкар из Red Hat обнаружил, что gethostbyname_r и связанные -с ней функции неправильно вычисляют размер входного буфера в случае, если передаваемый -буфер выровнен неправильно. Это приводит к переполнению буфера.</p> - -<p>В предыдущем стабильном выпуске (squeeze) эта проблема была -исправлена в версии 2.11.3-4+deb6u6.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-230.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-231.wml b/russian/lts/security/2015/dla-231.wml deleted file mode 100644 index eba748fdf6c..00000000000 --- a/russian/lts/security/2015/dla-231.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Айван Фратрик из команды безопасности Google обнаружил переполнение буфера в -реализации на C функции apply_delta(), используемой при обращении -к объектам Git в упакованных файлах. Злоумышленник может использовать эту уязвимость -для выполнения произвольного кода с правами пользователя, -запустившего сервер или клиент Git на основе Dulwich.</p> - -<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была -исправлена в версии 0.6.1-1+deb6u1.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-231.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-232.wml b/russian/lts/security/2015/dla-232.wml deleted file mode 100644 index 782226256aa..00000000000 --- a/russian/lts/security/2015/dla-232.wml +++ /dev/null @@ -1,32 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Apache Tomcat 6 были обнаружены следующие уязвимости:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0227">CVE-2014-0227</a> - - <p>Команда безопасности Tomcat определила, что можно выполнить атаку по подделке - запроса HTTP или вызвать отказ в обслуживании путём передачи потока специально сформированных данных.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0230">CVE-2014-0230</a> - - <p>AntBean@secdig из команды безопасности Baidu обнаружил, что имеется возможность - выполнения ограниченной атаки для вызова отказа в обслуживании путём передачи данных - через отмену загрузки.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7810">CVE-2014-7810</a> - - <p>Команда безопасности Tomcat определила, что веб-приложения злоумышленников могут - обходить ограничения менеджера безопасности путём использования языка выражений.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в tomcat6 версии -6.0.41-2+squeeze7.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-232.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-233.wml b/russian/lts/security/2015/dla-233.wml deleted file mode 100644 index 67c140ecf39..00000000000 --- a/russian/lts/security/2015/dla-233.wml +++ /dev/null @@ -1,23 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Авторы основной ветки разработки опубликовали версию 0.98.7. Данное обновление обновляет sqeeze-lts до -последнего выпуска основной ветки разработки, что соответствует подходу, используемому в других -выпусках Debian.</p> - -<p>Эти изменения не требуются для работы, но пользователи предыдущей -версии в Squeeze могут оказать неспособны использовать все текущие сигнатуры вирусов -и могут получить предупреждения об этом.</p> - -<p>Частью этого выпуска являются и исправления ошибок, включая исправления безопасности, связанные -с запакованными или зашифрованными файлами (<a href="https://security-tracker.debian.org/tracker/CVE-2014-9328">CVE-2014-9328</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-1461">CVE-2015-1461</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-1462">CVE-2015-1462</a>, -<a href="https://security-tracker.debian.org/tracker/CVE-2015-1463">CVE-2015-1463</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-2170">CVE-2015-2170</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-2221">CVE-2015-2221</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-2222">CVE-2015-2222</a> и <a href="https://security-tracker.debian.org/tracker/CVE-2015-2668">CVE-2015-2668</a>), -а также несколько исправления встроенной библиотеки libmspack, включая потенциальный -бесконечный цикл в декодере Quantum (<a href="https://security-tracker.debian.org/tracker/CVE-2014-9556">CVE-2014-9556</a>).</p> - -<p>Если вы используете clamav, то вам настоятельно рекомендуется выполнить обновление до этой версии.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-233.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-234.wml b/russian/lts/security/2015/dla-234.wml deleted file mode 100644 index 6970dd44067..00000000000 --- a/russian/lts/security/2015/dla-234.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Javantea обнаружил разыменование NULL-указателя в racoon, службе -обмена ключей из ipsec-tools. Удалённый злоумышленник может использовать -эту уязвимость для того, чтобы при помощи специально сформированных UDP-пакетов -аварийно завершить работу службы IKE, что приводит к отказу в обслуживании.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-234.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-235.wml b/russian/lts/security/2015/dla-235.wml deleted file mode 100644 index bf8621f70a9..00000000000 --- a/russian/lts/security/2015/dla-235.wml +++ /dev/null @@ -1,53 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-0188">CVE-2011-0188</a> - - <p>Функция VpMemAlloc в bigdecimal.c в классе BigDecimal в - Ruby версии 1.9.2-p136 или более ранних, которые используются в Apple Mac OS X до версии 10.6.7 - и на других платформах, неправильно выделяет память, что позволяет - злоумышленникам в зависимости от контекста выполнять произвольный код или вызывать - отказ в обслуживании (аварийная остановка приложения) через векторы, включающие в себя создание - большого значения BigDecimal в 64-битном процессе, связанные с - <q>проблемой обрезания целых чисел</q>.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2705">CVE-2011-2705</a> - - <p>Использование SVN-ревизии r32050 для изменения состояния PRNG с целью предотвращения построения - последовательности случайных чисел в дочернем процессе с тем же идентификатором. - О проблеме сообщил Эрик Вонг.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4522">CVE-2012-4522</a> - - <p>Функция rb_get_path_check в file.c в Ruby 1.9.3 до - обновления 286 и Ruby 2.0.0 до r37163 позволяет злоумышленникам в зависимости - от контекста создавать файлы в неожиданных местах или с неожиданными - именами при помощи NUL-байта в пути к файлу.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0256">CVE-2013-0256</a> - - <p>darkfish.js в RDoc версиях с 2.3.0 до 3.12 и ветке 4.x до - версии 4.0.0.preview2.1, используемых в Ruby, неправильно создаёт - документы, что позволяет удалённым злоумышленникам выполнять атаки по принципу межсайтового - скриптинга (XSS) с помощью специально сформированных URL.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2065">CVE-2013-2065</a> - - <p>(1) DL и (2) Fiddle в Ruby в 1.9 до версии 1.9.3 уровня обновления 426, - и 2.0 до версии 2.0.0 уровня обновления 195 не выполняют проверку заражения для - родных функций, что позволяет злоумышленникам в зависимости от контекста обходить - специальные ограничения уровней $SAFE.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1855">CVE-2015-1855</a> - - <p>Реализация проверки совпадения имён узлов в расширении OpenSSL нарушает RFC 6125</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-235.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-236.wml b/russian/lts/security/2015/dla-236.wml deleted file mode 100644 index b44e5cf2909..00000000000 --- a/russian/lts/security/2015/dla-236.wml +++ /dev/null @@ -1,88 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В версии Wordpress в Debian squeeze-lts были исправлены многочисленные проблемы -безопасности:</p> - - <p>Удалённые злоумышленники могут...</p> - <ul> - <li> ... загружать файлы с некорректными или небезопасными именами</li> - <li> ... выполнять атаки по принципу социальной инженерии</li> - <li> ... компрометировать сайт через межсайтовый скриптинг</li> - <li> ... вводить команды SQL</li> - <li> ... вызывать отказ в обслуживании или раскрытие информации</li> - </ul> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9031">CVE-2014-9031</a> - - <p>Йоуко Пюннёнен обнаружил неавторизованный межсайтовый скриптинг - (XSS) в wptexturize(), который можно использовать через комментарии или - сообщения.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9033">CVE-2014-9033</a> - - <p>Подделка межсайтовых запросов (CSRF) в процессе смены - пароля, которая может использоваться злоумышленником для того, чтобы обманным образом заставить пользователя - сменить пароль.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9034">CVE-2014-9034</a> - - <p>Хавьер Нието Аревало и Андрес Рохас Гуерреро сообщили о потенциальном - отказе в обслуживании в способе, используемом библиотекой phpass для обработки - паролей, поскольку не установлена максимальная длина пароля.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9035">CVE-2014-9035</a> - - <p>Джон Блэкберн сообщил об XSS в функции <q>Нажмите здесь</q> (используется - для быстрой публикации, используя <q>bookmarklet</q> браузера).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9036">CVE-2014-9036</a> - - <p>Роберт Чапин сообщил об XSS в фильтрации CSS в сообщениях.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9037">CVE-2014-9037</a> - - <p>Дэвид Андерсон сообщил об уязвимости сравнения хешей для паролей, - сохранённых по старой схеме MD5. Хотя это и маловероятно, это может - использоваться для компрометации учётной записи в том случае, если пользователь не выполнял вход - после обновления Wordpress 2.5 (обновление в Debian произведено 2 апреля 2008 года), - столкновение MD5-хешей паролей может произойти из-за динамического сравнения - в PHP.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9038">CVE-2014-9038</a> - - <p>Бен Биднер сообщил о подделке запросов на стороне сервера (SSRF) в базовой - прослойке HTTP, которая недостаточно блокирует пространство IP адреса - петлевого интерфейса.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9039">CVE-2014-9039</a> - - <p>Момент Бассель, Таной Босе и Бойан Славкович сообщили об - уязвимости в процессе сброса пароля: изменение адреса электронной почты - не приводит к отмене работоспособности предыдущего сообщения о сбросе пароля.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3438">CVE-2015-3438</a> - - <p>Седрик Ван Бокхэйвен сообщил, а Гэри Пендергаст, Майк Адамс и Эндрю Накин из - команды безопасности WordPress исправили межсайтовый скриптинг, который позволяет анонимным пользователям - компрометировать сайт.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3439">CVE-2015-3439</a> - - <p>Якуб Зожек обнаружил очень ограниченный межсайтовый скриптинг, - которые может использоваться в качестве части атаки по принципу - социальной инженерии.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3440">CVE-2015-3440</a> - - <p>Йоуко Пюннёнен обнаружил межсайтовый скриптинг, - который может позволить комментаторам компрометировать сайт.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-236.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-237.wml b/russian/lts/security/2015/dla-237.wml deleted file mode 100644 index 93150f0de3c..00000000000 --- a/russian/lts/security/2015/dla-237.wml +++ /dev/null @@ -1,26 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9462">CVE-2014-9462</a> - - <p>Джесси Герц из Matasano Security обнаружил, что Mercurial, распределённая - система управления версиями, уязвима к инъекции команд - через специально сформированное имя репозитория в команде clone.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9390">CVE-2014-9390</a> - - <p>Имеется уязвимость, касающаяся репозиториев mercurial, расположенных на - файловых системах, нечувствительных к регистру (напр., VFAT или HFS+). Она позволяет - удалённо выполнять код при работе со специально сформированным репозиторием. Эта уязвимость - менее серьёзна для обычной системы Debian, поскольку в них, как правило, используются - файловые системы, чувствительные к регистру.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-237.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-238.wml b/russian/lts/security/2015/dla-238.wml deleted file mode 100644 index 820e73039c6..00000000000 --- a/russian/lts/security/2015/dla-238.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Тэвис Орманди обнаружил, что FUSE, файловая система в пространстве пользователя, не -выполняет очистку окружения до запуска mount или umount с повышенными -правами доступа. Локальный пользователь может использовать эту уязвимость для перезаписи -произвольных файлов и получения повышенных привилегий путём обращения к функциям отладки -через окружение, которое в обычной ситуации не считалось бы безопасным -для непривилегированных пользователей.</p> - -<p>В предыдущем старом стабильном выпуске (squeeze-lts) эта проблема была -исправлена в версии 2.8.4-1.1+deb6u1.</p> - -<p>Рекомендуется обновить пакеты fuse.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-238.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-239.wml b/russian/lts/security/2015/dla-239.wml deleted file mode 100644 index 5ad59bbf858..00000000000 --- a/russian/lts/security/2015/dla-239.wml +++ /dev/null @@ -1,38 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В системе печати CUPS было обнаружено две критических -уязвимости:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1158">CVE-2015-1158</a> - -<p>- Неправильное обновление счётчика загрузок - Cupsd использует строки для подсчёта загрузок в глобальном контексте. При выполнении грамматического - разбора запроса о задаче печати cupsd слишком уменьшает счётчик загрузок для - строки из запроса. В результате злоумышленник может преждевременно - освободить произвольную строку в глобальном контексте. Это может использоваться - для снятия защиты ACL для привилегированных операций, для загрузки - замены файла настроек, а также последующего запуска произвольного кода - на целевой машине.</p> - - <p>Данная ошибка может использоваться при настройках по умолчанию, для этого не - требуются какие-либо специальные права доступа, отличные от обычной возможности - печатать.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1159">CVE-2015-1159</a> - -<p>- Межсайтовый скриптинг - Межсайтовый скриптинг в движке шаблонов CUPS позволяет использовать - указанную выше ошибку в том случае, когда пользователь просматривает веб. Этот XSS - может использоваться при настройках по умолчанию для CUPS в Linux, - он позволяет злоумышленнику обходить настройки по умолчанию, привязывающие - планировщик CUPS к ‘localhost’ или петлевому интерфейсу.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-239.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-240.wml b/russian/lts/security/2015/dla-240.wml deleted file mode 100644 index 705791b5f91..00000000000 --- a/russian/lts/security/2015/dla-240.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В mod_jk для Apache, модуле для перенаправления запросов от веб-сервера Apache -к Tomcat, было обнаружено раскрытие информации из-за некорректной обработки директив -JkMount/JkUnmount. Правило JkUnmount для поддерева -предыдущего правила JkMount может игнорироваться. Это позволяет удалённому злоумышленнику -потенциально получать доступ к закрытому артефакту в дереве, к которому в обычном случае -он не имел бы доступа.</p> - -<p>В выпуске squeeze эта проблема была исправлена в версии -1:1.2.30-1squeeze2.</p> - -<p>Рекомендуется обновить пакеты libapache-mod-jk.</p> - -<p>Данное обновление была подготовлено Маркусом Кошани.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-240.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-241.wml b/russian/lts/security/2015/dla-241.wml deleted file mode 100644 index 777f1db6203..00000000000 --- a/russian/lts/security/2015/dla-241.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>В версии Wireshark из Squeeze LTS были обнаружены и исправлены -следующие уязвимости:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3811">CVE-2015-3811</a> - -<p>Диссектор WCP может аварийно завершить работу при распаковке данных.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-241.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-242.wml b/russian/lts/security/2015/dla-242.wml deleted file mode 100644 index 91ca61ef553..00000000000 --- a/russian/lts/security/2015/dla-242.wml +++ /dev/null @@ -1,38 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет большое количество потенциальных проблем безопасности из-за -недостаточной проверки данных при выполнении грамматического разбора различных входных -форматов. Большинство этих потенциальных проблем не имеют идентификатора -CVE.</p> - -<p>Хотя влияние на безопасность всех этих проблем полностью не известно, -настоятельно рекомендуется выполнить обновление.</p> - -<p>Данное обновление исправляет следующие уязвимости, имеющие идентификаторы CVE:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3437">CVE-2012-3437</a> - - <p>Неправильная проверка размера буфера PNG, приводящая к отказам в обслуживании при -использовании специально сформированных файлов в формате PNG.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8354">CVE-2014-8354</a> - - <p>Доступ к памяти за пределами выделенного буфера в функции изменения размера</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8355">CVE-2014-8355</a> - - <p>Переполнение буфера в коде для чтения PCX</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8562">CVE-2014-8562</a> - - <p>Переполнение буфера в коде для чтения DCM</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-242.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-243.wml b/russian/lts/security/2015/dla-243.wml deleted file mode 100644 index f3e0e66b835..00000000000 --- a/russian/lts/security/2015/dla-243.wml +++ /dev/null @@ -1,22 +0,0 @@ -#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>[Данная рекомендация DLA заменяет ошибочную рекомендацию DLA 241-1]</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3885">CVE-2015-3885</a> - - <p>Переполнение целых чисел в функции ljpeg_start function в dcraw 7.00 и более ранних - версиях позволяет удалённым злоумышленникам вызывать отказ в обслуживании (аварийная остановка) с помощью - специально сформированного изображения, которое вызывает переполнение буфера, связанное с переменной - len.</p></li> - -</ul> - -<p>Рекомендуется обновить пакеты libraw.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-243.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-244.wml b/russian/lts/security/2015/dla-244.wml deleted file mode 100644 index bb8e804c154..00000000000 --- a/russian/lts/security/2015/dla-244.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Александр Патраков обнаружил проблему в strongSwan, наборе IKE/IPsec, -используемом для установления IPsec-защищённых соединений.</p> - -<p>Если клиент аутентифицирует сервер с помощью сертификатов, а сервер — клиента -по открытому ключу или EAP, то ограничения серверного -сертификата используются клиентом только после успешного и полного выполнения всех -шагов аутентификации. Злоумышленник, владеющий сервером, которые может быть аутентифицирован -клиентом с помощью корректного сертификата, выданного доверенным авторитетом, может -обманом вынудить пользователя продолжить аутентификацию, раскрывая -имя пользователя и хеш-сумму пароля (для EAP), либо даже пароль в виде открытого текста -(если принят EAP-GTC).</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-244.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-245.wml b/russian/lts/security/2015/dla-245.wml deleted file mode 100644 index 4c3d8dc4ed8..00000000000 --- a/russian/lts/security/2015/dla-245.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Александр Черепанов обнаружил, что p7zip может содержать -уязвимость, приводящую к обходу каталога. Во время распаковки архива программа -распаковывает символьные ссылки и переходит по ним в том случае, если они используются -в последующих записях. Это может использоваться специально сформированным архивом для записи -файлов за пределами текущего каталога.</p> - -<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была -исправлена в версии 9.04~dfsg.1-1+deb6u1.</p> - -<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках -эта проблема будет исправлена позже.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-245.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-246.wml b/russian/lts/security/2015/dla-246.wml deleted file mode 100644 index 225ed069268..00000000000 --- a/russian/lts/security/2015/dla-246.wml +++ /dev/null @@ -1,127 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Обновление linux-2.6, выпущенное как DLA-246-1, вызвало регрессию. Данное -обновление исправляет дефектные заплаты, которые были применены в указанном обновлении, -вызвавшем проблемы. Ниже приводится оригинальный текст рекомендации.</p> - -<p>Данное обновление исправляет описанные ниже CVE.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-5321">CVE-2011-5321</a> - - <p>Иржи Слаби обнаружил, что в функции tty_driver_lookup_tty() может происходить утечка - указания на драйвер tty. Локальный пользователь может использовать эту уязвимость - для аварийной остановки системы.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6689">CVE-2012-6689</a> - - <p>Пабло Нейра Аусо обнаружил, что процессы из пользовательского пространства, не принадлежащие - суперпользователю, могут отправлять поддельные уведомления Netlink другим процессам. Локальный - пользователь может использовать эту уязвимость для вызова отказа в обслуживании или повышения - привилегий.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3184">CVE-2014-3184</a> - - <p>Бен Хокс обнаружил, что различные драйверы HID могут выполнять чтение буфера - отчётного дескриптора слишком много раз, что может приводить к аварийной остановке в том случае, если - подключается HID-устройство, имеющее специально сформированный дескриптор.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8159">CVE-2014-8159</a> - - <p>Было обнаружено, что подсистема InfiniBand/RDMA ядра Linux - неправильно выполняет очистку входных параметров в ходе регистрации регионов - памяти из пользовательского пространства через API (u)verbs. Локальный пользователь, - имеющий доступ к устройству /dev/infiniband/uverbsX, может использовать эту уязвимость - для аварийной остановки системы или потенциального повышения своих привилегий в - этой системе.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9683">CVE-2014-9683</a> - - <p>Дмитрий Черненков обнаружил, что eCryptfs выполняет запись за пределами - выделенного буфера в ходе декодирования закодированного имени файла, что приводит - к локальному отказу в обслуживании.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9728">CVE-2014-9728</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2014-9729">CVE-2014-9729</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2014-9730">CVE-2014-9730</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2014-9731">CVE-2014-9731</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2015-4167">CVE-2015-4167</a> - - <p>Карл Хенрик Лунде обнаружил, что в реализации UDF - отсутствуют некоторые необходимые проверки длин. Локальный пользователь, способный - монтировать устройства, может использовать эти различные уязвимости для аварийной остановки системы, - утечки информации из ядра или потенциального повышения - привилегий.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1805">CVE-2015-1805</a> - - <p>Сотрудники Red Hat обнаружили, что реализации чтения и записи для - канала iovec могут дважды проходить iovec, но изменяют - iovec таким образом, что при втором проходе они обращаются к неправильному - буферу памяти. Локальный пользователь может использовать эту уязвимость для аварийной остановки системы или - потенциального повышения привилегий. Кроме того, это может приводить к повреждению - данных и утечкам информации в каналах между правильно работающими - процессами.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2041">CVE-2015-2041</a> - - <p>Саша Левин обнаружил, что подсистема LLC раскрывает некоторые - переменные в качестве sysctl с неправильным типом. На 64-битных ядрах это - может позволить повысить привилегии из процесса, имеющего - CAP_NET_ADMIN; кроме того, это приводит к тривиальной утечке - информации.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2042">CVE-2015-2042</a> - - <p>Саша Левин обнаружил, что подсистема RDS раскрывает некоторые - переменные в качестве sysctl с неправильным типом. На 64-битных ядрах это - приводит к тривиальной утечке информации.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2830">CVE-2015-2830</a> - - <p>Эндрю Лутомирски обнаружил, что когда 64-битная задача на ядре amd64 - выполняет системный вызов fork(2) или clone(2), используя $0x80, - то флаг 32-битной совместимости (правильно) устанавливается, но не - очищается при возврате. В результате и seccomp, и audit - неправильно интерпретируют следующий системный вызов задачи/задач, что может - приводить к нарушению правил безопасности.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2922">CVE-2015-2922</a> - - <p>Сотрудники Modio AB обнаружили, что подсистема IPv6 обрабатывает объявления - маршрутизатора, не определяющие пути, а только ограничение пересылок, что - затем может применяться к интерфейсу, получившему такое объявление. Это может - приводить к потере соединения по IPv6 за пределами локальной сети.</p> - - <p>Это можно обойти путём отключения обработки объявлений маршрутизаторов - IPv6 в том случае, если они не нужны:</p> -<pre> - sysctl net.ipv6.conf.default.accept_ra=0 - sysctl net.ipv6.conf.<interface>.accept_ra=0 -</pre></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3339">CVE-2015-3339</a> - - <p>Было обнаружено, что системный вызов execve(2) может переходить в состояние гонки - с изменением атрибута индексного дескриптора, выполняемом chown(2). Хотя chown(2) очищает - биты, позволяющие запускать программу от лица другого пользователя или группы, в том случае, если изменяется идентификатор владельца, - данное состояние гонки может приводить к тому, что execve(2) может установить - соответствующий бит прав доступа для нового идентификатора владельца, что повышает привилегии.</p></li> - -</ul> - -<p>В старом предыдущем стабильном выпуске (squeeze) эти проблемы были -исправлены в версии 2.6.32-48squeeze12.</p> - -<p>В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в -пакете linux версии 3.2.68-1+deb7u1 или более ранних за исключением <a href="https://security-tracker.debian.org/tracker/CVE-2015-1805">CVE-2015-1805</a> и -<a href="https://security-tracker.debian.org/tracker/CVE-2015-4167">CVE-2015-4167</a>, которые будут исправлены позже.</p> - -<p>В стабильном выпуске (jessie) эти проблемы были исправлены в -пакете linux версии 3.16.7-ckt11-1 или более ранних за исключением <a href="https://security-tracker.debian.org/tracker/CVE-2015-4167">CVE-2015-4167</a>, которая -будет исправлена позже.</p> - -<p>Рекомендуется обновить пакеты linux-2.6.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-246.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-247.wml b/russian/lts/security/2015/dla-247.wml deleted file mode 100644 index 855e0221821..00000000000 --- a/russian/lts/security/2015/dla-247.wml +++ /dev/null @@ -1,54 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружены -многочисленные уязвимости.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8176">CVE-2014-8176</a> - - <p>Правеен Кариянахалли, Айван Фратрик и Феликс Грёберт обнаружили, - что может происходить некорректное освобождение памяти при буферизации - данных DTLS. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании - (аварийная остановка) или потенциально выполнить произвольный код. Эта проблема касается - только предыдущего стабильного выпуска (wheezy).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1789">CVE-2015-1789</a> - - <p>Роберт Свики и Ханно Бёк обнаружил, что функция X509_cmp_time может считывать - несколько байт за границами выделенного буфера памяти. Это может позволить удалённым - злоумышленникам вызвать отказ в обслуживании (аварийная остановка) с помощью специально - сформированных сертификатов и CRL.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1790">CVE-2015-1790</a> - - <p>Михал Залевски обнаружил, что код для выполнения грамматического разбора PKCS#7 - неправильно обрабатывает отсутствующее содержимое, что приводит к разыменованию - NULL-указателя. Это может позволить удалённым злоумышленникам вызвать отказ в - обслуживании (аварийная остановка) при помощи специально сформированных закодированных с помощью ASN.1 двоичных данных PKCS#7.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1791">CVE-2015-1791</a> - - <p>Эмилия Кэспер обнаружила, что из-за некорректной обработки NewSessionTicket в многопоточном - клиенте может возникать состояние гонки, которое - приводит к двойному освобождению памяти. Это может позволить удалённым злоумышленникам вызвать - отказ в обслуживании (аварийная остановка).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1792">CVE-2015-1792</a> - - <p>Йоханнес Бауер обнаружил, что код CMS может войти в бесконечный - цикл при проверке сообщения signedData в том случае, если ему попадается - неизвестный OID хеш-функции. Это может позволить удалённым злоумышленникам вызвать - отказ в обслуживании.</p></li> - -</ul> - -<p>Кроме того, OpenSSL теперь отклоняет рукопожатия, использующие параметры DH -короче 768 бит, что является контрмерой атаке Logjam -(<a href="https://security-tracker.debian.org/tracker/CVE-2015-4000">CVE-2015-4000</a>).</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-247.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-248.wml b/russian/lts/security/2015/dla-248.wml deleted file mode 100644 index 25dd80da9d2..00000000000 --- a/russian/lts/security/2015/dla-248.wml +++ /dev/null @@ -1,29 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В qemu, решении для виртуализации, было обнаружено несколько уязвимостей:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3456">CVE-2015-3456</a> - - <p>Джейсон Геффнер обнаружил переполнение буфера в эмуляции привода гибких - магнитных дисков, которое приводит к выполнению произвольного кода.</p> - -<p>Несмотря на окончание жизненного цикла qemu в предыдущем старом стабильном -выпуске (squeeze-lts), данная проблема была исправлена в версии -0.12.5+dfsg-3squeeze4 пакета с исходным кодом qemu в связи с серьёзностью этой проблемы -(так называемся уязвимость VENOM).</p> - -<p>В пакете qemu в предыдущем старом стабильном выпуске (squeeze-lts) могут -присутствовать и другие проблемы, пользователям, использующим -qemu, настоятельно рекомендуется выполнить обновление до более свежей версии Debian.</p> - -<p>Рекомендуется обновить пакеты qemu.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-248.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-249.wml b/russian/lts/security/2015/dla-249.wml deleted file mode 100644 index 3bff8ece1ac..00000000000 --- a/russian/lts/security/2015/dla-249.wml +++ /dev/null @@ -1,29 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В qemu, решении для виртуализации, было обнаружено несколько уязвимостей:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3456">CVE-2015-3456</a> - - <p>Джейсон Геффнер обнаружил переполнение буфера в эмуляции привода гибких - магнитных дисков, которое приводит к выполнению произвольного кода.</p> - -<p>Несмотря на окончание жизненного цикла qemu-kvm в предыдущем старом стабильном -выпуске (squeeze-lts), данная проблема была исправлена в версии -0.12.5+dfsg-5squeeze11 пакета с исходным кодом qemu в связи с серьёзностью этой проблемы -(так называемся уязвимость VENOM).</p> - -<p>В пакете qemu-kvm в предыдущем старом стабильном выпуске (squeeze-lts) могут -присутствовать и другие проблемы, пользователям, использующим -qemu-kvm, настоятельно рекомендуется выполнить обновление до более свежей версии Debian.</p> - -<p>Рекомендуется обновить пакеты qemu-kvm.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-249.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-250.wml b/russian/lts/security/2015/dla-250.wml deleted file mode 100644 index c0312e1b788..00000000000 --- a/russian/lts/security/2015/dla-250.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Авторы основной ветки разработки выпустили версию 0.98.5. Данное обновление обновляет sqeeze-lts -до наиболее свежего выпуска из основной ветки разработки, что согласуется с общим подходом, используемом -для других выпусков Debian.</p> - -<p>Данное обновление исправляет ошибку с двойным освобождением памяти, которая присутствует в -функции "unrar_extract_next_prepare()" (libclamunrar_iface/unrar_iface.c) и возникает -при грамматическом разборе файлов RAR. Хотя идентификатор CVE этой проблеме не был назначен, данная уязвимость -потенциально может повлиять на безопасность.</p> - -<p>Если вы используете libclamunrar, настоятельно рекомендуем выполнить обновление до -указанной версии.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-250.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-251.wml b/russian/lts/security/2015/dla-251.wml deleted file mode 100644 index d66613dfe59..00000000000 --- a/russian/lts/security/2015/dla-251.wml +++ /dev/null @@ -1,81 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В предыдущей загрузке zendframework содержалось неправильное исправление <a href="https://security-tracker.debian.org/tracker/CVE-2015-3154">CVE-2015-3154</a>, -вызывающее регресс. Данное обновление исправляет эту проблему. Благодарим -Евгения Смолина.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6531">CVE-2012-6531</a> - - <p>Пэдрэк Брэйди обнаружил уязвимость в обработке класса SimpleXMLElement, - позволяющую удалённым злоумышленникам считывать произвольные - файлы или создавать TCP-соединения через инъекцию внешней - сущности XML (XXE).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6532">CVE-2012-6532</a> - - <p>Пэдрэк Брэйди обнаружил, что удалённые злоумышленники могут вызвать отказ в - обслуживании из-за чрезмерного потребления ресурсов ЦП с помощью рекурсивных или круговых ссылок - через раскрытие сущности XML (XEE).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2681">CVE-2014-2681</a> - - <p>Лукас Решке сообщил об отсутствии защиты от инъекции внешних - сущностей XML в некоторых функциях. Данное исправление дополняет - неполное исправление <a href="https://security-tracker.debian.org/tracker/CVE-2012-5657">CVE-2012-5657</a>.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2682">CVE-2014-2682</a> - - <p>Лукас Решке сообщил об ошибке проверки того, что - опция libxml_disable_entity_loader разделяется несколькими потоками в - случае использования PHP-FPM. Данное исправление дополняет неполное исправление - <a href="https://security-tracker.debian.org/tracker/CVE-2012-5657">CVE-2012-5657</a>.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2683">CVE-2014-2683</a> - - <p>Лукас Решке сообщил об отсутствии защиты от раскрытия сущностей XML - в некоторых функциях. Данное исправление дополняет неполное - исправление <a href="https://security-tracker.debian.org/tracker/CVE-2012-6532">CVE-2012-6532</a>.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2684">CVE-2014-2684</a> - - <p>Кристиан Маинка и Владислав Младенов из Рурского университета - сообщили об ошибке в методе проверки покупателя, которая приводит - к принятию токенов от неправильных источников.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2685">CVE-2014-2685</a> - - <p>Кристиан Маинка и Владислав Младенов из Рурского университета - сообщили о нарушении спецификации, в котором подпись - единственного параметра ошибочно считается достаточной.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4914">CVE-2014-4914</a> - - <p>Кассиано Дал Пиццол обнаружил, что реализация SQL-утверждения ORDER - BY в Zend_Db_Select содержит потенциальную SQL-инъекцию в случае - передачи строки запроса, содержащей скобки.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8088">CVE-2014-8088</a> - - <p>Юрий Дьяченко из Positive Research Center обнаружил потенциальную инъекцию - внешней сущности XML из-за небезопасного использования расширения DOM - для PHP.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8089">CVE-2014-8089</a> - - <p>Йонас Сандстрём обнаружил SQL-инъекцию при ручном закавычивании - значения для расширения sqlsrv, используя null-байт.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3154">CVE-2015-3154</a> - - <p>Филиппо Тессаротто и Maks3w сообщили о потенциальной инъекции CRLF - в сообщениях электронной почты и заголовках HTTP.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-251.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-253.wml b/russian/lts/security/2015/dla-253.wml deleted file mode 100644 index cf0831c1486..00000000000 --- a/russian/lts/security/2015/dla-253.wml +++ /dev/null @@ -1,25 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В библиотеке для преобразования метафайлов Windows были обнаружены следующие уязвимости, возникающие -при чтении изображений в формате BMP, встроенных в файлы WMF:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0848">CVE-2015-0848</a> - - <p>Переполнение динамической памяти при декодировании встроенных изображений в формате BMP, которые не используют - 8 бит на пиксель.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4588">CVE-2015-4588</a> - - <p>Отсутствие проверки в RLE-декодировании встроенных изображений в формате BMP.</p></li> - -</ul> - -<p>Рекомендуется обновить пакеты libwmf.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-253.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-254.wml b/russian/lts/security/2015/dla-254.wml deleted file mode 100644 index 6f08efe9821..00000000000 --- a/russian/lts/security/2015/dla-254.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Rack, модульном интерфейсе веб-сервера на Ruby, имеется потенциальная -проблема, приводящая к отказу в обслуживании.</p> - -<p>Специально сформированные запросы могут вызвать ошибку `SystemStackError`, -а отсутствие проверки глубины при нормализации параметров может приводить -к отказу в обслуживании.</p> - -<p>Рекомендуется обновить пакеты librack-ruby.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-254.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-255.wml b/russian/lts/security/2015/dla-255.wml deleted file mode 100644 index 982f1f7a558..00000000000 --- a/russian/lts/security/2015/dla-255.wml +++ /dev/null @@ -1,38 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Cacti, веб-интерфейсе для мониторинга систем и построения -графиков, было обнаружено несколько уязвимостей (межсайтовый -скриптинг и SQL-инъекции).</p> - -<p>Рекомендуется обновить пакеты cacti.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2665">CVE-2015-2665</a> - - <p>Межсайтовый скриптинг (XSS) в Cacti до версии 0.8.8d - позволяет удалённым злоумышленникам вводить произвольный сценарий или код HTML через - неопределённые векторы.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4342">CVE-2015-4342</a> - - <p>SQL-инъекция и инъекция заголовка Location из идентификатора cdef</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4454">CVE-2015-4454</a> - - <p>SQL-инъекция в функции get_hash_graph_template в - lib/functions.php в Cacti до версии 0.8.8d позволяет удалённым злоумышленникам - выполнять произвольные команды SQL через параметр graph_template_id - для graph_templates.php</p> - -<li>SQL-инъекция, не имеющая номера CVE VN:JVN#78187936 / TN:JPCERT#98968540 - - <p>SQL-инъекция на странице настроек</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-255.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-256.wml b/russian/lts/security/2015/dla-256.wml deleted file mode 100644 index 262886567c3..00000000000 --- a/russian/lts/security/2015/dla-256.wml +++ /dev/null @@ -1,23 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Якуб Вилк обнаружил уязвимость в программах работы со шрифтами Type 1, -t1utils:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3905">CVE-2015-3905</a> - - <p>Переполнения буфера в функции set_cs_start в t1disasm.c из t1utils - до версии 1.39 позволяют удалённых злоумышленникам вызывать отказ в обслуживании (аварийная остановка) - и потенциально выполнять произвольный код при помощи специально сформированного файла шрифтов.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в t1utils версии -1.36-1+deb6u1.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-256.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-257.wml b/russian/lts/security/2015/dla-257.wml deleted file mode 100644 index 9eee7f37610..00000000000 --- a/russian/lts/security/2015/dla-257.wml +++ /dev/null @@ -1,25 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>libwmf уязвима к двум отказам в обслуживании из-за неправильных операций -чтения в ходе обработки специально сформированных файлов в формате WMF.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4695">CVE-2015-4695</a> - - <p>Переполнение динамической памяти в libwmf</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4696">CVE-2015-4696</a> - - <p>Чтение после выполнения функции free() в wmf2gd/wmf2eps</p></li> - -</ul> - -<p>В выпуске squeeze эти проблемы были исправлены в libwmf версии -0.2.8.4-6.2+deb6u2. Рекомендуется обновить пакеты libwmf.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-257.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-258.wml b/russian/lts/security/2015/dla-258.wml deleted file mode 100644 index 25ca5578a5d..00000000000 --- a/russian/lts/security/2015/dla-258.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Shadowman131 обнаружил, что jqueryui, библиотека пользовательского интерфейса JavaScript -для динамических веб-приложений, неправильно выполняет очистку опции -<q>title</q>. Это позволяет удалённому злоумышленнику вводить произвольный код -с помощью межсайтового скриптинга.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-258.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-259.wml b/russian/lts/security/2015/dla-259.wml deleted file mode 100644 index edbde43611d..00000000000 --- a/russian/lts/security/2015/dla-259.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Shibboleth (интегрированной инфраструктуре учётных записей) был обнаружен -отказ в обслуживании. Обработка определённого специально -сформированного сообщения SAML, созданного аутентифицированным злоумышленником, может -приводить к аварийной остановке службы.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в -версии 2.3.1+dfsg-5+deb6u1.</p> - -<p>Рекомендуется обновить пакеты shibboleth-sp2.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-259.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-260.wml b/russian/lts/security/2015/dla-260.wml deleted file mode 100644 index 44fa1c99788..00000000000 --- a/russian/lts/security/2015/dla-260.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В коде обработки WMM Action в случае использования hostapd для реализации функциональности MLME/SME -режима точки доступа (напр., в случае драйвера Host AP для драйвера на основе mac80211 на Linux) была -обнаружена уязвимость.</p> - -<p>Эта уязвимость может использоваться злоумышленником, находящимся в пределах доступности -радиосигнала точки доступа, использующей hostapd для операций MLME/SME, -для вызова отказа в обслуживании.</p> - -<p>В Debian 6 <q>Squeeze</q> эта уязвимость была исправлена в версии -1:0.6.10-2+squeeze2 пакета hostapd. Рекомендуется обновить пакет -hostapd.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-260.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-261.wml b/russian/lts/security/2015/dla-261.wml deleted file mode 100644 index 7d04260e381..00000000000 --- a/russian/lts/security/2015/dla-261.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Сообщено, что версия 0.31+bzr413-1.1+deb6u1 пакета aptdaemon (в которой -исправлена <a href="https://security-tracker.debian.org/tracker/CVE-2015-1323">CVE-2015-1323</a>) не может быть установлена в том случае, если установлен Python 2.5.</p> - -<p>Эта проблема была исправлена в версии 0.31+bzr413-1.1+deb6u2.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-261.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-262.wml b/russian/lts/security/2015/dla-262.wml deleted file mode 100644 index e974071a7cc..00000000000 --- a/russian/lts/security/2015/dla-262.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Евгений Сидоров обнаружил, что libcrypto++, криптографическая библиотека C++ -общего назначения, неправильно реализует блокировку для маскирования -операций с закрытыми ключами для алгоритма цифровой подписи -Рабина-Уильямса. Это может позволить удалённым злоумышленникам вызывать атаку по таймингам -и получить закрытые ключи пользователей.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-262.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-263.wml b/russian/lts/security/2015/dla-263.wml deleted file mode 100644 index 1b3473aed3d..00000000000 --- a/russian/lts/security/2015/dla-263.wml +++ /dev/null @@ -1,34 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В интерпретаторе языка Ruby версии 1.9.1 было обнаружено -две уязвимости.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-5371">CVE-2012-5371</a> - - <p>Жан=Филипп Омассон определил, что Ruby вычисляет хеш-значения без - соответствующего ограничения возможности предсказать столкновения - хешей, что позволяет злоумышленникам в зависимости от контекста вызывать отказ - в обслуживании (чрезмерное потребление ресурсов ЦП). Это уязвимость отличается от - <a href="https://security-tracker.debian.org/tracker/CVE-2011-4815">CVE-2011-4815</a>.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0269">CVE-2013-0269</a> - - <p>Томас Холлстеге и Бен Мёрфи обнаружили, что модуль JSON для Ruby - позволяет удалённым злоумышленникам вызывать отказ в обслуживании (чрезмерное потребление - ресурсов) или обходить механизм защиты массовых назначений с помощью - специально сформированного документа JSON, приводящего к созданию произвольных символов - Ruby или определённых внутренних объектов.</p></li> - -</ul> - -<p>В выпуске squeeze эти уязвимости были исправлены в -версии 1.9.2.0-2+deb6u5 пакета ruby1.9.1. Рекомендуется обновить -пакет ruby1.9.1.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-263.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-264.wml b/russian/lts/security/2015/dla-264.wml deleted file mode 100644 index 9d082ff057a..00000000000 --- a/russian/lts/security/2015/dla-264.wml +++ /dev/null @@ -1,49 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Джон Лайтси обнаружил многочисленные уязвимости в Module::Signature, -модуле Perl для работы с файлами CPAN SIGNATURE. Проект Common -Vulnerabilities and Exposures определяет следующие проблемы:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3406">CVE-2015-3406</a> - - <p>Module::Signature может выполнять грамматический разбор неподписанной части файла - SIGNATURE как подписанной части из-за неправильной обработки границ - PGP-подписи.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3407">CVE-2015-3407</a> - - <p>Module::Signature неправильно обрабатывает файлы, которые не указаны в - файле SIGNATURE. Это включает в себя некоторые файлы в каталоге t/, - которые будут выполнены при запуске тестов.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3408">CVE-2015-3408</a> - - <p>Module::Signature использует вызовы open() с двумя аргументами для чтения файлов - при создании контрольных сумм из подписанных деклараций. Это позволяет - встраивать произвольные команды командной оболочки в файл SIGNATURE, которые будут - выполнены в процессе проверки подписи.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3409">CVE-2015-3409</a> - - <p>Module::Signature неправильно обрабатывает загрузку модулей, позволяя - загружать модули по относительным путям в @INC. Удалённый злоумышленник, - предоставивший специально сформированный модуль, может использовать данную проблему - для выполнения произвольного кода в процессе проверки подписи.</p></li> - -</ul> - -<p>В выпуске squeeze эти проблемы были исправлены в версии -0.63-1+squeeze2 пакет libmodule-signature-perl. Заметьте, что -пакет libtest-signature-perl тоже был обновлён с целью обеспечения совместимости с -исправлением <a href="https://security-tracker.debian.org/tracker/CVE-2015-3407">CVE-2015-3407</a>.</p> - -<p>Рекомендуется обновить пакеты libmodule-signature-perl и -libtest-signature-perl.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-264.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-265.wml b/russian/lts/security/2015/dla-265.wml deleted file mode 100644 index 27405d88a11..00000000000 --- a/russian/lts/security/2015/dla-265.wml +++ /dev/null @@ -1,48 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Мартин Прпик сообщил в Red Hat Bugzilla (системе отслеживания ошибок Fedora) -о возможности осуществления атак по принципу человек-в-середине в коде pykerberos. Ранее -о проблеме было <a href="https://www.calendarserver.org/ticket/833">сообщено автором основной ветки разработки</a>. Ниже -приводится сообщение об ошибке из основной ветки разработки:</p> - -<p>Метод checkPassword() в python-kerberos в предыдущем выпуске -оказался небезопасным. Он использовался для выполнения (и по умолчанию используется до сих пор) kinit -(AS-REQ) для запроса TGT у KDC для данной учётной записи, а также -интерпретирует успешное выполнение этой операции или ошибку, указывая то, верен -пароль или нет. Тем не менее, этот метод не выполняет проверку того, чтобы -взаимодействие осуществлялось с доверенной KDC: злоумышленник может ответить вместо KDC сообщением с AS-REP, -совпадающим с переданным им паролем.</p> - -<p>Представьте, что вы проверяете пароль, используя аутентификацию LDAP, а не -Kerberos: конечно, вы будете использовать TLS с LDAP для того, чтоб -убедиться, что вы взаимодействуете с настоящим доверенным сервером LDAP. Тут применяется -то же требование. kinit не является службой проверки паролей.</p> - -<p>Обычно, вы используете TGT, полученный вместе с паролем пользователя, -затем получаете билет для учётной записи, для которой у проверяющего -имеются ключи (например, веб-сервер, проверяющий имя пользователя и пароль в форме -аутентификации, может получить билет для своей собственной учётной записи HTTP/host@REALM), которые -он затем может проверить. Заметьте, что это требует того, чтобы проверяющий имел свою -собственную учётную запись Kerberos, что требуется из-за симметричной природы -Kerberos (а в случае с LDAP использование шифрования с открытыми ключами -позволяет осуществлять анонимную проверку).</p> - -<p>В этой версии пакета pykerberos добавлена новая опция для -метода checkPassword(). Установка опции verify в значение True при использовании -метода checkPassword() приведёт к выполнению проверки KDC. Это этого вам -следует предоставить файл krb5.keytab, содержащий ключи учётных записей для -службы, которую вы намерены использовать.</p> - -<p>Поскольку по умолчанию файл krb5.keytab в /etc не доступен -пользователям и процессам, не имеющим права суперпользователя, вам следует убедиться, что ваш собственный файл -krb5.keytab, содержащий правильные ключи учётных записей, передаётся вашему -приложению через переменную окружения KRB5_KTNAME.</p> - -<p><b>Внимание</b>: в Debian squeeze(-lts) поддержка проверки KDC по умолчанию отключена -для того, чтобы не нарушалась работа уже настроенных систем.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-265.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-266.wml b/russian/lts/security/2015/dla-266.wml deleted file mode 100644 index 91f1ace8c44..00000000000 --- a/russian/lts/security/2015/dla-266.wml +++ /dev/null @@ -1,34 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данная загрузка в Debian squeeze-lts исправляет три проблемы, обнаруженные в пакете -libxml2.</p> - -<p>(1) <a href="https://security-tracker.debian.org/tracker/CVE-2015-1819">CVE-2015-1819</a> / #782782</p> - -<p>Флориан Ваймер из Red Hat сообщил о проблеме в libxml2, при которой код -для выполнения грамматического разбора, использующий фильтры libxml2 для работы со специально сформированным документом XML, выделяет -несколько гигабайт данных. Эта проблема представляет собой тонкую грань между неправильным использованием API и ошибкой -в libxml2. Проблема решена в основной ветке разработки libxml2, заплата -была адаптирована для libxml2 в squeeze-lts.</p> - -<p>(2) #782985</p> - -<p>Джун Кокатсу сообщил о доступе за пределами выделенного буфера памяти в libxml2. Получая -незакрытый комментарий html, код грамматического разбора libxml2 не останавливается -в конце буфера, что приводит к доступу к случайному региону памяти, содержимое которого -включается в комментарий, передаваемый приложению.</p> - -<p>В приложении Shopify (в котором эта проблема была изначально обнаружена) -это приводит к тому, что объекты ruby из предыдущих запросов http раскрываются в -отрисовываемой странице.</p> - -<p>(3) #783010</p> - -<p>Михал Залевски сообщил о чтении за пределами выделенного буфера памяти в libxml2, которое -не приводит к аварийным остановкам, но может быть определёно с помощью ASAN и Valgrind.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-266.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-268.wml b/russian/lts/security/2015/dla-268.wml deleted file mode 100644 index 046d0e50942..00000000000 --- a/russian/lts/security/2015/dla-268.wml +++ /dev/null @@ -1,35 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В версии VirtualBox (пакет: virtualbox-ose), решении для виртуализации для архитектуры x86, -входящей в состав Debian squeeze-lts, было обнаружено три уязвимости.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0377">CVE-2015-0377</a> - - <p>Не допускается позволять локальным пользователям влиять на доступность через - неизвестные векторы, связанные с Core, что может приводить к отказу в - обслуживании. (Это отличная от <a href="https://security-tracker.debian.org/tracker/CVE-2015-0418">CVE-2015-0418</a> проблема).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0418">CVE-2015-0418</a> - - <p>Не допускается позволять локальным пользователям влиять на доступность через - неизвестные векторы, связанные с Core, что может приводить к отказу в - обслуживании. (Это отличная от <a href="https://security-tracker.debian.org/tracker/CVE-2015-0377">CVE-2015-0377</a> проблема).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3456">CVE-2015-3456</a> - - <p>Контроллер гибких магнитных дисков (FDC) в QEMU, используемый в VirtualBox и - в других продуктах для виртуализации, позволяет локальным пользователям гостевой системы вызывать - отказ в обслуживании (запись за пределами выделенного буфера памяти и аварийная остановка гостевой системы) или - потенциально выполнять произвольный код с помощью (1) FD_CMD_READ_ID, (2) - FD_CMD_DRIVE_SPECIFICATION_COMMAND, либо выполнять другие неопределённые команды, - aka VENOM.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-268.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-269.wml b/russian/lts/security/2015/dla-269.wml deleted file mode 100644 index 5bc50e7a555..00000000000 --- a/russian/lts/security/2015/dla-269.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Из-за отсутствия скобок в заплате '500-ssl.diff' -возникла проблема, которая приводит к выполнению -'fclose(NULL)' и, таким образом, к ошибке сегментирования. -Эта ошибка возникает во время превращения 'linux-ftpd' в -'linux-ftpd-ssl'.</p> - -<p>Этой проблеме идентификатор CVE не был назначен.</p> - -<p>Заплата была подготовлена Мэтсом Эриком Андерсоном.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-269.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-270.wml b/russian/lts/security/2015/dla-270.wml deleted file mode 100644 index df0ec32ca4d..00000000000 --- a/russian/lts/security/2015/dla-270.wml +++ /dev/null @@ -1,27 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В DNS-сервере bind9 была обнаружена уязвимость:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4620">CVE-2015-4620</a> - - <p>Брено Сильвейра из Servico Federal de Processamento de Dados (SERPRO) - обнаружил, что DNS-сервер BIND содержит отказ в - обслуживании. Удалённый злоумышленник, который может заставить службу проверяющего разрешения - имён выполнить запрос зоны, содержащей специально сформированное содержимое, может - вызвать аварийную остановку службы разрешения имён из-за ошибки утверждения, что приводит - к отказу в обслуживании по отношению к клиентам, обращающимся к этой службе.</p></li> - -</ul> - -<p>В выпуске squeeze эти проблемы были исправлены в версии -9.7.3.dfsg-1~squeeze15 пакета bind9.</p> - -<p>Рекомендуется обновить пакеты bind9.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-270.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-271.wml b/russian/lts/security/2015/dla-271.wml deleted file mode 100644 index c26f3606a2b..00000000000 --- a/russian/lts/security/2015/dla-271.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Неправильные коды операций dwarf могут вызывать обращения за пределы массива.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-271.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-272.wml b/russian/lts/security/2015/dla-272.wml deleted file mode 100644 index 48d98cfac25..00000000000 --- a/russian/lts/security/2015/dla-272.wml +++ /dev/null @@ -1,38 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Django, высокоуровневой инфраструктуре веб-разработки на языке Python, было -обнаружено несколько уязвимостей:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2317">CVE-2015-2317</a> - - <p>Дэниель Чатфилд обнаружил, что python-django, высокоуровневая инфраструктура веб-разработки - на языке Python, неправильно обрабатывает передаваемые пользователем перенаправления - URL. Удалённый злоумышленник может использовать эту проблему для выполнения межсайтового - скриптинга.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5143">CVE-2015-5143</a> - - <p>Эрик Петерсон и Линь Хуа Чэн обнаружили, что новые пустые записи - используются для создания сессионного хранилища каждый раз, когда происходит - обращение к сессии и предоставляется неизвестный ключ сессии в запросе - куки. Это позволяет удалённым злоумышленникам заполнять сессионное хранилище - или удалять сессионные записи других пользователей.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5144">CVE-2015-5144</a> - - <p>Съёрд Йоб Постмус обнаружил, что некоторые встроенные механизмы проверки неправильно - отклоняют новые строки во входных значениях. Это может позволить удалённым - злоумышленникам вводить заголовки в сообщения электронной почты и запросы HTTP.</p></li> - -</ul> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены в -версии 1.2.3-3+squeeze13.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-272.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-273.wml b/russian/lts/security/2015/dla-273.wml deleted file mode 100644 index 5549d5a8a5d..00000000000 --- a/russian/lts/security/2015/dla-273.wml +++ /dev/null @@ -1,29 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Фернандо Муноз обнаружил проблему безопасности в tidy, программе проверки синтаксиса и -переформатирования HTML. Программа tidy неправильно обрабатывает определённые последовательности символов, -а удалённый злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании или потенциального -выполнения произвольного кода. Этой проблеме назначено два идентификатора CVE.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5522">CVE-2015-5522</a> - - <p>Неправильно сформированные документы HTML могут приводить к переполнению динамической памяти.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5523">CVE-2015-5523</a> - - <p>Неправильно сформированные документы HTML могут приводить к выделению 4ГБ памяти.</p></li> - -</ul> - -<p>В выпуске Squeeze эта проблема была исправлена в -версии 20091223cvs-1+deb6u1 пакета tidy.</p> - -<p>Рекомендуется обновить пакеты tidy.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-273.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-274.wml b/russian/lts/security/2015/dla-274.wml deleted file mode 100644 index e2dc86cfe4a..00000000000 --- a/russian/lts/security/2015/dla-274.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>cpnrodzc7, работающий в HP Zero Day Initiative, обнаружил, что -приложения на Java, использующие стандартные механизмы сериализации Java для -декодирования недоверенных данных и имеющие Groovy в classpath, могут -получить сериализованный объект, который приведёт к тому, что такое приложение -выполнит произвольный код.</p> - -<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была -исправлена в версии 1.7.0-4+deb6u1.</p> - -<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках -эта проблема будет исправлена позже.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-274.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-275.wml b/russian/lts/security/2015/dla-275.wml deleted file mode 100644 index c792c4e4b4a..00000000000 --- a/russian/lts/security/2015/dla-275.wml +++ /dev/null @@ -1,18 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что пакет uri из стандартной библиотеки Ruby -использует регулярные выражения, которые могут приводить к чрезмерному перебору с возвратом. -Приложения на Ruby, выполняющие грамматический разбор недоверенных URI и использующие эту библиотеку, -подвержены атакам, вызывающим отказ в обслуживании, путём передачи специально сформированных URI.</p> - -<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была -исправлена в версии 1.9.2.0-2+deb6u6.</p> - -<p>Предыдущий стабильный (wheezy) и стабильный (jessie) выпуски -не подвержены этой проблеме, поскольку она была исправлена до момента выпуска указанных версий.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-275.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-276.wml b/russian/lts/security/2015/dla-276.wml deleted file mode 100644 index 88a0bea0ef4..00000000000 --- a/russian/lts/security/2015/dla-276.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Адам, автор основной ветки разработки inspircd, обнаружил, что заплата для Debian, -исправляющая <a href="https://security-tracker.debian.org/tracker/CVE-2012-1836">CVE-2012-1836</a>, неполна. Более того, она -вносит проблему, поскольку неправильные DNS-пакеты вызывают возникновение бесконечного цикла. -Данная загрузка исправляет эти проблемы.</p> - -<p>В настоящее время идентификатор CVE указанным проблем не назначен.</p> - -<p>В выпуске Squeeze эти проблемы были исправлены в версии -1.1.22+dfsg-4+squeeze2 пакета inspircd.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-276.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-277.wml b/russian/lts/security/2015/dla-277.wml deleted file mode 100644 index c42d09a4491..00000000000 --- a/russian/lts/security/2015/dla-277.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Тийс Алкемад обнаружил, что сервер Jabber может передавать libidn, библиотеке -GNU для поддержки интернационализированных доменных имён (IDN), некорректную -строку в кодировке UTF-8. В случае сервера Jabber это приводит к -раскрытию информации, скорее всего другие приложения, использующие libidn, имеют -те же уязвимости. Данное обновление изменяет libidn так, чтобы -выполнялась проверка для исключения некорректных строк вместо того, чтобы -это делало само приложение.</p> - -<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была -исправлена в версии 1.15-2+deb6u1.</p> - -<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках -эта проблема будет исправлена позже.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-277.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-278.wml b/russian/lts/security/2015/dla-278.wml deleted file mode 100644 index 6bc582f5234..00000000000 --- a/russian/lts/security/2015/dla-278.wml +++ /dev/null @@ -1,31 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В cacti, интерфейсе для rrdtool для отслеживания систем и служб, было обнаружено -несколько возможностей выполнения SQL-инъекций:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4634">CVE-2015-4634</a> - - <p>SQL-инъекция в Cacti до версии 0.8.8e позволяет удалённым - злоумышленникам выполнять произвольные команды SQL в graphs.php</p> - -<p>В настоящее время идентификаторы CVE не назначены или не известны. - SQL-инъекция в Cacti до версии 0.8.8e позволяет удалённым - злоумышленникам выполнять произвольные команды SQL в cdef.php, color.php, - data_input.php, data_queries.php, data_sources.php, - data_templates.php, gprint_presets.php, graph_templates.php, - graph_templates_items.php, graphs_items.php, host.php, - host_templates.php, lib/functions.php, rra.php, tree.php и - user_admin.php</p></li> - -</ul> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были -исправлены в версии 0.8.7g-1+squeeze7.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-278.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-279.wml b/russian/lts/security/2015/dla-279.wml deleted file mode 100644 index 3103a39487e..00000000000 --- a/russian/lts/security/2015/dla-279.wml +++ /dev/null @@ -1,26 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В python-tornado, масштабируемом неблокирующем веб-сервере на языке Python, была обнаружена уязвимость.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9720">CVE-2014-9720</a> - -<p>CSRF-куки позволяет выполнять атаку через сторонний канал на TLS (BREACH)</p> - -<p>Исправление безопасности</p> - -<p>Токен XSRF теперь кодируется с помощью случайной маски при каждом запросе. Это позволяет -безопасно включать его в сжатые страницы и делает неуязвимым к атаке по принципу -BREACH.</p></li> - -</ul> - -<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была исправлена в -версии 1.0.1-1+deb6u1.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-279.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-280.wml b/russian/lts/security/2015/dla-280.wml deleted file mode 100644 index fa48d6cf8c5..00000000000 --- a/russian/lts/security/2015/dla-280.wml +++ /dev/null @@ -1,11 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - <p>В функции gs_heap_alloc_bytes() добавлена проверка, чтобы не допускать - переполнения переменной, содержащей фактическое число выделенных - байтов.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-280.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-281.wml b/russian/lts/security/2015/dla-281.wml deleted file mode 100644 index 4f12dde5e4b..00000000000 --- a/russian/lts/security/2015/dla-281.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - <p>Многочисленные переполнения динамической памяти в функции XML_GetBuffer в Expat - вплоть до версии 2.1.0, используемой в Google Chrome до версии 44.0.2403.89 и - других продуктах, позволяют удалённым злоумышленникам вызывать отказ в обслуживании - (переполнение динамической памяти) или оказывать другое влияние на безопасность системы - через специально сформированных данные XML, что связано с <a href="https://security-tracker.debian.org/tracker/CVE-2015-2716">CVE-2015-2716</a>.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-281.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-282.wml b/russian/lts/security/2015/dla-282.wml deleted file mode 100644 index 24953f8b750..00000000000 --- a/russian/lts/security/2015/dla-282.wml +++ /dev/null @@ -1,11 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление позволяет отключить SSLv3 в lighttpd для обеспечения защиты -от атаки POODLE. Протокол SSLv3 в настоящее время по умолчанию отключен, но -его при необходимости можно включить, используя опцию ssl.use-sslv3.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-282.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-283.wml b/russian/lts/security/2015/dla-283.wml deleted file mode 100644 index bf3a1a4b6ae..00000000000 --- a/russian/lts/security/2015/dla-283.wml +++ /dev/null @@ -1,27 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В библиотеке международных компонентов для юникода (ICU) была обнаружена -уязвимость:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4760">CVE-2015-4760</a> - - <p>Было обнаружено, что в движке вёрстки ICU отсутствуют многочисленные - проверки границ массивов. Это может приводить к переполнениям буфера и повреждению содержимого - памяти. Специально сформированный файл может приводить к тому, что приложение, - использующее ICU для выполнения грамматического разбора недоверенных файлов шрифтов, аварийно завершит свою работу или - потенциально выполнит произвольный код.</p></li> - -</ul> - -<p>В выпуске squeeze эти проблемы были исправлены в версии -4.4.1-8+squeeze4 пакет icu.</p> - -<p>Рекомендуется обновить пакеты icu.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-283.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-284.wml b/russian/lts/security/2015/dla-284.wml deleted file mode 100644 index 05df025046a..00000000000 --- a/russian/lts/security/2015/dla-284.wml +++ /dev/null @@ -1,26 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В HTTP-сервере Apache была обнаружена уязвимость.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3183">CVE-2015-3183</a> - - <p>Http-сервер Apache неправильно выполняет грамматической разбор заголовков порции данных, что - позволяет удалённым злоумышленникам выполнять подделку HTTP-запросов с помощью - специально сформированных запросов. Эта уязвимость связана с неправильной обработкой больших значений, - имеющих размер порции данных, и некорректных символов расширения порций в - modules/http/http_filters.c.</p></li> - -</ul> - -<p>В выпуске squeeze эти проблемы были исправлены в верси -2.2.16-6+squeeze15 пакета apache2.</p> - -<p>Рекомендуется обновить пакеты apache2.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-284.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-285.wml b/russian/lts/security/2015/dla-285.wml deleted file mode 100644 index 88985b699e8..00000000000 --- a/russian/lts/security/2015/dla-285.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Джонатан Фьют обнаружил, что DNS-сервер BIND неправильно обрабатывает -запросы TKEY. Удалённый злоумышленник может использовать эту уязвимость -для вызова отказа в обслуживании при помощи специально сформированного запроса, приводящего -к ошибке утверждения и завершению работы BIND.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-285.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-286.wml b/russian/lts/security/2015/dla-286.wml deleted file mode 100644 index 3f3fda1c753..00000000000 --- a/russian/lts/security/2015/dla-286.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Алекс Руссков обнаружил, что Squid, использующий опцию cache_peer и -работающих в качестве явного прокси, неправильно обрабатывает метод CONNECT -в ответах одноранговых узлов. При некоторых настройках это позволяет удалённым клиентам -обходить ограничения безопасности явного прокси-шлюза.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в squid3 версии -3.1.6-1.2+squeeze5. Рекомендуется обновить пакеты squid3.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-286.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-287.wml b/russian/lts/security/2015/dla-287.wml deleted file mode 100644 index 953352772d9..00000000000 --- a/russian/lts/security/2015/dla-287.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Пакеты ia32-libs и ia32-libs-gtk содержат 32-битные версии различных -библиотек, предназначенные для использования в 64-битных системах. Данное обновление содержит все -исправления безопасности, которые были выпущены для этих библиотек с момента предыдущего обновления пакетов ia32-libs -и ia32-libs-gtk в Squeeze LTS.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-287.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-288.wml b/russian/lts/security/2015/dla-288.wml deleted file mode 100644 index f5187f286a7..00000000000 --- a/russian/lts/security/2015/dla-288.wml +++ /dev/null @@ -1,26 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Debian LTS (squeeze) исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2015-5600">CVE-2015-5600</a> в openssh -версии 1:5.5p1-6+squeeze7 ломает механизмы аутентификации, полагающиеся на метод -интерактивной работы с клавиатурой. Благодарим Колина Уотсона за обнаружение -этой проблемы.</p> - -<p>Заплата, исправляющая <a href="https://security-tracker.debian.org/tracker/CVE-2015-5600">CVE-2015-5600</a> добавляет поле <q>devices_done</q> в -структуру KbdintAuthctxt, но не инициализирует это поле в -функции kbdint_alloc(). В Linux эти проводит к заполнению поля -ненужными данными. В результате это приводит к случайным ошибкам при вводе данных учётной записи -при использовании интерактивной аутентификации с помощью клавиатуры.</p> - -<p>Данная загрузка openssh 1:5.5p1-6+squeeze7 в Debian LTS (squeeze) добавляет -инициализацию поля `devices_done` в существующий код -инициализации.</p> - -<p>Тем, кто полагается на интерактивные механизмы аутентификации с помощью клавиатуры в -OpenSSH в системах Debian squeeze(-lts), рекомендуется обновить -OpenSSH до версии 1:5.5p1-6+squeeze7.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-288.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-289.wml b/russian/lts/security/2015/dla-289.wml deleted file mode 100644 index 2bb640cd8b5..00000000000 --- a/russian/lts/security/2015/dla-289.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Александр Келлер обнаружил переполнение буфера в remind, инструменте для -продвинутого уведомления о грядущих событиях.</p> - -<p>Если вы используете Debian squeeze LTS, то рекомендуется обновить remind до последней -версии.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-289.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-290.wml b/russian/lts/security/2015/dla-290.wml deleted file mode 100644 index 0fd4441ce37..00000000000 --- a/russian/lts/security/2015/dla-290.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Shibboleth SP аварийно завершает свою работу при получении правильно сформированного, но некорректного XML</p> - -<p>Для исправления этой ошибки требуется обновить -opensaml2. Такое обновление будет выпущено в скором времени.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-290.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-291.wml b/russian/lts/security/2015/dla-291.wml deleted file mode 100644 index 9d5e6bbdfe7..00000000000 --- a/russian/lts/security/2015/dla-291.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Адам Сэмпсон обнаружил уязвимость в GNU Libidn, библиотеке, реализующей -спецификации IETF IDN. Libdin неправильно обрабатывает -некорректные входные данные в кодировке UTF-8, что приводит к неправильному использованию функции free(). Данная проблема -появилась из-за исправления <a href="https://security-tracker.debian.org/tracker/CVE-2015-2059">CVE-2015-2059</a>.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в версии 1.15-2+deb6u2 -пакета libidn.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-291.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-292.wml b/russian/lts/security/2015/dla-292.wml deleted file mode 100644 index 4dad3015493..00000000000 --- a/russian/lts/security/2015/dla-292.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Validator в Apache Struts 1.1 и более поздних версиях содержит функцию для -эффективного определения правил проверки входных данных на нескольких страницах во -время смены экрана. Эта функция содержит уязвимость, благодаря которой проверку -входных данных можно обойти. При использовании Apache Struts 1 Validator -веб-приложение может оказаться уязвимым даже в том случае, когда указанная функция -не используется явным образом.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-292.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-293.wml b/russian/lts/security/2015/dla-293.wml deleted file mode 100644 index a69dc9cd0a7..00000000000 --- a/russian/lts/security/2015/dla-293.wml +++ /dev/null @@ -1,25 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Майкл Пилато из CollabNet сообщил о проблеме в Subversion, системе -управления версиями.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3187">CVE-2015-3187</a> - - <p>Серверы Subversion раскрывают некоторые чувствительные пути, скрытые механизмом авторизации - на основе путей. Удалённые аутентифицированные пользователи могут получить - информацию о путях, читая историю ноды, которая была - перемещена из скрытого пути. Эта уязвимость раскрывает только путь, - не раскрывая его содержимого.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в subversion -версии 1.6.12dfsg-7+deb6u3. Рекомендуется обновить пакеты subversion.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-293.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-294.wml b/russian/lts/security/2015/dla-294.wml deleted file mode 100644 index f1012883407..00000000000 --- a/russian/lts/security/2015/dla-294.wml +++ /dev/null @@ -1,44 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Wordpress, популярном движке ведения блога, было обнаружено -несколько уязвимостей.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2213">CVE-2015-2213</a> - - <p>SQL-инъекция позволяет удалённому злоумышленнику компрометировать сайт.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5622">CVE-2015-5622</a> - - <p>Была улучшена надёжность фильтра кратких тегов - HTML. Грамматический разбор стал более строгим, что может повлиять - на ваши настройки. Это исправленная версия заплаты, - которую нужно было отменить в DSA 3328-2.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5731">CVE-2015-5731</a> - - <p>Злоумышленник может закрыть редактируемое сообщение.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5732">CVE-2015-5732</a> - - <p>Межсайтовый скриптинг в заголовке виджета позволяет злоумышленнику - красть чувствительную информацию.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5734">CVE-2015-5734</a> - - <p>Исправление нескольких сломанных ссылок в предварительном просмотре темы legacy.</p></li> - -</ul> - -<p>Эти проблемы были обнаружены Марком-Александром Монпасом из Sucuri, Хелен -Хоу-Санди из команды безопасности WordPress, Нэтанелем Рабином из Check Point, -Иваном Григоровым, Йоханнесом Шмиттом из Scrutinizer и Мохамедом Басе.</p> - -<p>Рекомендуется обновить пакеты wordpress.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-294.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-295.wml b/russian/lts/security/2015/dla-295.wml deleted file mode 100644 index 3f4a4aea44f..00000000000 --- a/russian/lts/security/2015/dla-295.wml +++ /dev/null @@ -1,18 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>"jann" обнаружил, что при определённых настройках, когда не запущен соответствующий -модуль ядра conntrack, conntrackd аварийно завершает работу при -обработке пакетов DCCP, SCTP или ICMPv6. В версии, входящей в состав Debian -6.0 <q>squeeze</q>, данная уязвимость касается только ICMPv6.</p> - -<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была -исправлена в версии 1:0.9.14-2+deb6u1.</p> - -<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках -эта проблема будет исправлена позже.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-295.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-296.wml b/russian/lts/security/2015/dla-296.wml deleted file mode 100644 index aecb72b6875..00000000000 --- a/russian/lts/security/2015/dla-296.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>Многочисленные проблемы с межсайтовым скриптингом (XSS) в eXtplorer до версии 2.1.7 -позволяют удалённым злоумышленникам вводить произвольные веб-сценарии или код HTML, используя -неуказанные векторы.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-296.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-297.wml b/russian/lts/security/2015/dla-297.wml deleted file mode 100644 index b714810c89e..00000000000 --- a/russian/lts/security/2015/dla-297.wml +++ /dev/null @@ -1,20 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - <p>Wesnoth реализует язык предварительной обработки текста, использующийся вместе - с собственным языком игровых сценариев. Также в игре имеется - встроенный интерпретатор Lua и соответствующий API. - И Lua API, и препроцессор используют одну и ту же функцию - (filesystem::get_wml_location()) для разрешения путей к файлам, чтобы считывалось - только содержимое пользовательского каталога с данными.</p> - - <p>Тем не менее, эта функция явным образом не запрещает файлы с расширением - .pbl. Таким образом, содержимое этих файлов может сохраняться в файлах - сохранений или даже передано напрямую другим пользователям в ходе сетевой - игры. Информация, содержащаяся в этих файлах, включает в себя пользовательский - пароль, используемый для аутентификации загрузок на сервер данных игры.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-297.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-298.wml b/russian/lts/security/2015/dla-298.wml deleted file mode 100644 index 92a3b0c63bf..00000000000 --- a/russian/lts/security/2015/dla-298.wml +++ /dev/null @@ -1,28 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<ul> - <li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6130">CVE-2012-6130</a> - <p>Межсайтовый скриптинг (XSS) в отображении истории - в Roundup до версии 1.4.20 позволяет удалённым злоумышленникам - вводить произвольный веб-сценарий или код HTML с помощью имени пользователя, - связанного с создаваемой ссылкой.</p></li> - <li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6131">CVE-2012-6131</a> - <p>Межсайтовый скриптинг (XSS) в cgi/client.py - в Roundup до версии 1.4.20 позволяет удалённым злоумышленникам вводить - произвольный веб-сценарий или код HTML с помощью параметра @action в - support/issue1.</p></li> - <li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6132">CVE-2012-6132</a> - <p>Межсайтовый скриптинг (XSS) в Roundup до версии - 1.4.20 позволяет удалённым злоумышленникам вводить произвольный веб-сценарий - или код HTML с помощью параметра otk.</p></li> - <li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6133">CVE-2012-6133</a> - <p>Уязвимости XSS в сообщениях ok и error. - Указанные проблемы исправлены другим способом, не тем, который был предложен в сообщении об ошибке. - Ошибки исправлены путём запрета *любых* html-тегов в сообщениях ok/error.</p></li> -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-298.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-299.wml b/russian/lts/security/2015/dla-299.wml deleted file mode 100644 index c566348b67c..00000000000 --- a/russian/lts/security/2015/dla-299.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>"sheepman" исправил уязвимость в Ruby 1.8: DL::dlopen может открыть библиотеку -с поддельным именем в случае, если $SAFE > 0.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в ruby1.8 -версии 1.8.7.302-2squeeze5.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-299.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-300.wml b/russian/lts/security/2015/dla-300.wml deleted file mode 100644 index c05abef57e5..00000000000 --- a/russian/lts/security/2015/dla-300.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>"sheepman" исправил уязвимость в Ruby 1.9.1: DL::dlopen может открыть -библиотеку с поддельным именем в случае, если $SAFE > 0.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в ruby1.9.1 -версии 1.9.2.0-2+deb6u7</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-300.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-301.wml b/russian/lts/security/2015/dla-301.wml deleted file mode 100644 index f5ba652cec5..00000000000 --- a/russian/lts/security/2015/dla-301.wml +++ /dev/null @@ -1,31 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Возможный отказ в обслуживании в виде logout() из-за заполнения хранилища сессии.</p> - -<p>Ранее сессия создавалась при анонимном обращении к -виду django.contrib.auth.views.logout (учитывая, что этот вид не декорировался -django.contrib.auth.decorators.login_required как на странице администратора). Это -позволяло злоумышленнику легко создавать много новых записей сессии путём -отправки повторных запросов, что потенциально заполняет хранилище сессии или -приводит к удалению сессионных записей других пользователей.</p> - -<p>django.contrib.sessions.middleware.SessionMiddleware был изменён -так, чтобы пустые сессионные записи более не создавались.</p> - -<p>Данная часть исправления получила идентификатор <a href="https://security-tracker.debian.org/tracker/CVE-2015-5963">CVE-2015-5963</a>.</p> - -<p>Кроме того, методы contrib.sessions.backends.base.SessionBase.flush() и -cache_db.SessionStore.flush() были изменены так, чтобы создание новой пустой сессии -не происходило. Сопровождающим сторонних сессионных движков следует -проверить наличие такой же уязвимости в их движке, а при её наличии исправить -проблему.</p> - -<p>Данная часть исправления получила идентификатор <a href="https://security-tracker.debian.org/tracker/CVE-2015-5964">CVE-2015-5964</a>.</p> - -<p>Рекомендуется обновить пакеты python-django.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-301.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-302.wml b/russian/lts/security/2015/dla-302.wml deleted file mode 100644 index 791361e4397..00000000000 --- a/russian/lts/security/2015/dla-302.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Давид Голунски обнаружил, что при запуске Zend Framework, инфрастуктуры PHP, под PHP-FPM -в многопоточном окружении последняя неправильно обрабатывает данные XML -в многобайтовых кодировках. Указанная проблема может использоваться удалёнными злоумышленниками для выполнения -атаки по принципу XML External Entity путём специально сформированных данных XML.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в zendframework -версии 1.10.6-1squeeze5.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-302.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-303.wml b/russian/lts/security/2015/dla-303.wml deleted file mode 100644 index f995eb55adf..00000000000 --- a/russian/lts/security/2015/dla-303.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В OpenJDK, реализации платформы Oracle Java, было обнаружено несколько -уязвимостей, приводящих к выполнению произвольного -кода, выходу за пределы песочницы Java, раскрытию -информации, отказам в обслуживании или небезопасному шифрованию.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в openjdk-6 -версии 6b36-1.13.8-1~deb6u1.</p> - -<p>Рекомендуется обновить пакеты openjdk-6.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-303.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-304.wml b/russian/lts/security/2015/dla-304.wml deleted file mode 100644 index 445f3c83411..00000000000 --- a/russian/lts/security/2015/dla-304.wml +++ /dev/null @@ -1,34 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В OpenSLP, реализующем стандарты протокола Internet Engineering Task Force (IETF) -Service Location Protocol, было обнаружено несколько уязвимостей.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-3609">CVE-2010-3609</a> - - <p>Удалённые злоумышленники могут вызывать отказ в обслуживании в службе Service Location - Protocol (SLPD) при помощи специально сформированного пакета с <q>отступом следующего расширения</q>.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4428">CVE-2012-4428</a> - - <p>Георгий Гешев обнаружил, что чтение за пределами выделенного буфера памяти в - функции SLPIntersectStringList() может использоваться для вызова отказа в обслуживании.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5177">CVE-2015-5177</a> - - <p>Двойное освобождение в функции SLPDProcessMessage() может использоваться для вызова - аварийной остановки openslp.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в openslp-dfsg -версии 1.2.1-7.8+deb6u1.</p> - -<p>Рекомендуется обновить пакеты openslp-dfsg.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-304.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-305.wml b/russian/lts/security/2015/dla-305.wml deleted file mode 100644 index 2b758bd6b29..00000000000 --- a/russian/lts/security/2015/dla-305.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - <p>В screen была обнаружена уязвимость, приводящая к переполнению стека, что приводит -к аварийной остановке серверного процесса screen и отказу в обслуживании.</p> - - <p>См. <a href="./dsa-3352">DSA-3352-1</a> для получения дополнительной информации о других выпусках Debian.</p> - - <p>Рекомендуется обновить пакеты screen.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-305.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-306.wml b/russian/lts/security/2015/dla-306.wml deleted file mode 100644 index 55fe83d47a9..00000000000 --- a/russian/lts/security/2015/dla-306.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Флориан Ваймер из Red Hat Product Security обнаружил, что libvdpau, -обёрточная библиотека VDPAU, неправильно выполняет проверку переменных окружения, -позволяя локальным злоумышленникам получать дополнительные права доступа.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в libvdpau -версии 0.4.1-2+deb6u1. Информацию о других выпусках Debian см. в -<a href="./dsa-3355">DSA 3355-1</a>.</p> - -<p>Рекомендуется обновить пакеты libvdpau.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-306.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-307.wml b/russian/lts/security/2015/dla-307.wml deleted file mode 100644 index 8e0550aa5ab..00000000000 --- a/russian/lts/security/2015/dla-307.wml +++ /dev/null @@ -1,94 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<ul> - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3307">CVE-2015-3307</a> - <p>Функция phar_parse_metadata в ext/phar/phar.c в PHP до версии - 5.4.40, 5.5.x до версии 5.5.24 и 5.6.x до версии 5.6.8 позволяет удалённым - злоумышленникам вызывать отказ в обслуживании (повреждение метаданных динамической памяти) - или оказывать какое-то другое влияние на безопасность с помощью специально сформированного архива tar.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3411">CVE-2015-3411</a> + <a href="https://security-tracker.debian.org/tracker/CVE-2015-3412">CVE-2015-3412</a> - <p>Исправлена ошибка #69353 (отсутствие проверки null-байтов для путей в различных - расширениях PHP).</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4021">CVE-2015-4021</a> - <p>Функция phar_parse_tarfile в ext/phar/tar.c в PHP - до версии 5.4.41, 5.5.x до версии 5.5.25 и 5.6.x до версии 5.6.9 - не выполняет проверку того, что первый символ имени файла отличается - от символа \0, что позволяет удалённым злоумышленникам - вызывать отказ в обслуживании (отрицательное переполнение целых чисел и повреждение - содержимого памяти) с помощью специально сформированной записи в архиве tar.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4022">CVE-2015-4022</a> - <p>Переполнение целых чисел в функции ftp_genlist в ext/ftp/ftp.c в PHP - до версии 5.4.41, 5.5.x до версии 5.5.25 и 5.6.x до версии 5.6.9 позволяет - удалённым FTP-серверам выполнять произвольный код с помощью длинного ответа на - команду LIST, что приводит к переполнению динамической памяти.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4025">CVE-2015-4025</a> - <p>PHP до версии 5.4.41, 5.5.x до версии 5.5.25 и 5.6.x до версии 5.6.9 - в определённых ситуациях обрезает путь в том случае, если в нём встречается - символ \x00, что позволяет удалённым злоумышленникам обходить специальные - ограничения расширений и получать доступ к файлам и каталогам с - неожиданными именами с помощью специально сформированного аргумента (1) set_include_path, - (2) tempnam, (3) rmdir или (4) readlink. ВНИМАНИЕ: эта уязвимость - присутствует в PHP из-за неполного исправления для <a href="https://security-tracker.debian.org/tracker/CVE-2006-7243">CVE-2006-7243</a>.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4026">CVE-2015-4026</a> - <p>Реализация pcntl_exec в PHP до версии 5.4.41, 5.5.x до версии - 5.5.25 и 5.6.x до версии 5.6.9 обрезает путь в том случае, если в нём встречается - символ \x00, что может позволить удалённым злоумышленникам обходить - специальные ограничения расширений и выполнять файлы с неожиданными - именами с помощью специально сформированного первого аргумента. ВНИМАНИЕ: эта уязвимость присутствует - в PHP из-за неполного исправления для <a href="https://security-tracker.debian.org/tracker/CVE-2006-7243">CVE-2006-7243</a>.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4147">CVE-2015-4147</a> - <p>Метод SoapClient::__call в ext/soap/soap.c в PHP до версии - 5.4.39, 5.5.x до версии 5.5.23 и 5.6.x до версии 5.6.7 не выполняет - проверку того, что __default_headers является массивом, что позволяет удалённым - злоумышленникам выполнять произвольный код, передавая специально сформированные - сериализованные данные с неожиданным типом данных. Эта проблема связана с проблемой - <q>смешения типов</q>.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4148">CVE-2015-4148</a> - <p>Функция do_soap_call в ext/soap/soap.c в PHP до версии 5.4.39, - 5.5.x до версии 5.5.23 и 5.6.x до версии 5.6.7 не выполняет проверку того, что - свойство URI является строкой, что позволяет удалённым злоумышленникам - получать чувствительную информацию, передавая специально сформированные сериализованные данные - с типом данных int. Эта проблема связана с проблемой <q>смешения типов</q>.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4598">CVE-2015-4598</a> - <p>Неправильная обработка путей, содержащих NUL.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4599">CVE-2015-4599</a> - <p>Смешение типов в exception::getTraceAsString.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4600">CVE-2015-4600</a> + <a href="https://security-tracker.debian.org/tracker/CVE-2015-4601">CVE-2015-4601</a> - <p>Добавлены проверки типов.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4602">CVE-2015-4602</a> - <p>Смешение типов в unserialize() с SoapFault.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4604">CVE-2015-4604</a> + <a href="https://security-tracker.debian.org/tracker/CVE-2015-4605">CVE-2015-4605</a> - <p>Отказ в обслуживании при обработке специально сформированного файла с Fileinfo - (уже исправлено в CVE-2015-temp-68819.patch).</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4643">CVE-2015-4643</a> - <p>Улучшено исправление ошибки #69545 (переполнение целых чисел в ftp_genlist(), - приводящее к переполнению динамической памяти).</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4644">CVE-2015-4644</a> - <p>Исправлена ошибка #69667 (ошибка сегментирования в php_pgsql_meta_data).</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5589">CVE-2015-5589</a> - <p>Ошибка сегментирования в Phar::convertToData при работе с некорректным файлом.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5590">CVE-2015-5590</a> - <p>Переполнение буфера и разбиение стека в phar_fix_filepath.</p></li> -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-307.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-308.wml b/russian/lts/security/2015/dla-308.wml deleted file mode 100644 index f48a3429d28..00000000000 --- a/russian/lts/security/2015/dla-308.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Ханно Бёк из Fuzzing Project обнаружил, что неправильная проверка -подписанных с помощью DNSSEC записей в DNS-сервере Bind может приводить к отказу в обслуживании.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в bind9 версии -1:9.7.3.dfsg-1~squeeze17. Рекомендуется обновить пакеты bind9.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-308.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-309.wml b/russian/lts/security/2015/dla-309.wml deleted file mode 100644 index 1e2b8275bf6..00000000000 --- a/russian/lts/security/2015/dla-309.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Дэнис Анджакович обнаружил, что OpenLDAP, свободная реализация -Lightweight Directory Access Protocol, неправильно обрабатывает данные -BER. Неаутентифицированный удалённый злоумышленник может использовать эту уязвимость для -вызова отказа в обслуживании (аварийная остановка службы slapd) при помощи специально сформированного пакета.</p> - -<p>Пакет для Squeeze-LTS был подготовлен Райаном Танди.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-309.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-310.wml b/russian/lts/security/2015/dla-310.wml deleted file mode 100644 index 6432b195814..00000000000 --- a/russian/lts/security/2015/dla-310.wml +++ /dev/null @@ -1,72 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В данном обновлении исправлены описанные ниже CVE.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0272">CVE-2015-0272</a> - - <p>Было обнаружено, что NetworkManager устанавливает MTU для IPv6 на основе - значений, полученных в RA (объявление маршрутизатора) IPv6, без - выполнения достаточной проверки этих значений. Удалённый злоумышленник может - использовать эту уязвимость для отключения соединения IPv6. Эта проблема - была решена путём добавления в ядро кода проверки.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5156">CVE-2015-5156</a> - - <p>Джейсон Ванг обнаружил, что когда устройство virtio_net подключается - к мосту в той же виртуальной машине, ряд пакетов TCP, перенаправленные - через этот мост, могут вызвать переполнение динамической памяти. Удалённый - злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании (аварийная остановка) или - потенциального повышения привилегий.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5364">CVE-2015-5364</a> - - <p>Было обнаружено, что ядро Linux неправильно выполняет обработку - некорректных контрольных сумм UDP. Удалённый злоумышленник может использовать эту уязвимость для - вызова отказа в обслуживании путём переполнения пакетами UDP с некорректными - контрольными суммами.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5366">CVE-2015-5366</a> - - <p>Было обнаружено, что ядро Linux неправильно выполняет обработку - некорректных контрольных сумм UDP. Удалённый злоумышленник может вызвать отказ в - обслуживании в приложениях, использующих epoll, путём отправки одного - пакета с некорректной контрольной суммой.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5697">CVE-2015-5697</a> - - <p>В драйвере md ядра Linux была обнаружена уязвимость, приводящая - к утечке информации.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5707">CVE-2015-5707</a> - - <p>Было обнаружено переполнение целых чисел в родовом драйвере SCSI в - ядре Linux. Локальный пользователь с правами на запись на родовое устройство - SCSI потенциально может использовать эту уязвимость для повышения привилегий.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6937">CVE-2015-6937</a> - - <p>Было обнаружено, что реализация протокола Reliable Datagram Sockets (RDS) - не производит проверку существования низлежащего транспорта при - создании соединения. В зависимости от того, как локальное приложение RDS - инициализирует свои сокеты, удалённый злоумышленник может оказаться - способен вызвать отказ в обслуживании (аварийная остановка) путём отправки специально - сформированного пакета.</p></li> - -</ul> - -<p>В старом предыдущем выпуске (squeeze) эти проблемы были -исправлены в версии 2.6.32-48squeeze14.</p> - -<p>В предыдущем стабильном выпуске (wheezy) эти проблемы были -исправлены в версии 3.2.68-1+deb7u4 или более ранних версиях.</p> - -<p>В стабильном выпуске (jessie) эти проблемы были исправлены -в версии 3.16.7-ckt11-1+deb8u4 или более ранних версиях.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-310.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-311.wml b/russian/lts/security/2015/dla-311.wml deleted file mode 100644 index ae0dc262ec1..00000000000 --- a/russian/lts/security/2015/dla-311.wml +++ /dev/null @@ -1,11 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Использование указателей после освобождения памяти в rpcbind приводит к аварийным остановкам, -вызываемым удалённо. Rpcbind аварийно завершает свою работу в svc_dodestroy при попытке освободить повреждённый -указатель xprt->xp_netid, содержащий sockaddr_in.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-311.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-312.wml b/russian/lts/security/2015/dla-312.wml deleted file mode 100644 index 47accf00490..00000000000 --- a/russian/lts/security/2015/dla-312.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>Функция lazy_bdecode в сервере инициализации BitTorrent DHT (bootstrap-dht ) -позволяет удалённым злоумышленникам выполнять произвольный код при помощи специально сформированного пакета, -проблема связана с <q>неправильным индексированием</q>.</p> - - -<p>Заметьте, что данная CVE касается сервера BitTorrent DHT Bootstrap, -но тот же самый код с указанной уязвимостью имеется и в libtorrent-rasterbar.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-312.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-313.wml b/russian/lts/security/2015/dla-313.wml deleted file mode 100644 index 764f0c1d118..00000000000 --- a/russian/lts/security/2015/dla-313.wml +++ /dev/null @@ -1,71 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Debian LTS (squeeze) был загружен последний сопровождающий -выпуск VirtualBox (OSE) серии 3.2.x (то есть, версия 3.2.28). Благодарим -Джанфранко Костаманья за подготовку пакетов для проверки и загрузки -командой Debian LTS.</p> - -<p>К сожалению, Oracle более не предоставляет информацию о конкретных уязвимостях -в VirtualBox, поэтому мы просто предоставляем их последнюю версию 3.2.28 -в Debian LTS (squeeze).</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3792">CVE-2013-3792</a> - - <p>Сотрудники Oracle сообщили о неопределённой уязвимости в компоненте Oracle VM - VirtualBox в Oracle Virtualization VirtualBox, которая имеет место в версиях до - 3.2.18, 4.0.20, 4.1.28 и 4.2.18 и позволяет локальным пользователям влиять на - доступность через неизвестные векторы, связанные с Core.</p> - - <p>Исправление <a href="https://security-tracker.debian.org/tracker/CVE-2013-3792">CVE-2013-3792</a> предотвращает отказ в обслуживании - на узле virtio-net путём добавления поддержки больших фреймов в IntNet, VirtioNet и - NetFilter, а также отбрасывания слишком больших фреймов.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2486">CVE-2014-2486</a> - - <p>Неопределённая уязвимость в компоненте Oracle VM VirtualBox - в Oracle Virtualization VirtualBox в версиях до 3.2.24, 4.0.26, - 4.1.34, 4.2.26 и 4.3.12 позволяет локальным пользователям оказывать влияние на целостность - и доступность через неизвестные векторы, связанные с Core.</p> - - <p>Подробности отсутствуют, уязвимость описывается как локальная - и имеющая низкую степень опасности.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2488">CVE-2014-2488</a> - - <p>Неопределённая уязвимость в компоненте Oracle VM VirtualBox в - Oracle Virtualization VirtualBox в версиях до 3.2.24, 4.0.26, 4.1.34, - 4.2.26 и 4.3.12 позволяет локальным пользователям оказывать влияние на конфиденциальность через - неизвестные векторы, связанные с Core.</p> - - <p>Подробности отсутствуют, уязвимость описывается как локальная и - имеющая низкую степень опасности.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2489">CVE-2014-2489</a> - - <p>Неопределённая уязвимость в компоненте Oracle VM VirtualBox в - Oracle Virtualization VirtualBox в версиях до 3.2.24, 4.0.26, 4.1.34, - 4.2.26 и 4.3.12 позволяет локальным пользователям оказывать влияние на конфиденциальность, - целостность и доступность через неизвестные векторы, связанные с Core.</p> - - <p>Подробности отсутствуют, уязвимость описывается как локальная и - имеющая среднюю степень опасности.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2594">CVE-2015-2594</a> - - <p>Неопределённая уязвимость в компоненте Oracle VM VirtualBox - в Oracle Virtualization VirtualBox в версиях до 4.0.32, 4.1.40, - 4.2.32 и 4.3.30 позволяет локальным пользователям оказывать влияние на конфиденциальность, - целостность и доступность через неизвестные векторы, связанные с Core.</p> - - <p>Данное обновление исправляет проблему, связанную с гостевыми системами, использующими мосты - через WiFi.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-313.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-314.wml b/russian/lts/security/2015/dla-314.wml deleted file mode 100644 index 8dabc88d203..00000000000 --- a/russian/lts/security/2015/dla-314.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Петр Скленар из Red Hat обнаружил, что инструмент texttopdf, часть фильтров -cups, возможно содержит многочисленные переполнения динамической памяти и целых -чисел в связи с неправильной обработкой задач печати. Это позволяет удалённым злоумышленникам -аварийно завершать работу texttopdf или потенциально выполнять произвольный код.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в cups версии -1.4.4-7+squeeze10. В Wheezy и Jessie эта проблема была исправлена в -пакете cups-filter. Рекомендуется обновить пакеты cups.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-314.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-315.wml b/russian/lts/security/2015/dla-315.wml deleted file mode 100644 index ee655f9c6cd..00000000000 --- a/russian/lts/security/2015/dla-315.wml +++ /dev/null @@ -1,33 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В nss, библиотеке Mozilla Network Security Service, было обнаружено -несколько уязвимостей. Проект Common Vulnerabilities and Exposures -определяет следующие проблемы:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2721">CVE-2015-2721</a> - - <p>Картикеян Бхагаван обнаружил, что NSS неправильно обрабатывает переходы - состояний для машины состояний TLS. Злоумышленник, использующий принцип - человек-в-середине, может использовать данную проблему для того, чтобы пропустить сообщение ServerKeyExchange и - удалить свойство forward-secrecy.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2730">CVE-2015-2730</a> - - <p>Уотсон Лэдд обнаружил, что NSS неправильно выполняет умножение в шифровании - с использованием эллиптических кривых (ECC), что позволяет удалённому злоумышленнику - потенциально подделать подписи ECDSA.</p></li> - -</ul> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены -в версии 3.12.8-1+squeeze12.</p> - -<p>Рекомендуется обновить пакеты nss.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-315.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-316.wml b/russian/lts/security/2015/dla-316.wml deleted file mode 100644 index 5263482c3ee..00000000000 --- a/russian/lts/security/2015/dla-316.wml +++ /dev/null @@ -1,47 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В eglibc было обнаружено несколько уязвимостей, которые -могут приводить к повышению привилегий или отказу в обслуживании.</p> - -<ul> - -<li>Слабая защиты указателей в glibc. - - <p>Сначала эта проблема была обнаружена в динамическом загрузчике. Проблема - состоит в том, что LD_POINTER_GUARD в окружении не очищается, - что позволяет локальным злоумышленникам легко обходить защиту - указателей в программах set-user-ID и set-group-ID.</p></li> - -<li>Потенциальная аварийная остановка приложения из-за чтения за пределами ограничения в fnmatch. - - <p>При обработке определённых неправильно сформированных шаблонов fnmatch может пропустить - NUL-байт, завершающий шаблон. Потенциально это может приводить к - аварийной остановке приложения в том случае, если fnmatch встречает неназначенную страницу до - обнаружения NUL-байта.</p></li> - -<li>Переполнение динамической памяти в _IO_wstr_overflow - - <p>Неправильное вычисление в _IO_wstr_overflow потенциально может использоваться - для переполнения буфера.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8121">CVE-2014-8121</a> - - <p>DB_LOOKUP в nss_files/files-XXX.c в Name Service Switch (NSS) - в библиотеке GNU C (также известной как glibc или libc6) версии 2.21 и более ранних - неправильно выполняет проверку того, что файл открыт, что позволяет удалённым злоумышленникам - вызывать отказ в обслуживании (бесконечный цикл) путём выполнения поиска - в то время, когда база данных выполняет итерацию по базе данных, что приводит - к сбросу указателя на файл.</p></li> - -</ul> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены -в версии 2.11.3-4+deb6u7.</p> - -<p>Рекомендуется обновить пакеты.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-316.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-317.wml b/russian/lts/security/2015/dla-317.wml deleted file mode 100644 index 7d64bad2228..00000000000 --- a/russian/lts/security/2015/dla-317.wml +++ /dev/null @@ -1,49 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В пакете vorbis-tools в Debian LTS (squeeze) были исправлены различные -проблемы.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9638">CVE-2014-9638</a> - - <p>Специально сформированный файл WAV с рядом каналов, выставленных в значение 0, приводит к аварийной - остановке oggenc из-за проблемы с делением на ноль. Эта проблема была исправлена - в основной ветке разработки путём подготовки заплаты для <a href="https://security-tracker.debian.org/tracker/CVE-2014-9639">CVE-2014-9639</a>. Авторам основной - ветки о проблеме сообщил <q>zuBux</q>.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9639">CVE-2014-9639</a> - - <p>В oggenc было обнаружено переполнение целых чисел, связанное с - числом каналов во входном файле WAV. Проблема возникает при - обращении за пределы выделенного буфера памяти, которое приводит к аварийной остановке oggenc - (audio.c). Авторам основной ветки о проблеме сообщил <q>zuBux</q>.</p> - - <p>Исправление из основной ветки разработки было адаптировано для vorbis-tools в - Debian LTS (squeeze).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9640">CVE-2014-9640</a> - - <p>Исправление аварийной остановки при закрытии необработанных входных данных (dd if=/dev/zero bs=1 count=1 | - oggenc -r - -o out.ogg). Авторам основной ветки о проблеме сообщил <q>hanno</q>.</p> - - <p>Исправление из основной ветки разработки было адаптировано для vorbis-tools в - Debian LTS (squeeze).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6749">CVE-2015-6749</a> - - <p>Переполнение буфера в функции aiff_open в oggenc/audio.c в - vorbis-tools версии 1.4.0 или более ранних позволяет удалённым злоумышленникам вызвать - отказ в обслуживании (аварийная остановка) с помощью специально сформированного файла AIFF. Авторам основной ветки - о проблеме сообщил <q>pengsu</q>.</p> - - <p>Исправление из основной ветки разработки было адаптировано для vorbis-tools в - Debian LTS (squeeze).</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-317.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-318.wml b/russian/lts/security/2015/dla-318.wml deleted file mode 100644 index ba2cc2db1f1..00000000000 --- a/russian/lts/security/2015/dla-318.wml +++ /dev/null @@ -1,11 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что flightgear, игра Flight Gear Flight Simulator, -не выполняет проверки файловой системы в -функции fgValidatePath.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-318.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-319.wml b/russian/lts/security/2015/dla-319.wml deleted file mode 100644 index ff1ad8219e8..00000000000 --- a/russian/lts/security/2015/dla-319.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Сергей Горбатый сообщил о проблемах, связанных с движком шрифтов FreeType. -FreeType неправильно обрабатывает некоторые неправильные файлы шрифтов, что позволяет -удалённым злоумышленникам вызывать отказ в обслуживании в случае использования -специально сформированных файлов шрифтов.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в freetype версии -2.4.2-2.1+squeeze6. Рекомендуется обновить пакеты freetype.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-319.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-320.wml b/russian/lts/security/2015/dla-320.wml deleted file mode 100644 index 93b2c9b8988..00000000000 --- a/russian/lts/security/2015/dla-320.wml +++ /dev/null @@ -1,28 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Пали Рохар <a href="http://www.openwall.com/lists/oss-security/2015/09/27/1">обнаружил</a> потенциальную атаку с целью вызова отказа в обслуживании на любое ПО, использующее -модуль Email::Address для Perl для выполнения грамматического разбора входных строк списка -адресов электронной почты.</p> - -<p>По умолчанию модуль Email::Address версии v1.907 (и более ранних) пытается -определить вложенные комментарии во входной строке с уровнем глубины 2.</p> - -<p>С помощью специально сформированных входных данных грамматический разбор вложенных комментариев может стать -слишком медленным и может приводить к высокой нагрузке на ЦП, что приводит к зависанию приложения и -отказу в обслуживании.</p> - -<p>Поскольку входные строки для модуля Email::Address происходят из внешнего -источника (например, из сообщения электронной почты, отправленного злоумышленником), постольку эта проблема -безопасности влияет на все приложения, выполняющие грамматический разбор сообщений электронной почты с помощью -модуля Email::Address для Perl.</p> - -<p>В данной загрузке libemail-address-perl по умолчанию значение вложенных -комментариев установлено в уровень глубины 1 (что было предложено авторами основной ветки разработки). Заметьте, -что это не полноценное исправление, а только временное обходное решение для патологичных -входных данных с вложенными комментариями.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-320.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-321.wml b/russian/lts/security/2015/dla-321.wml deleted file mode 100644 index 1a313043ef6..00000000000 --- a/russian/lts/security/2015/dla-321.wml +++ /dev/null @@ -1,38 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В версии Wordpress, системы управления содержимым, из -Debian LTS (squeeze) были обнаружены различные проблемы безопасности.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5714">CVE-2015-5714</a> - - <p>Был обнаружен межсайтовый скриптинг при обработке - сокращённых тегов.</p> - - <p>Проблема была исправлена путём запрета незакрытых элементов HTML в - атрибутах.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5715">CVE-2015-5715</a> - - <p>Была обнаружена уязвимость, позволяющая пользователям без соответствующих - прав доступа публиковать закрытые сообщения и прикреплять их.</p> - - <p>Проблема была исправлена в коде XMLRPC Wordpress путём запрета - прикрепления закрытых сообщений.</p></li> - -<li>Другие проблемы - - <p>Был обнаружен межсайтовый скриптинг в таблицах списков - пользователей.</p> - - <p>Проблема была исправлена путём экранирования URL адресов электронной почты в - списках пользователей.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-321.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-322.wml b/russian/lts/security/2015/dla-322.wml deleted file mode 100644 index 98e34678d5b..00000000000 --- a/russian/lts/security/2015/dla-322.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Травин Битти [1] <a href="https://bugzilla.redhat.com/show_bug.cgi?id=1259892">обнаружил</a> проблему, при которой можно наблюдать -за зависшими потоками в многопоточных приложениях на Java. После отладки этой проблемы стало -очевидно, что зависание потоков вызвано кодом инициализации SSL -в commons-httpclient.</p> - -<p>Данное обновление исправляет указанную проблему путём учёта настроек SO_TIMEOUT -во время SSL-рукопожатий с сервером.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-322.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-323.wml b/russian/lts/security/2015/dla-323.wml deleted file mode 100644 index eeded76da93..00000000000 --- a/russian/lts/security/2015/dla-323.wml +++ /dev/null @@ -1,43 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В пакете fuseiso в Debian LTS (squeeze) недавно были исправлены -две проблемы.</p> - -<p>Проблема 1</p> - - <p>В способе, используемом FuseISO, модуле FUSE для монтирования - образов файловых систем ISO, было обнаружено переполнение целых - чисел, проводящее к переполнению буфера и возникающее при чтении - определённых блоков ZF определённых индексных дескрипторов. - Удалённый злоумышленник может передать специально сформированный файл ISO, который при - его монтировании через инструмент fuseiso приведёт к аварийной остановке двоичного файла fuseiso.</p> - - <p>Данная проблема была обнаружена Флорианом Ваймером из Red Hat Product - Security Team.</p> - - <p>Проблема была решена путём остановки до того момента, как блоки ZF, превышающие - поддерживаемый размер блока в 2^17, будут прочитаны.</p> - -<p>Проблема 2</p> - - <p>В способе, используемом FuseISO, модуле FUSE для монтирования - образов файловых систем ISO, было обнаружено переполнение буфера, - возникающее при раскрытии частей каталога для абсолютных путей имён - файлов. Удалённый злоумышленник может передать - специально сформированный файл ISO, который при его - монтировании через инструмент fuseiso приведёт к аварийной остановке двоичного файла fuseiso или - потенциальному выполнению произвольного кода с правами пользователя, - запустившего исполняемый файл fuseiso.</p> - - <p>Эта проблема была обнаружена Флорианом Ваймером из Red Hat Product - Security Team.</p> - - <p>Проблема была решена путём выполнения проверки окончательной длины - абсолютного пути и остановки в том случае, если значение PATH_MAX - данной платформы уже превышено.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-323.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-324.wml b/russian/lts/security/2015/dla-324.wml deleted file mode 100644 index 4ae88aaae7a..00000000000 --- a/russian/lts/security/2015/dla-324.wml +++ /dev/null @@ -1,46 +0,0 @@ -#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Lev Lamberov" -<define-tag description>обновление безопаснсти LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет несколько проблем, описанных ниже.</p> - -<ul> - -<li>PR ld/12613 (идентификатор CVE не присвоен) - - <p>Ниранджан Хасабнис обнаружил, что передача некорректного сценария - компоновщика GNU ld, части binutils, может приводить к переполнению - буфера. Если компоновщик используется с недоверенными объектными файлами, то это - может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) - или повышение привилегий.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3509">CVE-2012-3509</a>, #688951 - - <p>Санг Кил Ча обнаружил, что вычисление размера буфера в - libiberty, части binutils, может приводить к переполнению целых чисел и - переполнению динамической памяти. Если libiberty или команды из - binutils используются для чтения недоверенных двоичных файлов, то это может позволить - удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) или - потенциальное повышение привилегий.</p></li> - -<li>PR binutils/18750 (идентификатор CVE не присвоен) - - <p>Джошуа Роджерс сообщил, что передача некорректного файла ihex (шестнадцатеричный - формат Intel) различным командам из binutils может приводить к - переполнению буфера. Схожая проблема была обнаружена в readelf. - Если эти команды используются для чтения недоверенных двоичных файлов, то это может - позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) или - потенциальное повышение привилегий.</p></li> - -</ul> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были -исправлены в версии 2.20.1-16+deb6u2.</p> - -<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках -PR ld/12613 и <a href="https://security-tracker.debian.org/tracker/CVE-2012-3509">CVE-2012-3509</a> были исправлены до момента выпуска, а -PR binutils/18750 будет исправлена позже.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-324.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-325.wml b/russian/lts/security/2015/dla-325.wml deleted file mode 100644 index 5d6cd085530..00000000000 --- a/russian/lts/security/2015/dla-325.wml +++ /dev/null @@ -1,52 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет описанные ниже CVE.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2925">CVE-2015-2925</a> - - <p>Янн Хорн обнаружил, что если подкаталог файловой системы смонтирован с опцией bind в - окружение chroot или пространство имён монтирования, то пользователь, который должен быть - ограничен этим окружением chroot или пространством имён, может получить доступ ко всей - файловой системе в том случае, если он имеет права на запись в родительский каталог - указанного подкаталога. Это не является общей настройкой для данной - версии ядра.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5257">CVE-2015-5257</a> - - <p>Моэин Гасемзаде из Istuary Innovation Labs сообщил, что USB-устройство - может вызвать отказ в обслуживании (аварийная остановка) путём имитации - последовательного USB-устройства Whiteheat, но представляет меньшее число - конечных точек.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7613">CVE-2015-7613</a> - - <p>Дмитрий Вьюков обнаружил, что IPC-объекты System V (очереди сообщений - и сегменты разделяемой памяти) становятся доступными до полной инициализации - их принадлежности и других атрибутов. Если локальный пользователь - может вступить в гонку с другим пользователем или службой, создавая новый - IPC-объект, то это может приводить к неавторизованному раскрытию информации, - неавторизованному изменению информации, отказу в обслуживании и/или - повышению привилегий.</p> - - <p>Сходная проблема имеет место с массивами семафоров System V, но она - менее серьёзна, так как эти массивы всегда очищаются до их полной - инициализации.</p></li> - -</ul> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были -исправлены в версии 2.6.32-48squeeze16.</p> - -<p>В предыдущем стабильном выпуске (wheezy) эти проблемы будут исправлены -в версии 3.2.68-1+deb7u5.</p> - -<p>В стабильном выпуске (jessie) эти проблемы будут исправлены -в версии 3.16.7-ckt11-1+deb8u5, либо уже были исправлены ранее.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-325.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-326.wml b/russian/lts/security/2015/dla-326.wml deleted file mode 100644 index 2f58cddad9d..00000000000 --- a/russian/lts/security/2015/dla-326.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Адаптеры PDO из Zend Framework 1 не выполняют фильтрацию null-байтовых значений в -утверждениях SQL. Адаптер PDO может рассматривать null-байты в запросе как -символы ограничения строки, что позволяет злоумышленнику добавлять произвольный код SQL за -null-байтом, что приводит к SQL-инъекции.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в zendframework -версии 1.10.6-1squeeze6.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-326.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-327.wml b/russian/lts/security/2015/dla-327.wml deleted file mode 100644 index 1723ac2d760..00000000000 --- a/russian/lts/security/2015/dla-327.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>Многочисленные отрицательные переполнения целых чисел в PluginPCX.cpp в FreeImage 3.17.0 и более -ранних версиях позволяют удалённым злоумышленникам вызывать отказ в обслуживании (повреждение -содержимого динамической памяти) с помощью векторов, связанных с высотой и шириной окна.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-327.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-329.wml b/russian/lts/security/2015/dla-329.wml deleted file mode 100644 index 7177209dcb3..00000000000 --- a/russian/lts/security/2015/dla-329.wml +++ /dev/null @@ -1,29 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В PostgreSQL, серверной системе реляционных баз данных, было обнаружено -несколько ошибок. Поддержка ветки 8.4 в основной ветке разработки была прекращена, но она всё ещё имеется в Debian squeeze. -Данная новая минорная версия для LTS содержит исправления, которые применены авторами основной ветки разработки к -версии 9.0.22. Указанные исправления были адаптированы для версии 8.4.22, которая является последней версией, официально -выпущенной разработчиками PostgreSQL. Данная работа над долгосрочной поддержкой для squeeze-lts -является проектом сообщества и была поддержана credativ GmbH.</p> - -<h3>Переход на версию 8.4.22lts5</h3> - -<p>Тем, кто использует версию 8.4.X делать dump/restore не требуется. Тем не менее, если вы -выполняете обновление с версии ниже 8.4.22, то обратитесь к соответствующей информации о выпуске.</p> - -<h3>Исправления безопасности</h3> - -<p>Исправления contrib/pgcrypto с целью обнаружения и сообщения о слишком короткой соли для шифрования (Джош -Каперсмит)</p> - -<p>Определённые неправильные аргументы соли приводят к аварийной остановке сервера или раскрытию нескольких -байт серверной памяти. Возможность атак с целью выявления конфиденциальной информации в -раскрытых байтах не исключается, но подобные ситуации кажутся -маловероятными. (<a href="https://security-tracker.debian.org/tracker/CVE-2015-5288">CVE-2015-5288</a>)</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-329.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-330.wml b/russian/lts/security/2015/dla-330.wml deleted file mode 100644 index a2b0b95721e..00000000000 --- a/russian/lts/security/2015/dla-330.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Густаво Грико обнаружил с помощью fuzzer, что unzip уязвим к -переполнению динамической памяти и отказу в обслуживании при обработке специально сформированных -ZIP архивов, защищённых паролем.</p> - -<p>В the Debian 6 squeeze эти проблемы были исправлены в unzip -версии 6.0-4+deb6u3.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-330.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-331.wml b/russian/lts/security/2015/dla-331.wml deleted file mode 100644 index e3d6c12b528..00000000000 --- a/russian/lts/security/2015/dla-331.wml +++ /dev/null @@ -1,18 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В PolarSSl и mbed TLS была обнаружена уязвимость:</p> - -<p>Когда клиент создаёт своё сообщение ClientHello, то из-за недостаточной проверки -границ массива, оно может переполнить буфер динамической памяти, содержащий это сообщение, во время -записи некоторых расширений. В частности, удалённым злоумышленником для вызова переполнения могут -использоваться два расширения: расширение билета сессии и расширение -индикации имени сервера (SNI).</p> - -<p>Хотя большая часть уязвимого кода в Squeeze отсутствует, -данная загрузка по меньшей мере добавляет проверку длины входящих данных.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-331.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-332.wml b/russian/lts/security/2015/dla-332.wml deleted file mode 100644 index 317c4c8b6cf..00000000000 --- a/russian/lts/security/2015/dla-332.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Густаво Грико обнаружил использование указателей после освобождения памяти, вызывающее неправильное -или двойное освобождение памяти в optipng 0.6.4.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в optipng версии -0.6.4-1+deb6u11.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-332.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-333.wml b/russian/lts/security/2015/dla-333.wml deleted file mode 100644 index f4934a4509d..00000000000 --- a/russian/lts/security/2015/dla-333.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>CakePHP, инфраструктура веб-приложений для PHP с открытым исходным кодом, -уязвима к атакам по принципу SSRF (подделка запросов на стороне -сервера). Удалённый злоумышленник может использовать эту уязвимость для -вызова отказа в обслуживании в том случае, если целевое приложение принимает -в качестве входных данных XML. Проблема вызвана небезопасной реализацией класса Xml в Cake.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в cakephp версии -1.3.2-1.1+deb6u11.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-333.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-334.wml b/russian/lts/security/2015/dla-334.wml deleted file mode 100644 index b1848581645..00000000000 --- a/russian/lts/security/2015/dla-334.wml +++ /dev/null @@ -1,11 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>Специально сформированный документ xml приводит к доступу за пределами выделенного буфера памяти. Переполнение динамической памяти -в xmlParseConditionalSections.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-334.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-335.wml b/russian/lts/security/2015/dla-335.wml deleted file mode 100644 index 7a684309fe7..00000000000 --- a/russian/lts/security/2015/dla-335.wml +++ /dev/null @@ -1,154 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В ntp было обнаружено несколько проблем безопасности:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5146">CVE-2015-5146</a> - - <p>Была обнаружена уязвимость в способе, используемом ntpd для обработки определённых - пакетов удалённой настройки. Злоумышленник может использовать специально сформированный - пакет для вызова аварийной остановки ntpd в случае, если выполнены следующие условия:</p> - <ul> - <li>в ntpd включена удалённая настройка,</li> - <li>злоумышленник знает пароль для настройки,</li> - <li>злоумышленник имеет доступ к компьютеру, входящему в список доверенных компьютеров, с которых - можно выполнять удалённую настройку.</li> - </ul> - - <p>Заметьте, что удалённая настройка по умолчанию отключена в NTP.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5194">CVE-2015-5194</a> - - <p>Было обнаружено, что ntpd аварийно завершает свою работу из-за неинициализированной переменной - при обработке некорректных команд настройки logconfig.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5195">CVE-2015-5195</a> - - <p>Было обнаружено, что ntpd завершается с ошибкой сегментирования в том случае, - если тип статистики, который не был включен в ходе компиляции (например, - timingstats) указывается к команде настройки statistics или - filegen</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5219">CVE-2015-5219</a> - - <p>Было обнаружено, что программа sntp входит в бесконечный цикл при - получении специально сформированного пакета NTP. Эта проблема связана с преобразованием - точного значения в пакете в вещественное число двойной точности.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5300">CVE-2015-5300</a> - - <p>Было обнаружено, что в ntpd неправильно реализована опция -g:</p> - - <p>Обычно ntpd завершается с сообщением в системный журнал в том случае, если - разница по времени превышает пороговое значение <q>паники</q>, которое по умолчанию равна 1000 секунд. Эта - опция позволяет устанавливать время в любое значение без ограничений. - Тем не менее, это происходит только один раз. Если порог будет превышен - после этого, то ntpd завершится с сообщением в системный журнал. Эта - опция может использоваться с опциями -q и -x.</p> - - <p>Фактически, служба ntpd должена изменять время несколько раз на более, чем - пороговое значение <q> паники</q> в том случае, если порядок обслуживания часов не имеет достаточного - количества времени для достижения состояния синхронизации и остаётся - в таком состоянии по меньшей мере одно обновление. Если - злоумышленник может управлять трафиком NTP с момента запуска ntpd - (или вплоть до 15-30 минут после), то он может - не дать клиенту достичь состояния синхронизации и заставить его перевести - часы на любое количество времени любое количество раз, что может использоваться - злоумышленниками для искусственного окончания действия сертификатов и т. д.</p> - - <p>Это поведение не соответствует тому, что написано в документации. Обычно - допущение заключается в том, что MITM-злоумышленник может перевести часы на большее количество - времени за предел <q> паники</q> только один раз в момент запуска ntpd, и для того, чтобы изменить - время на какое-либо большое значение, злоумышленнику следует разделить это действие на несколько небольших - шагов, каждый из которых занимает 15 минут, что довольно медленно.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7691">CVE-2015-7691</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-7692">CVE-2015-7692</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-7702">CVE-2015-7702</a> - - <p>Было обнаружено, что исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2014-9750">CVE-2014-9750</a> неполно: были - обнаружены проблемы в проверке длины значения в ntp_crypto.c, где - пакет с определёнными автоключевыми операциями, содержащими некорректные - данные, не всегда проверялся полностью. Получение этих - пакетов приводит к аварийной остановке ntpd.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7701">CVE-2015-7701</a> - - <p>В CRYPTO_ASSOC в ntpd была обнаружена утечка памяти. Если ntpd - настроен на использование автоключевой аутентификации, то злоумышленник может отправлять - пакеты ntpd, которые в результате продолжительной многодневной атаки - приведут к исчерпанию памяти.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7703">CVE-2015-7703</a> - - <p>Мирослав Личвар из Red Hat обнаружил, что команда :config может - использоваться для установки путей к pid-файлу и drift-файлу без - каких-либо ограничений. Удалённый злоумышленник может использовать эту уязвимость для перезаписи - файла в файловой системе файлом, содержащим pid процесса ntpd - или текущее оцениваемое смещение системных - часов (в часовых интервалах). Например:</p> -<pre> - ntpq -c ':config pidfile /tmp/ntp.pid' - ntpq -c ':config driftfile /tmp/ntp.drift' -</pre> - <p>В Debian ntpd настроен так, чтобы сбрасывать привилегии суперпользователя, что ограничивает - влияние этой проблемы.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7704">CVE-2015-7704</a> - - <p>Когда ntpd в качестве NTP-клиента получает KoD-пакет (поцелуй смерти) - от сервера для снижения частоты опроса, он не выполняет проверку того, совпадает - ли инициированная временная отметка в ответе с временной отметкой передачи из - запроса. Злоумышленник может отправить специально сформированный KoD-пакет - клиенту, который увеличит интервал опроса клиента - до большого значения и приведёт к отключению синхронизации с сервером.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7850">CVE-2015-7850</a> - - <p>В удалённой настройке NTP имеется отказ в обслуживании, который - может использоваться злоумышленниками. Специально - сформированный файл настройки может вызвать бесконечный цикл, - приводящий к отказу в обслуживании. Злоумышленник может передать - некорректный файл настройки с целью вызова указанной уязвимости.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7851">CVE-2015-7851</a> - - <p>В коде сохранения файла настройки ntpd на VMS имеется потенциальная - возможность подмены пути. Специально сформированный путь может приводить к обходу - пути, что потенциально приводит к перезаписи файлов. Злоумышленник - может передать некорректный путь с целью вызова указанной - уязвимости.</p> - - <p>Данная уязвимость не касается Debian.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7852">CVE-2015-7852</a> - - <p>В cookedprint в ntpq имеется потенциальная ошибка на - единицу. Специально сформированный буфер может вызвать - переполнение буфера, потенциально приводящее к записи null-байта за - пределами выделенного буфера памяти.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7855">CVE-2015-7855</a> - - <p>Было обнаружено, что функция decodenetnum() в NTP прерывает работу с - ошибкой утверждения в ходе обработки пакета режима 6 или режима 7, содержащего - необычно длинное значение данных в месте, где ожидается сетевой адрес. Это - может позволить аутентифицированному злоумышленнику аварийно завершить ntpd.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7871">CVE-2015-7871</a> - - <p>В ntpd имеется ошибка в логике обработки ошибок, которая проявляется из-за - некорректной обработки состояния ошибки, связанного с определёнными - crypto-NAK пакетами. Неаутентифицированный злоумышленник может заставить - процесс ntpd на целевых серверах обратиться к источникам времени, - выбранным злоумышленникам, путём передачи ntpd симметричных активных crypto-NAK - пакетов. Данная атака позволяет обойти аутентификацию, которая обычно - требуется для установления соединения, что позволяет злоумышленнику - произвольно менять системное время.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-335.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-336.wml b/russian/lts/security/2015/dla-336.wml deleted file mode 100644 index e3f746b3fb6..00000000000 --- a/russian/lts/security/2015/dla-336.wml +++ /dev/null @@ -1,30 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В phpMyAdmin, веб-инструменте для администрирования MySQL, было обнаружено -несколько уязвимостей.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8958">CVE-2014-8958</a> - - <p>Многочисленный уязвимости, приводящие к межсайтовому скриптингу (XSS).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9218">CVE-2014-9218</a> - - <p>Отказ в обслуживании (чрезмерное потребление ресурсов) с помощью длинного пароля.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2206">CVE-2015-2206</a> - - <p>Риск атаки по принципу BREACH из-за отражённого параметра.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3902">CVE-2015-3902</a> - - <p>Уязвимость XSRF/CSRF в настройке phpMyAdmin.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-336.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-337.wml b/russian/lts/security/2015/dla-337.wml deleted file mode 100644 index b1db7ecf198..00000000000 --- a/russian/lts/security/2015/dla-337.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>busybox, набор небольших утилит для встраиваемых систем, содержит -уязвимость, приводящую к аварийной остановке при обработке специально сформированного файла zip. -Эта проблема была обнаружена Густаво Грико.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в busybox версии -1.17.1-8+deb6u11.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-337.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-338.wml b/russian/lts/security/2015/dla-338.wml deleted file mode 100644 index 6acd317acd7..00000000000 --- a/russian/lts/security/2015/dla-338.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>xscreensaver, служба хранителя экрана и интерфейс для X11, аварийно -завершает свою работу при горячем подключении мониторов.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в xscreensaver версии -5.11-1+deb6u11.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-338.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-339.wml b/russian/lts/security/2015/dla-339.wml deleted file mode 100644 index 48ad1b7abae..00000000000 --- a/russian/lts/security/2015/dla-339.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Функция HTML::Scrubber уязвима к межсайтовому скриптингу (XSS), -если включены комментарии. Это позволяет удалённым злоумышленникам вводить -произвольный веб-сценарий или код HTML при помощи специально сформированного комментария.</p> - -<p>В Debian 6 squeeze эта проблема была исправлена в libhtml-scrubber-perl версии -0.08-4+deb6u1.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-339.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-340.wml b/russian/lts/security/2015/dla-340.wml deleted file mode 100644 index 0def152b40c..00000000000 --- a/russian/lts/security/2015/dla-340.wml +++ /dev/null @@ -1,34 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В krb5, реализации Kerberos от MIT, было обнаружено несколько -уязвимостей. Проект Common Vulnerabilities and Exposures определяет -следующие проблемы:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2695">CVE-2015-2695</a> - - <p>Было обнаружено, что приложения, вызывающие gss_inquire_context() на - частично установленном контексте SPNEGO, могут приводить к тому, что библиотека GSS-API - может выполнить чтение из указателя, используя неправильный тип, что приводит - к аварийной остановке процесса.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2697">CVE-2015-2697</a> - - <p>Было обнаружено, что функция build_principal_va() неправильно - обрабатывает входные строки. Аутентифицированный злоумышленник может использовать - эту уязвимость для вызова аварийной остановки KDC, используя запрос TGS с - большим полем realm, начинающимся с null-байта.</p></li> - -</ul> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были -исправлены в версии 1.8.3+dfsg-4squeeze10.</p> - -<p>Рекомендуется обновить пакеты krb5.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-340.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-341.wml b/russian/lts/security/2015/dla-341.wml deleted file mode 100644 index 0ce48e3075c..00000000000 --- a/russian/lts/security/2015/dla-341.wml +++ /dev/null @@ -1,61 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<ul> - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6831">CVE-2015-6831</a> - <p>В функции unserialize() было обнаружено использование указателей после освобождения памяти. - Можно создать ZVAL и освободить её через Serializable::unserialize. - Тем не менее, unserialize() всё ещё будет позволять использовать R: или r: для того, чтобы - установить указатели на эту уже освобождённую память. Можно провести атаку по использованию - указателей после освобождения памяти и удалённо выполнить произвольный код.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6832">CVE-2015-6832</a> - <p>Ссылка на несуществующий объект в десериализации записей ArrayObject.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6833">CVE-2015-6833</a> - <p>Извлечённые из архива файлы могут быть помещены за пределы целевого - каталога.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6834">CVE-2015-6834</a> - <p>В функции unserialize() было обнаружено использование указателей после освобождения памяти. - Можно создать ZVAL и освободить её через Serializable::unserialize. - Тем не менее, unserialize() всё ещё будет позволять использовать R: или r: для того, чтобы - установить указатели на эту уже освобождённую память. Можно провести атаку по использованию - указателей после освобождения памяти и удалённо выполнить произвольный код.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6836">CVE-2015-6836</a> - <p>В SOAP serialize_function_call возникает ошибка типа из-за - недостаточной проверки поля заголовков. - В методе __call из SoapClient проверка verify_soap_headers_array - применяется только к заголовкам, полученным из - zend_parse_parameters; проблема состоит в том, что через несколько строк - значение soap_headers может быть обновлено или заменено значениями из - объектного поля __default_headers.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6837">CVE-2015-6837</a> - <p>В классе XSLTProcessor отсутствуют проверки входных данных из - библиотеки libxslt. Вызов функции valuePop() может возвратить - NULL-указатель, а PHP не выполняет его проверку.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6838">CVE-2015-6838</a> - <p>В классе XSLTProcessor отсутствуют проверки входных данных из - библиотеки libxslt. Вызов функции valuePop() может возвратить - NULL-указатель, а PHP не выполняет его проверку.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7803">CVE-2015-7803</a> - <p>В способе, используемом в расширении Phar для PHP для грамматического - разбора архивов Phar, было обнаружено разыменование NULL-указателя. Специально сформированный - архив может привести к аварийной остановке PHP.</p></li> - - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7804">CVE-2015-7804</a> - <p>В фунции phar_make_dirstream() из расширения Phar для PHP было - обнаружено использование неинициализированного указателя. - Специально сформированный файл phar в формате ZIP с каталогом, содержащим - файл с именем "/ZIP", может вызывать аварийную остановку приложения - PHP.</p></li> -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-341.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-342.wml b/russian/lts/security/2015/dla-342.wml deleted file mode 100644 index 374ee3269cb..00000000000 --- a/russian/lts/security/2015/dla-342.wml +++ /dev/null @@ -1,45 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В распределённой файловой системе OpenAFS было обнаружено и исправлено -несколько уязвимостей:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3282">CVE-2015-3282</a> - - <p>Утечка данных стека из vos при обновлении записей vldb.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3283">CVE-2015-3283</a> - - <p>OpenAFS позволяет удалённым злоумышленникам подделывать команды bos с помощью - неопределённых векторов.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3285">CVE-2015-3285</a> - - <p>pioctl неправильно использует указатель, связанный с RPC, позволяя локальным пользователям - вызывать отказ в обслуживании (повреждение содержимого памяти и паника ядра) с помощью - специально сформированной команды OSD FS.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6587">CVE-2015-6587</a> - - <p>vlserver позволяет аутентифицированным пользователям вызывать отказ в обслуживании - (чтение за пределами выделенного буфера памяти и аварийная остановка) с помощью специально сформированного регулярного выражения в - RPC VL_ListAttributesN2.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7762">CVE-2015-7762</a> и <a href="https://security-tracker.debian.org/tracker/CVE-2015-7763">CVE-2015-7763</a> ("Tattletale") - - <p>Джон Стампо обнаружил, что Rx-пакеты ACK содержат в виде открытого текста ранее - обработанные пакеты.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в openafs версии -1.4.12.1+dfsg-4+squeeze4.</p> - -<p>Рекомендуется обновить пакеты OpenAFS.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-342.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-343.wml b/russian/lts/security/2015/dla-343.wml deleted file mode 100644 index 61bc24d7f9b..00000000000 --- a/russian/lts/security/2015/dla-343.wml +++ /dev/null @@ -1,22 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<ul> - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7981">CVE-2015-7981</a> - <p>Добавлена проверка целостности в png_set_tIME() (сообщение об ошибке прислал Цисюэ Сяо).</p></li> - <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8126">CVE-2015-8126</a> - <p>Многочисленные переполнения буферов в функциях (1) png_set_PLTE и - (2) png_get_PLTE в libpng до версии 1.0.64, 1.1.x и 1.2.x - до версии 1.2.54, 1.3.x и 1.4.x до версии 1.4.17, 1.5.x до версии 1.5.24 - и 1.6.x до версии 1.6.19 позволяют удалённым злоумышленникам вызывать отказ - в обслуживании (аварийная остановка приложения) или оказывать какое-то другое влияние - на безопасность с помощью небольшого значения битовой глубины в IHDR-порции (известной как - заголовок изображения) в изображении в формате PNG.</p></li> - <li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3425">CVE-2012-3425</a> - <p>Уязвимый код в версии в выпуске с долгосрочной поддержкой отсутствует</p></li> -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-343.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-344.wml b/russian/lts/security/2015/dla-344.wml deleted file mode 100644 index a7ae4b6e01c..00000000000 --- a/russian/lts/security/2015/dla-344.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Инженер по безопасности из Google Райан Сливи обнаружил уязвимость в NetScape -Portable Runtime Library (NSPR). NSPR выделяет память без каких-либо специальных проверок, -что позволяет удалённым злоумышленникам вызывать отказ в обслуживании или выполнять -произвольный код.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в nspr версии -4.8.6-1+squeeze3. Рекомендуется обновить пакеты nspr.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-344.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-345.wml b/russian/lts/security/2015/dla-345.wml deleted file mode 100644 index b7d10faabfb..00000000000 --- a/russian/lts/security/2015/dla-345.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Тобиас Бруннер обнаружил возможность обхода аутентификации в -strongSwan, наборе IKE/IPsec.</p> - -<p>Из-за недостаточной проверки локального состояния серверная реализация -протокола EAP-MSCHAPv2 в дополнении eap-mschapv2 -может успешно завершить аутентификацию без -предоставления данных действующей учётной записи.</p> - -<p>Подобные атаки можно распознать, просматривая журналы на сервере. -В момент аутентификации клиента можно видеть следующее -сообщение:</p> - - <p>EAP method EAP_MSCHAPV2 succeeded, no MSK established</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-345.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-346.wml b/russian/lts/security/2015/dla-346.wml deleted file mode 100644 index b8aca9ecf27..00000000000 --- a/russian/lts/security/2015/dla-346.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В OpenJDK, реализации платформы Oracle Java, было обнаружено несколько -уязвимостей. Эти уязвимости связаны с выполнением -произвольного кода, выходами за пределы песочницы Java, раскрытием информации и -отказами в обслуживании.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в openjdk-6 -версии 6b37-1.13.9-1~deb6u1.</p> - -<p>Рекомендуется обновить пакеты openjdk-6.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-346.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-347.wml b/russian/lts/security/2015/dla-347.wml deleted file mode 100644 index f1048a22fcb..00000000000 --- a/russian/lts/security/2015/dla-347.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что эмулятор терминала в PuTTY неправильно -выполняет проверку параметра управляющей последовательности ECH (символы удаления), -что приводит к отказам в обслуживании и возможному удалённому выполнению кода.</p> - -<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была -исправлена в версии 0.60+2010-02-20-1+squeeze4.</p> - -<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках эта -проблема будет исправлена позже.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-347.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-348.wml b/russian/lts/security/2015/dla-348.wml deleted file mode 100644 index 493148d2d6b..00000000000 --- a/russian/lts/security/2015/dla-348.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4168">CVE-2013-4168</a> - - <p>Была исправлена небольшая проблема с XSS в основной ветке разработки 2.6.9. Она была обнаружена Стивеном - Чэмберлэйном, перенос исправления выполнен командой безопасности LTS.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-348.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-349.wml b/russian/lts/security/2015/dla-349.wml deleted file mode 100644 index df455beb34b..00000000000 --- a/russian/lts/security/2015/dla-349.wml +++ /dev/null @@ -1,24 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что в фильтре шаблона даты в Django, инфраструктуры веб-разработки, -имеется потенциальная утечка настроек.</p> - -<p>Если приложение позволяет пользователям определять непроверенный формат -для представления дат и передаёт этот формат фильтру дат, напр. -<tt>{{ last_updated|date:user_date_format }}</tt>, то злоумышленник -может получить любую закрытую информацию из настроек приложения путём определения -ключа настроек вместо формата даты. напр. <q>SECRET_KEY</q> вместо -"j/m/Y".</p> - -<p>Для исправления этой проблемы в настоящее время функция, используемая в фильтре шаблона -даты, django.utils.formats.get_format(), позволяет получать доступ -только к настройкам формата даты и времени.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в python-django -версии 1.2.3-3+squeeze15.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-349.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-350.wml b/russian/lts/security/2015/dla-350.wml deleted file mode 100644 index 4bb85d3378c..00000000000 --- a/russian/lts/security/2015/dla-350.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Функция strxfrm() уязвима к отрицательному переполнению целых чисел при вычислении -размеров выделения памяти (схоже с <a href="https://security-tracker.debian.org/tracker/CVE-2012-4412">CVE-2012-4412</a>). Более того, так как -функция при ошибке malloc() возвращается к alloca(), она уязвима к -переполнениям буфера (схоже с <a href="https://security-tracker.debian.org/tracker/CVE-2012-4424">CVE-2012-4424</a>).</p> - -<p>Эти проблемы были исправлены в Debian 6 Squeeze в eglibc -2.11.3-4+deb6u8. Рекомендуется обновить libc6 и другие -пакеты, предоставляемые eglibc.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-350.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-351.wml b/russian/lts/security/2015/dla-351.wml deleted file mode 100644 index 9d76a42e007..00000000000 --- a/russian/lts/security/2015/dla-351.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что в Redmine, веб-инструменте для управления проектами и учёта -сообщений об ошибках, имеется уязвимость, приводящая к раскрытию информации.</p> - -<p>Форма журнала по времени может раскрывать темы сообщений об ошибках, которые -не открыты для просмотра. Заплату подготовил Холгер Йуст.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в redmine версии -1.0.1-2+deb6u11.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-351.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-352.wml b/russian/lts/security/2015/dla-352.wml deleted file mode 100644 index af58e62227a..00000000000 --- a/russian/lts/security/2015/dla-352.wml +++ /dev/null @@ -1,23 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Набор общих блоков Apache содержит проблемы безопасности, что приводит -к тому, что приложения принимают сериализованные объекты из недоверенных источников. Удалённые -злоумышленники могут использовать эти проблемы для выполнения произвольных функций Java -и даже инъекции изменённого байт-кода.</p> - -<p>Данный выпуск libcommons-collection3-java предотвращает указанные проблемы путём отключения -десериализации классов функторов в том случае, если системное свойство -org.apache.commons.collections.enableUnsafeSerialization не установлено в значение <q>true</q>. -Небезопасными считаются следующие классы: CloneTransformer, ForClosure, -InstantiateFactory, InstantiateTransformer, InvokerTransformer, -PrototypeCloneFactory, PrototypeSerializationFactory и WhileClosure.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в -libcommons-collections3-java версии 3.2.1-4+deb6u1. Рекомендуется -обновить пакеты libcommons-collections3-java.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-352.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-353.wml b/russian/lts/security/2015/dla-353.wml deleted file mode 100644 index 04b7ff82cdd..00000000000 --- a/russian/lts/security/2015/dla-353.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Передача ImageMagick специально сформированных иконок (.ico) или изображений в формате .pict -может приводить к переполнению динамической памяти, которое приводит к переполнению буфера и -ошибкам выделения памяти. В зависимости от конкретного случая это может приводить -к отказу в обслуживании или даже чему-то ещё более плохому.</p> - -<p>В Debian 6 Squeeze эти проблемы были исправлены в imagemagick -версии 8:6.6.0.4-3+squeeze7. Рекомендуется обновить пакеты.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-353.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-354.wml b/russian/lts/security/2015/dla-354.wml deleted file mode 100644 index 016a084a52e..00000000000 --- a/russian/lts/security/2015/dla-354.wml +++ /dev/null @@ -1,34 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В nss, библиотеке Mozilla Network Security Service, было обнаружено несколько -уязвимостей. Проект Common Vulnerabilities and Exposures определяет -следующие проблемы:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7181">CVE-2015-7181</a> - - <p>Функция sec_asn1d_parse_leaf неправильно ограничивает доступ к - неопределённым структурам данных, что позволяет удалённым злоумышленникам вызывать - отказ в обслуживании (аварийная остановка приложения) или потенциально выполнять произвольный - код с помощью специально сформированных данных OCTET STRING, что связано с проблемой - <q>использование после отравления</q>.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7182">CVE-2015-7182</a> - - <p>Переполнение динамической памяти в декодере ASN.1 позволяет удалённым - злоумышленникам вызывать отказ в обслуживании (аварийная остановка приложения) или - потенциально выполнять произвольный код с помощью специально сформированных данных OCTET STRING.</p></li> - -</ul> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены -в версии 3.12.8-1+squeeze13.</p> - -<p>Рекомендуется обновить пакеты nss.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-354.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-355.wml b/russian/lts/security/2015/dla-355.wml deleted file mode 100644 index 6fdff4fae54..00000000000 --- a/russian/lts/security/2015/dla-355.wml +++ /dev/null @@ -1,31 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8241">CVE-2015-8241</a> - - <p>Чтение за пределами выделенного буфера памяти в коде грамматического разбора XML в xmlNextChar</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8317">CVE-2015-8317</a> - - <ul> - <li>Проблемы в функции xmlParseXMLDecl: - Если мы не можем преобразовать текущий входной поток во - время обработки кодирующей декларации XMLDecl, - то безопаснее просто прервать работу и более не пытаться - сообщать о других ошибках..</li> - <li>Если строка завершается неправильно, не пытаться преобразовать - её в данную кодировку. - </ul></li> - -</ul> - -<p>Дополнительное исправление ошибки на единицу в предыдущей заплате для <a href="https://security-tracker.debian.org/tracker/CVE-2015-7942">CVE-2015-7942</a> -(благодарим Сальваторе за обнаружение этой проблемы)</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-355.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-356.wml b/russian/lts/security/2015/dla-356.wml deleted file mode 100644 index b8ee7aeeba6..00000000000 --- a/russian/lts/security/2015/dla-356.wml +++ /dev/null @@ -1,30 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9496">CVE-2014-9496</a> - - <p>Функция sd2_parse_rsrc_fork в sd2.c в libsndfile позволяет - злоумышленникам оказывать неопределённое влияние на безопасность через векторы, связанные с (1) отображением - смещения или (2) rsrc-маркером, которые вызывают чтение за пределами выделенного буфера памяти.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9756">CVE-2014-9756</a> - - <p>Функция psf_fwrite function в file_io.c в libsndfile позволяет злоумышленникам - вызывать отказ в обслуживании (ошибка при делении на ноль и аварийная остановка приложения) - через неопределённые векторы, связанные с переменной headindex.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7805">CVE-2015-7805</a> - - <p>Переполнение динамической памяти в libsndfile версии 1.0.25 позволяет удалённым - злоумышленникам оказывать неопределённое влияние на безопасность через переменную headindex в - заголовке файла в формате AIFF.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-356.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-357.wml b/russian/lts/security/2015/dla-357.wml deleted file mode 100644 index 1fc27ce48b5..00000000000 --- a/russian/lts/security/2015/dla-357.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что отсутствие очистки входных данных в Snoopy, PHP-классе, -симулирующем веб-браузер, может приводить к выполнению произвольных -команд.</p> - -<p>В предыдущем старом стабильном выпуске (squeeze-lts) эта проблема была исправлена -в версии 2.0.0-1~deb6u1.</p> - -<p>Рекомендуется обновить пакеты libphp-snoopy.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-357.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-358.wml b/russian/lts/security/2015/dla-358.wml deleted file mode 100644 index 8a73078174e..00000000000 --- a/russian/lts/security/2015/dla-358.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>При обращении к специально сформированной структуре X509_ATTRIBUTE в OpenSSL происходит -утечка памяти. Эта структура используется функциями PKCS#7 и CMS, поэтому данной уязвимости -подвержено любое приложение, считывающее данные PKCS#7 или CMS из недоверенных источников. -Протоколы SSL/TLS не подвержены этой проблеме.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-358.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-360.wml b/russian/lts/security/2015/dla-360.wml deleted file mode 100644 index cd613eff4af..00000000000 --- a/russian/lts/security/2015/dla-360.wml +++ /dev/null @@ -1,54 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В данном обновлении исправлены описанные ниже CVE.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7446">CVE-2013-7446</a> - - <p>Дмитрий Вьюков обнаружил, что определённая последовательность корректных - операций над локальными (AF_UNIX) сокетами может привести к - использованию указателей после освобождения памяти. Это может использоваться для вызова отказа в обслуживании - (аварийная остановка) или возможного повышения привилегий.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7799">CVE-2015-7799</a> - - <p>郭永刚 обнаружил, что пользователь, имеющий доступ к /dev/ppp, может вызвать - отказ в обслуживании (аварийная остановка) путём передачи некорректных параметров - PPPIOCSMAXCID ioctl. Кроме того, это касается нод устройств ISDN PPP.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7833">CVE-2015-7833</a> - - <p>Сергей Шумило, Хендрик Швартке и Ральф Шпенненберг обнаружили - уязвимость в коде для обработки определённых дескрипторов USB-устройств в - драйвере usbvision. Злоумышленник, имеющий физический доступ к системе, может - использовать эту уязвимость для аварийной остановки системы.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7990">CVE-2015-7990</a> - - <p>Было обнаружно, что исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2015-6937">CVE-2015-6937</a> неполно. - Состояние гонки при отправке сообщения на непривязанный сокет может - вызывать разыменование NULL-указателя. Удалённый злоумышленник может вызвать - отказ в обслуживании (аварийная остановка) путём отправки специально сформированного пакета.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8324">CVE-2015-8324</a> - - <p><q>Valintinr</q> сообщил, что попытка смонтировать повреждённую файловую систему - ext4 может приводить к панике ядра. Пользователь, обладающий правами на - монтирование файловыми системами, может использовать эту уязвимость для аварийной остановки системы.</p></li> - -</ul> - -<p>В старом предыдущем стабильном выпуске (squeeze) эти проблемы были -исправлены в версии 2.6.32-48squeeze17. Рекомендуется обновить пакеты -linux-2.6.</p> - -<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках -<a href="https://security-tracker.debian.org/tracker/CVE-2015-7833">CVE-2015-7833</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-7990">CVE-2015-7990</a> и <a href="https://security-tracker.debian.org/tracker/CVE-2015-8324">CVE-2015-8324</a> уже были исправлены, а остальные -проблемы будут исправлены позже.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-360.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-361.wml b/russian/lts/security/2015/dla-361.wml deleted file mode 100644 index 72dd6c8e5a2..00000000000 --- a/russian/lts/security/2015/dla-361.wml +++ /dev/null @@ -1,18 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Библиотека Bouncy Castle Java до версии 1.51 не выполняет проверку того, что точка -находится в пределах эллиптической кривой, что облегчает удалённым злоумышленникам -получение закрытых ключей с помощью серии специально сформированных обменов ключей по протоколу Диффи-Хеллмана -с применением эллиптических кривых (ECDH), что также известно как <q>атака через неправильную кривую</q>.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в версии -1.44+dfsg-2+deb6u1 пакета bouncycastle.</p> - -<p>Выражаем благодарность автору основной ветки разработки Петеру Деттману, который проверил -подготовленный нами перенос исправления.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-361.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-362.wml b/russian/lts/security/2015/dla-362.wml deleted file mode 100644 index 6a75bed8eb3..00000000000 --- a/russian/lts/security/2015/dla-362.wml +++ /dev/null @@ -1,29 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Гуидо Вракен обнаружил несколько уязвимостей, связанных с работой с памятью, -во время нечёткого тестирования путём отправки DHCP-сообщений серверу dhcpcd.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии -1:3.2.3-5+squeeze2.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6698">CVE-2012-6698</a> - - <p>Запись за пределами выделенного буфера памяти с помощью специально сформированных сообщений DHCP.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6699">CVE-2012-6699</a> - - <p>Чтение за пределами выделенного буфера памяти с помощью специально сформированных сообщений DHCP.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6700">CVE-2012-6700</a> - - <p>Использование указателей после освобождения памяти с помощью специально сформированных сообщений DHCP.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-362.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-363.wml b/russian/lts/security/2015/dla-363.wml deleted file mode 100644 index 0dbfb3ca35a..00000000000 --- a/russian/lts/security/2015/dla-363.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что в libphp-phpmailer, библиотеке передачи электронной почты для PHP, -имеется уязвимость, приводящая к инъекции заголовков.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в libphp-phpmailer -версии 5.1-1+deb6u11.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-363.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-364.wml b/russian/lts/security/2015/dla-364.wml deleted file mode 100644 index ebcd46c4896..00000000000 --- a/russian/lts/security/2015/dla-364.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Ханно Бёк обнаружил, что GnuTLS, библиотека, реализующая протоколы TLS -и SSL, неправильно выполняет проверку первого байта заполнителя в режимах CBC. Удалённый -злоумышленник может использовать эту проблему для выполнения атаки по предсказанию -заполнителя.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в gnutls26 версии -2.8.6-1+squeeze6. Рекомендуется обновить пакеты gnutls26.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-364.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-365.wml b/russian/lts/security/2015/dla-365.wml deleted file mode 100644 index 09addbe8f31..00000000000 --- a/russian/lts/security/2015/dla-365.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что в foomatic-filters, которые используются системой -буферизации для принтеров для преобразования входящих данных в формате -PostScript в родной формат принтера, имеется возможность инъекции.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в foomatic-filters -версии 4.0.5-6+squeeze2+deb6u11</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-365.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-366.wml b/russian/lts/security/2015/dla-366.wml deleted file mode 100644 index 2bf32bcce3a..00000000000 --- a/russian/lts/security/2015/dla-366.wml +++ /dev/null @@ -1,18 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Сообщается, что arts использует небезопасную функцию mktemp() -для создания временного каталога, использующегося для размещения пользовательских сокетов. -Другой пользователь может похитить этот временный каталог -и получить доступ к IPC, которого он не должен иметь.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в arts -1.5.9-3+deb6u1 путём использования более безопасной функции mkdtemp(). -Рекомендуется обновить пакеты arts.</p> - -<p>Другие выпуски Debian не содержат пакет arts.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-366.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-367.wml b/russian/lts/security/2015/dla-367.wml deleted file mode 100644 index 51c96fe7541..00000000000 --- a/russian/lts/security/2015/dla-367.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Сообщается, что kdelibs использует небезопасную функцию mktemp() -для создания временного каталога, используемого для размещения пользовательских сокетов. -Это позволяет другому пользователю похитить указанный временный каталог -и получить доступ к сокету, к которому этот пользователь доступа не имеет.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в kdelibs -версии 3.5.10.dfsg.1-5+deb6u1 путём использования более безопасной функции mkdtemp(). -Рекомендуется обновить пакеты kdelibs.</p> - -<p>Другие выпуски Debian содержат более новые версии библиотек (kdelibs4), которые -не подвержены данной проблеме.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-367.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-368.wml b/russian/lts/security/2015/dla-368.wml deleted file mode 100644 index e6349a994cb..00000000000 --- a/russian/lts/security/2015/dla-368.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Гектор Марко-Гисберт из команды кибербезопасности Политехнического университета -Валенсии сообщил о переполнении буфера в grub2, которое возникает при проверке пароля -во время загрузки системы.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в grub2 версии -1.98+20100804-14+squeeze2. Рекомендуется обновить пакеты -grub2.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-368.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-369.wml b/russian/lts/security/2015/dla-369.wml deleted file mode 100644 index 33bdf1000cf..00000000000 --- a/russian/lts/security/2015/dla-369.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что в pygments, пакете для подсветки синтаксиса, написанном на языке Python, -имеется уязвимость, приводящая к инъекции команд командной оболочки.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в pygments -версии 1.3.1+dfsg-1+deb6u11.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-369.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-370.wml b/russian/lts/security/2015/dla-370.wml deleted file mode 100644 index 14c4c00d210..00000000000 --- a/russian/lts/security/2015/dla-370.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что DNS-сервер BIND неправильно выполняет грамматический -разбор входящих сообщений, из-за чего BIND принимает некоторых записи с -некорректным классом вместо того, чтобы отклонить из как неправильные. -Это может приводить к ошибке утверждения REQUIRE в том случае, если такие записи -последовательно кешируются. Удалённый злоумышленник может использовать эту уязвимость для -вызова отказа в обслуживании на серверах, выполняющих рекурсивные запросы.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-370.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-371.wml b/russian/lts/security/2015/dla-371.wml deleted file mode 100644 index 4191f44252f..00000000000 --- a/russian/lts/security/2015/dla-371.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Адам Честер обнаружил, что в фильтрах foomatic-filters, которые используются в системах буферизации -печати для преобразования данных в формате PostScript в родной формат принтера, имеется -уязвимость, позволяющая выполнять инъекции. Эта уязвимость -может приводить к выполнению произвольных команд.</p> - -<p>Заплата, применённая в <a href="./dla-365">DLA 365-1</a>, предотвращает использование (неэкранированных) -обратных галочек, а данное обновление дополняет предыдущее обновление, делая то же самое для -точек с запятой.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в foomatic-filters -версии 4.0.5-6+squeeze2+deb6u12.</p> - -<p>(Выражаем благодарность Янну Супейранду, подготовившему обновлённый пакет для Debian)</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-371.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-372.wml b/russian/lts/security/2015/dla-372.wml deleted file mode 100644 index 08ddf814d04..00000000000 --- a/russian/lts/security/2015/dla-372.wml +++ /dev/null @@ -1,18 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Oracle прекратил поддержку версии 3.2 VirtualBox в прошлом июне. Кроме того, -они не раскрывают информацию об уязвимостях, обнаруженных -и исправленных в более свежих версиях, поэтому мы не можем -проверить, касается какая-то данная уязвимость версии 3.2 или нет, а также при -необходимости перенести исправление.</p> - -<p>Таким образом, мы более не поддерживаем virtualbox-ose в Debian 6 Squeeze. -Если вы используете этот пакет, то вам следует либо использовать обратные переносы более новых -версий (версия 4.1.42 доступна в squeeze-backports), либо -выполнить обновление до Debian 7 Wheezy (или более нового выпуска).</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-372.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-373.wml b/russian/lts/security/2015/dla-373.wml deleted file mode 100644 index 9a22e5b323f..00000000000 --- a/russian/lts/security/2015/dla-373.wml +++ /dev/null @@ -1,38 +0,0 @@ -#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В libxml2, библиотеке, предоставляющей поддержку чтения, изменения и записи -файлов XML и HTML, было обнаружено несколько уязвимостей. Удалённый злоумышленник -может передать специально сформированный файл XML или HTML, который при его обработке -приложением, использующим libxml2, приведёт к использованию чрезмерного количества ресурсов ЦП, -утечке чувствительной информации или аварийной остановке -приложения.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5312">CVE-2015-5312</a>: - - <p>Чрезмерное потребление ресурсов ЦП при обработке специально сформированных входных данных XML.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7497">CVE-2015-7497</a>: - - <p>Переполнение динамической памяти в xmlDictComputeFastQKey.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7498">CVE-2015-7498</a>: - - <p>Переполнение динамической памяти в xmlParseXmlDecl.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7499">CVE-2015-7499</a>: - - <p>Переполнение динамической памяти в xmlGROW.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7500">CVE-2015-7500</a>: - - <p>Переполнение динамической памяти в xmlParseMisc.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-373.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-374.wml b/russian/lts/security/2015/dla-374.wml deleted file mode 100644 index 3c0026dee2b..00000000000 --- a/russian/lts/security/2015/dla-374.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что в cacti, веб-интерфейсе для мониторинга систем и составления графиков, -имеется уязвимость, приводящая к SQL-инъекциям.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в cacti версии -0.8.7g-1+squeeze9+deb6u11.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-374.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-375.wml b/russian/lts/security/2015/dla-375.wml deleted file mode 100644 index 12751f41284..00000000000 --- a/russian/lts/security/2015/dla-375.wml +++ /dev/null @@ -1,28 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8472">CVE-2015-8472</a> - - <p>Обновление неполной заплаты для <a href="https://security-tracker.debian.org/tracker/CVE-2015-8126">CVE-2015-8126</a></p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8540">CVE-2015-8540</a> - - <p>Чтение за нижней границей в функции png_check_keyword в pngwutil.c</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3425">CVE-2012-3425</a> - - <p>Функция png_push_read_zTXt в pngpread.c в libpng 1.0.x - до версии 1.0.58, 1.2.x до версии 1.2.48, 1.4.x до версии 1.4.10 и - 1.5.x до версии 1.5.10 позволяет удалённым злоумышленникам вызывать отказ - в обслуживании (чтение за пределами выделенной области памяти) через большое значение поля - avail_in в изображении в формате PNG.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-375.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-376.wml b/russian/lts/security/2015/dla-376.wml deleted file mode 100644 index fcef5ac4b36..00000000000 --- a/russian/lts/security/2015/dla-376.wml +++ /dev/null @@ -1,15 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Код для грамматического разбора строк при преобразовании строк в вещественные числа двойной точности -из Mono может завершить работу при обработке специально сформированных входных данных. Теоретически это -может приводить к выполнению произвольного кода.</p> - -<p>Эта проблема была исправлена в Debian 6 Squeeze в версии -2.6.7-5.1+deb6u2 пакета mono. Рекомендуется обновить -пакеты mono.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-376.data" -# $Id$ diff --git a/russian/lts/security/2015/dla-91.wml b/russian/lts/security/2015/dla-91.wml deleted file mode 100644 index dcb97d3f4bd..00000000000 --- a/russian/lts/security/2015/dla-91.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Это обновление исправляет <q>NoSuchElementException</q>, когда XML-атрибут -в качестве значения имеет пустую строку.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2015/dla-91.data" -# $Id$ diff --git a/russian/lts/security/2015/index.wml b/russian/lts/security/2015/index.wml deleted file mode 100644 index 0fa23f9f7f1..00000000000 --- a/russian/lts/security/2015/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" -<define-tag pagetitle>Рекомендации по безопасности LTS за 2015 год</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list_security - -<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2015' ) :> - -<p>Вы можете получать последние анонсы о безопасности Debian, подписавшись на список рассылки -<a href="https://lists.debian.org/debian-lts-announce/">\ -<strong>debian-lts-announce</strong></a>. -Архив списка рассылки доступен <a href="https://lists.debian.org/debian-lts-announce/">\ -здесь</a>.</p> diff --git a/russian/lts/security/2016/Makefile b/russian/lts/security/2016/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/lts/security/2016/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/lts/security/2016/dla-374.wml b/russian/lts/security/2016/dla-374.wml deleted file mode 100644 index b986ac47720..00000000000 --- a/russian/lts/security/2016/dla-374.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что в заплате для исправления -<a href="https://security-tracker.debian.org/tracker/CVE-2015-8369">CVE-2015-8369</a> -в недавнем обновлении cacti 0.8.7g-1+squeeze9+deb6u12 имеется регресс.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в cacti версии -0.8.7g-1+squeeze9+deb6u13.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-374.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-375.wml b/russian/lts/security/2016/dla-375.wml deleted file mode 100644 index 02d215a6e6c..00000000000 --- a/russian/lts/security/2016/dla-375.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Пакет ia32-libs содержит 32-битные версии различных -библиотек, предназначенные для использования в 64-битных системах. Данное обновление содержит все исправления -безопасности для этих библиотек, выпущенные с момента предыдущего обновления ia32-libs в -Squeeze LTS.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-375.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-378.wml b/russian/lts/security/2016/dla-378.wml deleted file mode 100644 index cede0e3f577..00000000000 --- a/russian/lts/security/2016/dla-378.wml +++ /dev/null @@ -1,50 +0,0 @@ -#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет CVE, описанные ниже.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7550">CVE-2015-7550</a> - - <p>Дмитрий Вьюков обнаружил состояние гонки в подсистеме брелоков ключей, - позволяющее локальному пользователю вызывать отказ в обслуживании (аварийная остановка).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8543">CVE-2015-8543</a> - - <p>Было обнаружено, что локальный пользователь, способный создавать сырые сокеты, - может вызывать отказ в обслуживании путём указания некорректного номера протокола - для сокета. Злоумышленник должен обладать правами на - CAP_NET_RAW.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8575">CVE-2015-8575</a> - - <p>Дэвид Миллер обнаружил уязвимость в реализации сокетов Bluetooth SCO, - которая приводит к утечке информации локальным пользователям.</p></li> - -</ul> - -<p>Кроме того, данное обновление исправляет регресс в предыдущем обновлении:</p> - -<ul> - -<li>#808293 - - <p>Регресс в реализации UDP не позволяет freeradius и - некоторым другим приложениями получать данные.</p></li> - -</ul> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были -исправлены в версии 2.6.32-48squeeze18.</p> - -<p>В предыдущем стабильном выпуске (wheezy) эти проблемы были -исправлены в версии 3.2.73-2+deb7u2.</p> - -<p>В стабильном выпуске (jessie) эти проблемы были исправлены -в версии 3.16.7-ckt20-1+deb8u2 или более ранних.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-378.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-379.wml b/russian/lts/security/2016/dla-379.wml deleted file mode 100644 index 6a48de03f33..00000000000 --- a/russian/lts/security/2016/dla-379.wml +++ /dev/null @@ -1,37 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Samba, реализации SMB/CIFS, предоставляющей службы файлового сервера, сервера печати -и аутентификации, было обнаружено несколько уязвимостей.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5252">CVE-2015-5252</a> - - <p>Ян <q>Yenya</q> Каспржак и команда Computer Systems Unit из факультета - информатики Масарикова университета сообщили, что samba неправильно - выполняет проверку символьных ссылок, что позволяет при определённых условиях - получать доступ к ресурсам за пределами пути общего доступа.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5296">CVE-2015-5296</a> - - <p>Штефан Мецмахер из SerNet и команда Samba обнаружили, что samba - не выполняет проверку согласования подписей, когда клиент устанавливает - зашифрованное соединение с сервером samba.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5299">CVE-2015-5299</a> - - <p>В Samba отсутствует проверка управления доступом в модуле - VFS shadow_copy2, что может позволить неавторизованным пользователям - получать доступ к срезам.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в samba версии -2:3.5.6~dfsg-3squeeze13. Рекомендуется обновить пакеты -samba.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-379.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-380.wml b/russian/lts/security/2016/dla-380.wml deleted file mode 100644 index c0700c104f9..00000000000 --- a/russian/lts/security/2016/dla-380.wml +++ /dev/null @@ -1,25 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>Разработчик основной ветки разработки Карл Рунге обнаружил и исправил -проблему в libvncserver, которая касается потоковой безопасности в случае -использования libvncserver для обработки нескольких VNC-соединений [1].</p> - -<p>К сожалению, <a href="https://github.com/LibVNC/libvncserver/commit/804335f9d296440bb708ca844f5d89b58b50b0c6">это исправление</a> -не так-то легко адаптировать (из-за поломки ABI) для libvncserver версии 0.9.7, поставляемой в составе Debian -squeeze(-lts).</p> - -<p>Тем не менее, указанная заплата для потоковой безопасности также решает связанную проблему -с повреждением содержимого памяти, вызываемую освобождением глобальных переменных без их -очистки в другом <q>потоке</q>, что в особенности проявляется при -использовании libvncserver для обработки нескольких VNC-соединений.</p> - -<p>Описанная проблема была решена в этой версии libvncserver, -пользователям VNC рекомендуется выполнить обновление до указанной версии -пакета.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-380.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-381.wml b/russian/lts/security/2016/dla-381.wml deleted file mode 100644 index 85ea8c8e8a4..00000000000 --- a/russian/lts/security/2016/dla-381.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В ICU, наборе библиотек, предоставляющих Unicode и поддержку -интернационализации, была обнаружена уязвимость. Переполнения целых чисел в движке вёрстки ICU -могут приводить к раскрытию информации.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в icu версии -4.4.1-8+squeeze5. Рекомендуется обновить пакеты icu.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-381.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-382.wml b/russian/lts/security/2016/dla-382.wml deleted file mode 100644 index a77c78d8342..00000000000 --- a/russian/lts/security/2016/dla-382.wml +++ /dev/null @@ -1,29 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Если утилита sudo настроена таким образом, что пользователь может редактировать файлы в -каталоге, в котором этот пользователь уже имеет право на запись без sudo, то он -может выполнять редактирование (чтение и запись) произвольных файлов. Даниэль Свартман -сообщил, что подобные настройки могут быть и ненамеренными в том случае, если -редактируемые файлы указаны с помощью знаков подстановки, -например:</p> -<pre> - operator ALL=(root) sudoedit /home/*/*/test.txt -</pre> - -<p>Настройки sudo по умолчанию были изменены таким образом, что теперь -редактирование файла в каталоге, в который пользователь уже имеет право на запись, либо -файла, который может быть открыт через символьную ссылки в таком каталоге, -запрещено. Эти ограничения можно отключить, но это -крайне не рекомендуется.</p> - -<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была исправлена в -версии 1.7.4p4-2.squeeze.6.</p> - -<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках -эта проблема будет исправлена позже.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-382.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-383.wml b/russian/lts/security/2016/dla-383.wml deleted file mode 100644 index e58773ad3de..00000000000 --- a/russian/lts/security/2016/dla-383.wml +++ /dev/null @@ -1,33 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>"DrWhax" из проекта Tails сообщил, что в Claws Mail отсутствуют -проверки границ массивов в некоторых функциях преобразования текста. Удалённый злоумышленник -может использовать эту уязвимость для запуска произвольного кода от лица пользователя, -получившего с помощью Claws Mail сообщение злоумышленника.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8614">CVE-2015-8614</a> - - <p>Отсутствуют проверки длины вывода для преобразования между - JIS (ISO-2022-JP) и EUC-JP, между JIS и UTF-8, а также из - Shift_JIS в EUC-JP.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8708">CVE-2015-8708</a> - - <p>Оригинальное исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2015-8614">CVE-2015-8614</a> было неполным.</p></li> - -</ul> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были -исправлены в версии 3.7.6-4+squeeze2.</p> - -<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках -эта проблема будет исправлена позже. Эти версии собраны с -флагами для усиления безопасности, что делает указанную проблему сложнее в использовании злоумышленниками.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-383.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-384.wml b/russian/lts/security/2016/dla-384.wml deleted file mode 100644 index 8652a7a2923..00000000000 --- a/russian/lts/security/2016/dla-384.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что InspIRCd не выполняет проверку имён в ответах DNS -до момента их использования в межсерверной коммуникации. Удалённый -злоумышленник, управляющий обратным DNS-сервером для клиента IRC, может -использовать эту уязвимость для вызова отказа в обслуживании или повышения привилегий в -сети IRC.</p> - -<p>как кажется, InspIRCd совершенно не пригоден к использования, начиная с версии -1.1.22+dfsg-4+squeeze1, из-за ошибки в системе сборки, которая возникает при использовании -(e)glibc версии 2.9 и выше. Эта проблема также была исправлена.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-384.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-385.wml b/russian/lts/security/2016/dla-385.wml deleted file mode 100644 index e1567cb1ad7..00000000000 --- a/russian/lts/security/2016/dla-385.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что специально сформированный пакет может вызывать аварийную остановку любого -приложения isc-dhcp, включая DHCP-клиент, релей и -сервер. Подвержены этой проблеме только системы, использующие IPv4.</p> - -<p>Рекомендуется обновить пакет isc-dhcp до версии -4.1.1-P1-15+squeeze9 (Debian squeeze LTS).</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-385.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-386.wml b/russian/lts/security/2016/dla-386.wml deleted file mode 100644 index 61f00f87bc3..00000000000 --- a/russian/lts/security/2016/dla-386.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что в cacti, веб-интерфейсе для мониторинга систем с построением графиков, имеется -ещё одна уязвимость, приводящая к SQL-инъекции.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в cacti версии -0.8.7g-1+squeeze9+deb6u14.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-386.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-387.wml b/russian/lts/security/2016/dla-387.wml deleted file mode 100644 index e41d60a019a..00000000000 --- a/russian/lts/security/2016/dla-387.wml +++ /dev/null @@ -1,53 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Команда Qualys Security обнаружила две уязвимости в коде автоматической настройки -сети в клиенте OpenSSH (реализации набора протоколов -SSH).</p> - -<p>Автоматическая настройка сети SSH позволяет клиенту в случаях, когда SSH-соединение -прерывается неожиданно, восстанавливать его при условии того, что сервер тоже -поддерживает эту возможность.</p> - -<p>Сервер OpenSSH не поддерживает автоматическую настройку сети, а клиент OpenSSH -поддерживает эту возможность (даже несмотря на то, что она не описана в документации), в клиенте -она включена по умолчанию.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0777">CVE-2016-0777</a> - - <p>Утечка информации (раскрытие содержимого памяти) может использоваться SSH-сервером - злоумышленника для того, чтобы клиент передал чувствительные данные из - клиентской памяти, включая закрытые ключи.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0778">CVE-2016-0778</a> - - <p>Переполнение буфера (приводящее к утечке файловых дескрипторов) может - использоваться SSH-сервером злоумышленника, но из-за другой ошибки в коде - оно, вероятно, может использоваться только при определённых условиях (не - при настройках по умолчанию) при использовании ProxyCommand, ForwardAgent или - ForwardX11.</p></li> - -</ul> - -<p>Данное обновление безопасности полностью отключает код автоматической настройки сети в -клиенте OpenSSH.</p> - -<p>Кроме того, автоматическую настройку можно отключить, добавив (не описанную в документации) -опцию <q>UseRoaming no</q> в глобальный файл /etc/ssh/ssh_config, либо в -пользовательские настройки в ~/.ssh/config, либо передав -oUseRoaming=no -в командной строку.</p> - -<p>Пользователям, использующим закрытые ключи без паролей, особенно при неинтерактивной -настройке (автоматические задачи, использующие ssh, scp, rsync+ssh и т. д.), рекомендуется -обновить свои ключи в том случае, если они подключались к SSH-серверу, которому они -не доверяют.</p> - -<p>Дополнительную информацию об определении атак этого вида и средствах минимазации рисков можно найти -в рекомендации по безопасности Qualys.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-387.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-388.wml b/russian/lts/security/2016/dla-388.wml deleted file mode 100644 index ada63d97109..00000000000 --- a/russian/lts/security/2016/dla-388.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что в dwarfutils, инструменте для вывода дампа отладочной информации DWARF из ELF-объектов, -имеется разыменование NULL-указателя.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в dwarfutils версии -20100214-1+deb6u1.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-388.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-389.wml b/russian/lts/security/2016/dla-389.wml deleted file mode 100644 index c118c0e375e..00000000000 --- a/russian/lts/security/2016/dla-389.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что специально сформированный файл в формате GIF может приводить к аварийной -остановке утилиты giffix, являющейся частью пакета giflib-tools.</p> - -<p>Рекомендуется обновить пакет giflib-tools до версии -4.1.6-9+deb6u1 (Debian squeeze LTS).</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-389.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-390.wml b/russian/lts/security/2016/dla-390.wml deleted file mode 100644 index a68cb7c828f..00000000000 --- a/russian/lts/security/2016/dla-390.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что dbconfig-common может, в зависимости от локального -значения umask, создавать резервные копии базы данных PostgreSQL, доступные для чтения -пользователям, отличным от владельца базы данных. Эта проблема была исправлена в версии -1.8.46+squeeze.1. Права доступа к существующим резервным копиям базы данных (не только -для PostgreSQL) будут ограничены владельцем резервной копии во время -обновления dbconfig-common до этой версии. Будущие обновления не будут -менять права доступа в случае, если локальный администратор имеет какие-то специальные -требования.</p> - -<p>dbconfig-common — вспомогательный пакет Debian, используемый рядом -пакетов для управления соответствующей базой данных.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-390.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-391.wml b/russian/lts/security/2016/dla-391.wml deleted file mode 100644 index 44740c8c979..00000000000 --- a/russian/lts/security/2016/dla-391.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что в prosody, легковесном сервере Jabber/XMPP, -в модуле mod_dialback используется слабый PRNG.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в prosody версии -0.7.0-1squeeze1+deb6u1.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-391.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-392.wml b/russian/lts/security/2016/dla-392.wml deleted file mode 100644 index 5142cd1c8b1..00000000000 --- a/russian/lts/security/2016/dla-392.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Сотрудники High-Tech Bridge Security Research Lab обнаружили уязвимость, проявляющуюся в обходе -пути в популярном веб-клиенте электронной почты Roundcube. Уязвимость может использоваться -для получения доступа к чувствительной информации, а при некоторых условиях и для -выполнения произвольного кода и полной компрометации уязвимого -сервера.</p> - -<p>Указанная уязвимость имеет место из-за недостаточной очистки параметра HTTP POST <q>_skin</q> -в сценарии "/index.php" при выполнении изменения оформления -веб-приложения. Удалённый аутентифицированный злоумышленник может использовать последовательности -обхода пути (напр. "../../") для загрузки новой темы оформления из произвольного места в -системе, к которому веб-сервер имеет доступ с правами для чтения.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-392.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-393.wml b/russian/lts/security/2016/dla-393.wml deleted file mode 100644 index 77efe483c7a..00000000000 --- a/russian/lts/security/2016/dla-393.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление предотвращает потенциальную DoS-атаку, которая возможна из-за отсутствия проверки границ в счётчике CSRC -заголовка RTP и длины расширения заголовка. Благодарим Рэнделла Джесапа и команду Firefox -за обнаружение этой проблемы.</p> - -<p>(Поскольку в версии в Squeeze метод aead не доступен, следует исправить только srtp_unprotect())</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-393.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-394.wml b/russian/lts/security/2016/dla-394.wml deleted file mode 100644 index dd106f289c1..00000000000 --- a/russian/lts/security/2016/dla-394.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>agent/Core/Controller/SendRequest.cpp в Phusion Passenger до версии 4.0.60 и -в ветке 5.0.x до версии 5.0.22 при использовании в режиме интеграции с Apache или в самостоятельном режиме -без использования фильтрующего прокси позволяют удалённым злоумышленникам подделывать заголовки, передаваемые -приложениям с использованием символа _ (подчёркивание) вместо символа - (тире) -в заголовке HTTP, как это продемонстировано заголовком X_User.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-394.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-395.wml b/russian/lts/security/2016/dla-395.wml deleted file mode 100644 index 3c2ddd0b4c9..00000000000 --- a/russian/lts/security/2016/dla-395.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В LibRSVG, библиотеке для отрисовки графики в формате SVG, была обнаружена -уязвимость. Librsvg предположительно выполняет чтение за пределами выделенного буфера памяти при выполнении -грамматического разбора файлов SVG.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в librsvg версии -2.26.3-1+deb6u3. Рекомендуется обновить пакеты librsvg.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-395.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-396.wml b/russian/lts/security/2016/dla-396.wml deleted file mode 100644 index fb9c247d390..00000000000 --- a/russian/lts/security/2016/dla-396.wml +++ /dev/null @@ -1,11 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что определённые данные APL RR могут приводить к ошибке -INSIST в apl_42.c и вызывать завершение работы DNS-сервера BIND, что приводит -к отказу в обслуживании.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-396.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-397.wml b/russian/lts/security/2016/dla-397.wml deleted file mode 100644 index 248b9cfda69..00000000000 --- a/russian/lts/security/2016/dla-397.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Ян Хорн обнаружил, что вспомогательная утилита mount.ecryptfs_private, имеющая флаг -прав доступа, позволяющих запускать её от лица владельца, из пакета ecryptfs-utils может выполнять монтирование в любой целевой каталог, -принадлежащий пользователю, включая каталог в procfs. Локальный злоумышленник может использовать -эту уязвимость для повышения привилегий.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-397.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-398.wml b/russian/lts/security/2016/dla-398.wml deleted file mode 100644 index 922e5d5b468..00000000000 --- a/russian/lts/security/2016/dla-398.wml +++ /dev/null @@ -1,20 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1982">CVE-2016-1982</a> - <p>Предотвращает неправильное чтение в случае повреждённого закодированного в виде порций содержимого</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1983">CVE-2016-1983</a> - - <p>Удаляет пустые заголовки Host в клиентских запросах, которые приводят к - некорректному чтению.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-398.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-399.wml b/russian/lts/security/2016/dla-399.wml deleted file mode 100644 index 694149f63e5..00000000000 --- a/russian/lts/security/2016/dla-399.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>cups-filters содержит многочисленные переполнения буфера, которые возникают из-за отсутствия проверки -размера при выполнении копирования из переменных окружения к локальные буферы (strcpy), а также -при выполнении конкатенации строк (strcat).</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-399.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-400.wml b/russian/lts/security/2016/dla-400.wml deleted file mode 100644 index c8ab75f2f1b..00000000000 --- a/russian/lts/security/2016/dla-400.wml +++ /dev/null @@ -1,58 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет некоторые известные уязвимости в pound в выпуске squeeze-lts -путём обратного переноса версии из выпуска wheezy.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-3555">CVE-2009-3555</a> - - <p>Протокол TLS, протокол SSL 3.0 и возможно более ранних версий, используемые - в Microsoft Internet Information Services (IIS) 7.0, mod_ssl - в HTTP-сервере Apache 2.2.14 и более ранних версиях, OpenSSL до версии 0.9.8l, - GnuTLS 2.8.5 и более ранних версиях, Mozilla Network Security Services (NSS) - 3.12.4 и более ранних версиях, многочисленных продуктах Cisco, а также других продуктах, - неправильно ассоциируют рукопожатия повторных согласований для - существующих соединений, что позволяет злоумышленникам, выполняющим атаки по принципу - человек-в-середине, вставлять данные в сессии HTTPS, а, вероятно, и в другие - виды сессий, защищённых с помощью TLS или SSL, путём отправки неаутентифицированного - запроса, который обрабатывается сервером задним числом в - контексте, созданном после повторного согласования, что связано с атакой <q>инъекция - открытого текста</q>, известной также как проблема <q>Project Mogul</q>.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3389">CVE-2011-3389</a> - - <p>Протокол SSL, используемый при некоторых настройках в Microsoft - Windows и Microsoft Internet Explorer, Mozilla Firefox, Google - Chrome, Opera и других продуктах, шифрует данные, используя режим CBC - с сцепленными векторами инициализации, что позволяет злоумышленникам, выполняющим атаки - по принципу человек-в-середине, получать заголовки HTTP в виде открытого текста с помощью атаки - по блокам (BCBA) на сессию HTTPS вместе с - кодом на JavaScript, использующим (1) HTML5 WebSocket API, (2) Java - URLConnection API или (3) Silverlight WebClient API, что известно как - атака <q>BEAST</q>.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4929">CVE-2012-4929</a> - - <p>Протокол TLS 1.2 или более ранних версий, используемый в Mozilla Firefox, Google - Chrome, Qt и других продуктах, может зашифровывать сжатые данные без - предварительного изменения длины незашифрованных данных, что позволяет злоумышленникам, - выполняющим атаки по принципу человек-в-середине, получать заголовки HTTP в виде открытого - текста путём сравнения длин данных в ходе проверки серии предположений, в которых - строка в запросе HTTP потенциально совпадает с неизвестной строкой в - заголовке HTTP, что также известно как атака <q>CRIME</q>.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566">CVE-2014-3566</a> - - <p>Протокол SSL 3.0, используемый в OpenSSL в 1.0.1i и других - продуктах, использует недетерминированное добавление битов заполнителя, что упрощает - злоумышленникам, выполняющим атаки по принципу человек-в-середине, получать данные в виде открытого - текста с помощью атаки по предсказанию заполнения, что также известно как проблема <q>POODLE</q>.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-400.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-401.wml b/russian/lts/security/2016/dla-401.wml deleted file mode 100644 index 194d314c9a7..00000000000 --- a/russian/lts/security/2016/dla-401.wml +++ /dev/null @@ -1,24 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9762">CVE-2014-9762</a> - - <p>Загрузчик GIF: исправление segv при работе с изображениями, не имеющими палитры</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9763">CVE-2014-9763</a> - - <p>Предотвращение аварийных остановок из-за деления на ноль</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9764">CVE-2014-9764</a> - - <p>Исправление ошибки сегментирования при открытии <tt>input/queue/id:000007,src:000000,op:flip1,pos:51</tt> с помощью feh</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-401.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-402.wml b/russian/lts/security/2016/dla-402.wml deleted file mode 100644 index 28b71400d28..00000000000 --- a/russian/lts/security/2016/dla-402.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В libtiff, библиотеке, предоставляющей поддержку обработки изображений в формате -TIFF, были обнаружены и исправлены две уязвимости. Эти уязвимости касаются чтения за пределами -выделенного буфера памяти в интерфейсе TIFFRGBAImage при выполнении грамматического разбора неподдерживаемых значений, -связанных с LogLUV и CIELab. Оо <a href="https://security-tracker.debian.org/tracker/CVE-2015-8665">CVE-2015-8665</a> сообщил limingxing, а -о <a href="https://security-tracker.debian.org/tracker/CVE-2015-8683">CVE-2015-8683</a> сообщил zzf из Alibaba.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в tiff версии -3.9.4-5+squeeze13. Рекомендуется обновить пакеты tiff.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-402.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-403.wml b/russian/lts/security/2016/dla-403.wml deleted file mode 100644 index 7653d02a69a..00000000000 --- a/russian/lts/security/2016/dla-403.wml +++ /dev/null @@ -1,32 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В Unrud для Radicale, сервера календаря и адресных книг, было -обнаружено несколько проблем. Удалённый злоумышленник может использовать эти -уязвимости и вызывать произвольные функции путём отправки специально сформированных -HTTP-запросов.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8748">CVE-2015-8748</a> - - <p>Предотвращение инъекции регулярного выражения в системе управления правами. - Предотвращение вызова произвольных функций с помощью HTTP-запроса.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8747">CVE-2015-8747</a> - - <p>Движок с поддержкой множества файловых систем позволяет получать доступ к произвольным файлам - на всех платформах. (Squeeze не подвержен этой проблеме, так как - указанный движок в этой версии отсутствует.)</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии -0.3-2+deb6u1.</p> - -<p>Рекомендуется обновить пакеты radicale.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-403.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-404.wml b/russian/lts/security/2016/dla-404.wml deleted file mode 100644 index 3193f3b53ec..00000000000 --- a/russian/lts/security/2016/dla-404.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено некорректное разыменование указателя в nginx, -небольшом мощном масштабируемом веб/прокси сервере. Некорректное разыменование -указателя может происходить во время обработки ответа DNS-сервера, что позволяет -злоумышленнику, способному подделать UDP-пакеты от DNS-сервере вызывать -аварийную остановку рабочего процесса</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в nginx версии -0.7.67-3+squeeze4+deb6u1.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-404.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-405.wml b/russian/lts/security/2016/dla-405.wml deleted file mode 100644 index c10016a8e58..00000000000 --- a/russian/lts/security/2016/dla-405.wml +++ /dev/null @@ -1,18 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В libtiff, библиотеке, предоставляющей поддержку обработки формата изображений -TIFF, было обнаружено и исправлено несколько уязвимостей. Эти уязвимости касаются чтения и записи за пределами -выделенного буфера памяти в функциях LogL16Decode, LogLuvDecode24, LogLuvDecode32, LogLuvDecodeTile, -LogL16Encode, LogLuvEncode24, LogLuvEncode32 и NeXTDecode.</p> - -<p>Этим проблемам были назначены следующие идентификаторы: <a href="https://security-tracker.debian.org/tracker/CVE-2015-8781">CVE-2015-8781</a>, -<a href="https://security-tracker.debian.org/tracker/CVE-2015-8782">CVE-2015-8782</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-8783">CVE-2015-8783</a> и <a href="https://security-tracker.debian.org/tracker/CVE-2015-8784">CVE-2015-8784</a>.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в tiff версии -3.9.4-5+squeeze14. Рекомендуется обновить пакеты tiff.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-405.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-406.wml b/russian/lts/security/2016/dla-406.wml deleted file mode 100644 index 319044a0d21..00000000000 --- a/russian/lts/security/2016/dla-406.wml +++ /dev/null @@ -1,26 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В коде CSRF-аутентификации phpMyAdmin было обнаружено несколько -уязвимостей.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2039">CVE-2016-2039</a> - - <p>Токен XSRF/CSRF создаётся при помощи слабого алгоритма, используя - функции, которые не возвращают криптографически безопасных значений.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2041">CVE-2016-2041</a> - - <p>Сравнение параметра токена XSRF/CSRF со значением, сохранённым в - сессии, уязвимо к атакам по таймингу. Более того, сравнение - можно обойти в случае, если токен XSRF/CSRF совпадает с - определённым шаблоном.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-406.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-407.wml b/russian/lts/security/2016/dla-407.wml deleted file mode 100644 index e7944c58b5e..00000000000 --- a/russian/lts/security/2016/dla-407.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Уязвимость позволяет серверу злоумышленника подделать уязвимый домен -для любого домена XMPP при условии, что это доменное имя в качестве суффикса содержит доменное имя -сервера злоумышленника.</p> - -<p>Например, <q>bber.example</q> сможет подключиться к <q>jabber.example</q> -и сможет успешно выдать себя за любой уязвимый сервер этой сети.</p> - -<p>Этот выпуск также содержит исправление регресса, введённое в предыдущем исправлении -<a href="https://security-tracker.debian.org/tracker/CVE-2016-1232">CVE-2016-1232</a>: s2s не работает в случае, если /dev/urandom открыт только для чтения.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-407.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-408.wml b/russian/lts/security/2016/dla-408.wml deleted file mode 100644 index cddf2f8e962..00000000000 --- a/russian/lts/security/2016/dla-408.wml +++ /dev/null @@ -1,24 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>GOsa представляет собой комбинацию веб-интерфейса системного администратора и конечного пользователя, -которая разработана для обслуживания систем на основе LDAP.</p> - -<p>Разработчики основной ветки GOsa сообщили о возможности инъекции кода в коде дополнения Samba -для GOsa. Во время изменения пароля в Samba можно -ввести код на языке Perl.</p> - -<p>Данное обновление Debian Squeeze LTS исправляет эту проблему. Тем не менее, если вы -выполнили обновление до этой редакции пакета, обратите внимание на то, что возможность изменения -пароля Samba перестанет работать до тех пор, пока параметр sambaHashHook в gosa.conf -не будет обновлён так, чтобы от PHP-кода GOsa можно было принимать закодированные в base64 -парольные строки.</p> - -<p>После обновления пакета обратитесь к /usr/share/doc/gosa/NEWS.gz и странице -руководства gosa.conf (5), а также измените gosa.conf соответствующим -образом.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-408.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-409.wml b/russian/lts/security/2016/dla-409.wml deleted file mode 100644 index e269daddbfc..00000000000 --- a/russian/lts/security/2016/dla-409.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В сервере баз данных MySQL было обнаружено несколько уязвимостей. Эти -проблемы были решены путём обновления пакета до наиболее свежего выпуска из -основной ветки разработки MySQL, 5.5.47. За подробностями обращайтесь к информации о выпуске MySQL 5.5 -и рекомендации Oracle's Critical Patch Update:</p> - -<ul> - <li><a href="http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-47.html">http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-47.html</a></li> - <li><a href="http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html">http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html</a></li> -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в mysql-5.5 -версии 5.5.47-0+deb6u1. Рекомендуется обновить пакеты -mysql-5.5.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-409.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-410.wml b/russian/lts/security/2016/dla-410.wml deleted file mode 100644 index 2e37f9a88d4..00000000000 --- a/russian/lts/security/2016/dla-410.wml +++ /dev/null @@ -1,87 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>В OpenJDK, реализации платформы Oracle Java, было обнаружено несколько -уязвимостей, которые приводят к выходу за пределы -песочницы Java, раскрытию информации, отказам в обслуживании и небезопасному -шифрованию.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7575">CVE-2015-7575</a> - - <p>Была обнаружена уязвимость в способе использования TLS 1.2 хеш-функции MD5 - для подписывания пакетов ServerKeyExchange и Client - Authentication во время рукопожатия TLS.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8126">CVE-2015-8126</a> - - <p>Многочисленные переполнения буфера в функциях (1) png_set_PLTE и (2) - png_get_PLTE в libpng до версии 1.0.64, 1.1.x до версии 1.2.x - до версии 1.2.54, 1.3.x и 1.4.x до версии 1.4.17, 1.5.x до версии - 1.5.24 и 1.6.x до версии 1.6.19 позволяют удалённым злоумышленникам вызывать - отказ в обслуживании (аварийная остановка приложения), либо могут как-то по-другому - влиять на безопасность. Переполнения буфера вызываются при помощи небольшого значения глубины цвета в части IHDR - (известной как заголовок изображения) в изображении PNG.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8472">CVE-2015-8472</a> - - <p>Переполнение буфера в функции png_set_PLTE в libpng до версии - 1.0.65, 1.1.x и 1.2.x до версии 1.2.55, 1.3.x, 1.4.x до версии - 1.4.18, 1.5.x до версии 1.5.25 и 1.6.x до версии 1.6.20 позволяет - удалённым злоумышленникам вызывать отказ в обслуживании (аварийная остановка - приложения), либо могут как-то по-другому влиять на безопасность. Переполнение буфера вызывается при помощи - небольшого значения глубины цвета в части IHDR (известной как заголовок изображения) в изображении - PNG. ВНИМАНИЕ: эта уязвимость имеет место из-за неполного - исправления <a href="https://security-tracker.debian.org/tracker/CVE-2015-8126">CVE-2015-8126</a>.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0402">CVE-2016-0402</a> - - <p>Неуказанная уязвимость в компонентах Java SE и Java SE Embedded - в Oracle Java SE 6u105, 7u91 и 8u66, а также в Java SE - Embedded 8u65 позволяет удалённым злоумышленникам влиять на целостность данных при помощи - неизвестных векторов, связанных с поддержкой работы сети.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0448">CVE-2016-0448</a> - - <p>Неуказанная уязвимость в компонентах Java SE и Java SE Embedded - в Oracle Java SE 6u105, 7u91 и 8u66, а также в Java SE - Embedded 8u65 позволяет удалённым аутентифицированным пользователям влиять на - конфиденциальность при помощи векторов, связанных с JMX.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0466">CVE-2016-0466</a> - - <p>Было обнаружено, что компонент JAXP в OpenJDK неправильно - следит за соблюдением ограничения totalEntitySizeLimit. Злоумышленник, - способный заставить Java-приложение обрабатывать специально сформированный файл - XML, может использовать эту уязвимость для того, чтобы это приложение - использовало чрезмерный объём памяти.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0483">CVE-2016-0483</a> - - <p>Неуказанная уязвимость в компонентах Java SE, Java SE Embedded и - JRockit в Oracle Java SE 6u105, 7u91 и 8u66, а также - Java SE Embedded 8u65 и JRockit R28.3.8 позволяет удалённым - злоумышленникам влиять на конфиденциальность, целостность данных и - доступность с помощью векторов, связанных с AWT.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0494">CVE-2016-0494</a> - - <p>Неуказанная уязвимость в компонентах Java SE и Java SE Embedded - в Oracle Java SE 6u105, 7u91 и 8u66, а также Java SE - Embedded 8u65 позволяет удалённым злоумышленникам влиять - на конфиденциальность, целостность данных и доступность с помощью - неизвестных векторов, связанных с 2D.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии -6b38-1.13.10-1~deb6u1.</p> - -<p>Рекомендуется обновить пакеты openjdk-6.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-410.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-411.wml b/russian/lts/security/2016/dla-411.wml deleted file mode 100644 index 5b82cfb4d9b..00000000000 --- a/russian/lts/security/2016/dla-411.wml +++ /dev/null @@ -1,40 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В eglibc, библиотеке GNU C для Debian, было обнаружено несколько -уязвимостей:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9761">CVE-2014-9761</a> - - <p>Функция nan* из math неправильно обрабатывает информационные строки, что приводит - к выделению неограниченного стека на основе длины - аргументов. Для решения этой проблемы грамматический разбор полезных данных был выделен - из strtod в отдельные функции, которые nan* может вызывать напрямую.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8776">CVE-2015-8776</a> - - <p>Функция strftime() позволяет получать доступ к неправильной области памяти, - что позволяет вызывать ошибку сегментирования в вызывающем эту функцию приложении.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8778">CVE-2015-8778</a> - - <p>Функция hcreate() возможно содержит переполнение целых чисел, которое может приводить - к обращению к областям динамической памяти за пределами выделенного буфера.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8779">CVE-2015-8779</a> - - <p>Функция catopen() содержит многочисленные выделения неограниченного - стека.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в eglibc версии -eglibc_2.11.3-4+deb6u9. Рекомендуется обновить пакеты -eglibc.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-411.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-412.wml b/russian/lts/security/2016/dla-412.wml deleted file mode 100644 index a98bd0798ab..00000000000 --- a/russian/lts/security/2016/dla-412.wml +++ /dev/null @@ -1,54 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет описанные ниже CVE.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7566">CVE-2015-7566</a> - - <p>Ральф Шпеннеберг из OpenSource Security сообщил, что драйвер visor - аварийно завершает свою работу при обнаружении специально сформированного устройства USB, не - имеющего конечной точки передачи массива данных.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8767">CVE-2015-8767</a> - - <p>Был обнаружен отказ в обслуживании SCTP, который может быть вызван - локальным злоумышленником во время события таймаута для периодического контрольного сообщения после - 4-стороннего рукопожатия.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8785">CVE-2015-8785</a> - - <p>Было обнаружено, что локальные пользователи, имеющие права на запись в файл в - файловой системе FUSE, могут вызывать отказ в обслуживании (цикл в ядре, который - невозможно принудительно завершить).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0723">CVE-2016-0723</a> - - <p>В TIOCGETD ioctl было обнаружено использование указателей после освобождения памяти. - Локальный злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2069">CVE-2016-2069</a> - - <p>Энди Лутомирски обнаружил состояние гонки в коде для сбрасывания TLB на диск - при переключении задач. В системе с SMP это может приводить к - аварийным остановкам, утечкам информации или повышению привилегий.</p></li> - -</ul> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были -исправлены в версии 2.6.32-48squeeze19. Кроме того, данная версия -включает в себя стабильное обновление из основной ветки разработки, 2.6.32.70. Это последнее обновление -пакета linux-2.6 для squeeze.</p> - -<p>В предыдущем стабильном выпуске (wheezy) эти проблемы будут исправлены -позже.</p> - -<p>В стабильном выпуске (jessie) <a href="https://security-tracker.debian.org/tracker/CVE-2015-7566">CVE-2015-7566</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-8767">CVE-2015-8767</a> и -<a href="https://security-tracker.debian.org/tracker/CVE-2016-0723">CVE-2016-0723</a> были исправлены в linux версии 3.16.7-ckt20-1+deb8u3, а -остальные проблемы будут исправлены позже.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-412.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-413.wml b/russian/lts/security/2016/dla-413.wml deleted file mode 100644 index 288b7c5d4ea..00000000000 --- a/russian/lts/security/2016/dla-413.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Подверженные данной уязвимости версии gajim позволяют удалённым злоумышленникам изменять список контактов -и перехватывать сообщения при помощи специально сформированной проталкивающей IQ-строки списка контактов.</p> - -<p>Эта проблема была исправлена в squeeze-lts в версии 0.13.4-3+squeeze4.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-413.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-414.wml b/russian/lts/security/2016/dla-414.wml deleted file mode 100644 index 6a2d877660f..00000000000 --- a/russian/lts/security/2016/dla-414.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>chrony до версии 1.31.2 и ветка 2.x до версии 2.2.1 не выполняют ассоциацию -симметричных ключей одноранговых узлов при аутентификации пакетов, что может -позволить удалённым злоумышленникам выполнять подмены ключей с помощью произвольного -доверенного ключа, известного также как <q>ключ от всех дверей</q>.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-414.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-415.wml b/russian/lts/security/2016/dla-415.wml deleted file mode 100644 index de7cb42ea1f..00000000000 --- a/russian/lts/security/2016/dla-415.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В коде для выполнения грамматического разбора файлов cpio была обнаружена запись за пределами -выделенного буфера памяти. В Debian 6 <q>Squeeze</q> данная проблема была исправлена в cpio версии -2.11-4+deb6u2.</p> - -<p>Рекомендуется обновить пакет cpio.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-415.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-416.wml b/russian/lts/security/2016/dla-416.wml deleted file mode 100644 index f438656b53b..00000000000 --- a/russian/lts/security/2016/dla-416.wml +++ /dev/null @@ -1,43 +0,0 @@ -#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В eglibc, библиотеке GNU C для Debian, было обнаружено несколько -уязвимостей:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7547">CVE-2015-7547</a> - - <p>Команда безопасности Google и сотрудники Red Hat обнаружили, что функция - разрешения имён узлов в glibc, getaddrinfo, при обработке запросов - AF_UNSPEC (для двойного поиска A/AAAA) может неправильно управлять - внутренними буферами, что приводит к переполнению буфера и - выполнению произвольного кода. Эта уязвимость касается большинства - приложений, которые выполняют разрешение имён узлов с помощью getaddrinfo, - включая системные службы.</p></li> - -<li>У следующей исправленной уязвимости в настоящее время отсутствует идентификатор CVE - - <p>Андреас Шваб сообщил об утечке памяти (выделение буфера памяти без - соответствующего освобождения) при обработке определённых ответов DNS в - getaddrinfo, связанное с функцией _nss_dns_gethostbyname4_r. - Эта уязвимость может приводить к отказу в обслуживании.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в eglibc версии -eglibc_2.11.3-4+deb6u11. Кроме того, эта версия корректирует исправление для -<a href="https://security-tracker.debian.org/tracker/CVE-2014-9761">CVE-2014-9761</a> -в Squeeze, которое ошибочно отмечало несколько символов в качестве -открытых, а не закрытых.</p> - -<p>Хотя требуется только убедиться, что все процессы более не используют -старую версию eglibc, рекомендуется перезапустить машины после -применения данного обновление безопасности.</p> - -<p>Рекомендуется обновить пакеты eglibc.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-416.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-417.wml b/russian/lts/security/2016/dla-417.wml deleted file mode 100644 index 72e8f44c026..00000000000 --- a/russian/lts/security/2016/dla-417.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что в xdelta3, diff-утилите, работающей с двоичными файлами, имеется -переполнение буфера. Эта уязвимость позволяет -выполнять произвольный код из файлов, передаваемых на вход программы.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в xdelta3 версии -0y.dfsg-1+deb6u1.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-417.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-418.wml b/russian/lts/security/2016/dla-418.wml deleted file mode 100644 index bb68a9119a1..00000000000 --- a/russian/lts/security/2016/dla-418.wml +++ /dev/null @@ -1,33 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>WordPress версий 4.4.1 и более ранних подвержен двум проблемам -безопасности: возможной подделке сторонних запросов для некоторых -локальных URI, о чём сообщим Ронни Скансинг; и атаке на открытое -перенаправления, о чём сообщил Шаилеш Сутар.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2221">CVE-2016-2221</a> - - <p>Wordpress может быть уязвим для атак на открытое перенаправление, - что было исправлено путём улучшения проверки используемого в HTTP-перенаправлениях - URL.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2222">CVE-2016-2222</a> - - <p>Было обнаружено, что Wordpress может содержать уязвимость, заключающуюся в - подделке сторонних запросов, поскольку адрес вида - 0.1.2.3 считается корректным IP адресом.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии -3.6.1+dfsg-1~deb6u9.</p> - -<p>Рекомендуется обновить пакеты wordpress.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-418.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-419.wml b/russian/lts/security/2016/dla-419.wml deleted file mode 100644 index 509bc0a8a02..00000000000 --- a/russian/lts/security/2016/dla-419.wml +++ /dev/null @@ -1,14 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Gtk+2.0, библиотека графического пользовательского интерфейса, предположительно содержит -переполнение целых чисел в функции gdk_cairo_set_source_pixbuf при выделении -большого блока памяти.</p> - -<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в gtk+2.0 версии -2.20.1-2+deb6u1. Рекомендуется обновить пакеты gtk+2.0.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-419.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-420.wml b/russian/lts/security/2016/dla-420.wml deleted file mode 100644 index 6a2ba76b0c9..00000000000 --- a/russian/lts/security/2016/dla-420.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Была обнаружена ошибка с неправильным адресом памяти -в libmatroska, расширяемом открытом стандартном формате аудио/видео -контейнеров.</p> - -<p>При выполнении чтения группы блоков или блока, использующего -EBML-связывание размеров фреймов, указанных в связывании, не проверяются -на предмет доступного числа байтов. Если указанный размер фрейма -больше, чем размер целого блока, то код, выполняющий грамматический разбор, будет выполнять -чтение за пределами выделенного буфера, что приводит к утечке информации -из динамической памяти.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в libmatroska -версии 0.8.1-1.1+deb6u1.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-420.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-421.wml b/russian/lts/security/2016/dla-421.wml deleted file mode 100644 index e22605ccdcf..00000000000 --- a/russian/lts/security/2016/dla-421.wml +++ /dev/null @@ -1,27 +0,0 @@ -#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3197">CVE-2015-3197</a> - -<p>Клиент-злоумышленник может согласовать использование шифра SSLv2, которые отключены -на сервере, и завершить рукопожатие SSLv2 даже в том случае, если все шифры SSLv2 -отключены, учитывая, что протокол SSLv2 не отключен с помощью опции -SSL_OP_NO_SSLv2.</p></li> - -</ul> - -<p>Кроме того, при использовании набора шифров DHE для каждого соединения -всегда создаётся новый DH-ключ.</p> - -<p>Данное обновление является последним обновлением для версии пакета в squeeze. -Версия 0.9.8 более не поддерживается, долгосрочная поддержка squeeze вскоре -закончится. Если вы используете openssl, то вам следует выполнить обновление до wheezy или -jessie. Версия пакета в указанных выпусках содержит множество улучшений безопасности.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-421.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-422.wml b/russian/lts/security/2016/dla-422.wml deleted file mode 100644 index dba9ef12a95..00000000000 --- a/russian/lts/security/2016/dla-422.wml +++ /dev/null @@ -1,28 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>В python-imaging, библиотеке языка Python для загрузки и работы с -файлами изображений, было обнаружено два переполнения буфера, которые могут приводить -к выполнению произвольного кода.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0775">CVE-2016-0775</a> - - <p>Переполнение буфера в FliDecode.c</p></li> - -</ul> - -<p>Второе переполнение буфера было в файле PcdDecode.c. Ему пока не был присвоен -идентификатор CVE.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии -1.1.7-2+deb6u2.</p> - -<p>Рекомендуется обновить пакеты python-imaging.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-422.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-423.wml b/russian/lts/security/2016/dla-423.wml deleted file mode 100644 index ca48f956205..00000000000 --- a/russian/lts/security/2016/dla-423.wml +++ /dev/null @@ -1,26 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8629">CVE-2015-8629</a> - - <p>Было обнаружено, что аутентифицированный злоумышленник путём отправки строки, не содержащей - завершающий нулевой байт, может вызвать ситуацию, при которой kadmind выполняет чтение за - пределами выделенного буфера памяти. Злоумышленник с правом на изменение базы - данных может вызвать утечку информации.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8631">CVE-2015-8631</a> - - <p>Было обнаружено, что аутентифицированный злоумышленник путём передачи пустого - главного имени в запросе, использующем такое имя, может вызвать утечку памяти - в kadmind. Повторные отправки такого запроса приведут к тому, что kadmind - использует всю доступную память.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-423.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-424.wml b/russian/lts/security/2016/dla-424.wml deleted file mode 100644 index 8e0867d9c4c..00000000000 --- a/russian/lts/security/2016/dla-424.wml +++ /dev/null @@ -1,11 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Александр Измайлов обнаружил, что didiwiki, реализация wiki, -неправильно выполняет проверку передаваемых пользователем данных, что позволяет -злоумышленнику получать доступ к любой части файловой системы.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-424.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-425.wml b/russian/lts/security/2016/dla-425.wml deleted file mode 100644 index 817ed1d74eb..00000000000 --- a/russian/lts/security/2016/dla-425.wml +++ /dev/null @@ -1,20 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Арис Адамантиадис из команды libssh обнаружил, что libssh, реализация -протокола SSH2, используемая множеством приложений, создаёт закрытые -ключи по алгоритму Диффи-Хеллмана недостаточной длины.</p> - -<p>Данная уязвимость может использоваться перехватчиком для расшифровки -и перехвата сессий SSH.</p> - -<p>В предыдущем старим стабильном выпуске (squeeze) эта проблема была исправлена в -версии 0.4.5-3+squeeze3.</p> - -<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках эта -проблема будет исправлена позже.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-425.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-426.wml b/russian/lts/security/2016/dla-426.wml deleted file mode 100644 index 28b764c2430..00000000000 --- a/russian/lts/security/2016/dla-426.wml +++ /dev/null @@ -1,22 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Андреас Шнайдер сообщил, что libssh2, реализация протокола SSH2, -используемая многими приложениями, создаёт недостаточной длинные -закрытые ключи по алгоритму Диффи-Хеллмана.</p> - -<p>Эта уязвимость может использоваться перехватчиком для расшифровки -и перехвата сессий SSH.</p> - -<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была исправлена в -версии 1.2.6-1+deb6u2. Хотя журнал изменений ссылается на <q>sha256</q>, -данная версия поддерживает только обмен ключами по DH SHA-1, исправлен именно этот -метод обмена ключами.</p> - -<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках эта -проблема будет исправлена позже.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-426.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-427.wml b/russian/lts/security/2016/dla-427.wml deleted file mode 100644 index a02e80ef3e3..00000000000 --- a/russian/lts/security/2016/dla-427.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Функция s_mp_div в Mozilla Network Security Services (NSS) до версии -3.21 неправильно выполняет деление чисел, что может облегчить удалённым злоумышленникам -обход механизмов криптографической защиты путём использования -функции (1) mp_div или (2) mp_exptmod.</p> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены -в версии 3.12.8-1+squeeze14.</p> - -<p>Рекомендуется обновить пакеты nss.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-427.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-428.wml b/russian/lts/security/2016/dla-428.wml deleted file mode 100644 index a59777c38c0..00000000000 --- a/russian/lts/security/2016/dla-428.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что в websvn, программе для просмотра репозиториев Subversion в -веб-браузере, имеется проблема, приводящая к межсайтовому скриптингу.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в websvn версии -2.3.1-1+deb6u2.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-428.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-429.wml b/russian/lts/security/2016/dla-429.wml deleted file mode 100644 index 81ed442367c..00000000000 --- a/russian/lts/security/2016/dla-429.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что в pixman, библиотеке работы с пикселями для X и cairo, -имеется переполнение буфера.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в pixman версии -0.16.4-1+deb6u2.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-429.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-430.wml b/russian/lts/security/2016/dla-430.wml deleted file mode 100644 index ec3661039fc..00000000000 --- a/russian/lts/security/2016/dla-430.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что в libfcgi, библиотеке, реализующей протокол FastCGI, имеется -вызываемый удалённо отказ в обслуживании.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в libfcgi версии -2.4.0-8+deb6u1.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-430.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-431.wml b/russian/lts/security/2016/dla-431.wml deleted file mode 100644 index 28f5c35429d..00000000000 --- a/russian/lts/security/2016/dla-431.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Было обнаружено, что в libfcgi-perl, вспомогательной библиотеке для реализации -протоколе FastCGI в веб-сервере для Perl, содержит проблему, которая позволяет удалённо вызывать отказ в обслуживании.</p> - -<p>В Debian 6 Squeeze эта проблема была исправлена в libfcgi-perl версии -0.71-1+squeeze1+deb6u1.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-431.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-432.wml b/russian/lts/security/2016/dla-432.wml deleted file mode 100644 index 9db08bcb66e..00000000000 --- a/russian/lts/security/2016/dla-432.wml +++ /dev/null @@ -1,47 +0,0 @@ -#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В PostgreSQL, серверной системе реляционных баз данных, было обнаружено -несколько уязвимостей. Ветка 8.4 в основной ветке разработки более не поддерживается, но она всё ещё имеется в Debian squeeze. -Новый малый номер версии LTS содержит исправления, добавленные в основной ветке разработки в -версию 9.1.20, которые были перенесены в версию 8.4.22, которая, в свою очередь, является последней версией, официально -выпущенной разработчиками PostgreSQL. Эта работа команды LTS для squeeze-lts -является проектом сообщества и спонсируется credativ GmbH.</p> - -<p>Данный выпуск является последним обновлением LTS для PostgreSQL 8.4. Пользователям -следует перейти на более новую версию PostgreSQL как можно скорее.</p> - -<h3>Переход на версию 8.4.22lts6</h3> - -<p>Для запуска 8.4.X не требуется делать дамп/восстановление. Тем не менее, если вы -выполняете обновление с версии, выпущенной до версии 8.4.22, то обратитесь к соответствующей информации о выпуске.</p> - -<h3>Исправления</h3> - -<ul> - -<li>Исправление бесконечных циклов и проблем с переполнением буфера в регулярных выражениях -(Том Лэйн) - - <p>Слишком длинные интервалы символов в скобках могут приводить в некоторых случаях к - бесконечным циклам, а в других случаях к перезаписям памяти. - (<a href="https://security-tracker.debian.org/tracker/CVE-2016-0773">CVE-2016-0773</a>)</p></li> - -<li>Выполнение внезапного отключения при удалении файла postmaster.pid -(Том Лэйн) - - <p>Теперь postmaster каждую минуту выполняет проверку того, что файл postmaster.pid - всё ещё имеется и содержит соответствующий PID. Если же нет, то он выполняет - внезапное отключение, как будто бы он получил сигнал SIGQUIT. Основная - мотивация этого изменения состоит в том, что необходимо проверять, чтобы выполнялась очистка - неудачных запусков сборочной фермы без какого-либо ручного вмешательства; но это также служит - и для ограничения нежелательных эффектов в том случае, если DBA принудительно удаляет postmaster.pid - и затем запускает новый postmaster.</p></li> - -</ul> - -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-432.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-433.wml b/russian/lts/security/2016/dla-433.wml deleted file mode 100644 index 751bdef3bd7..00000000000 --- a/russian/lts/security/2016/dla-433.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Густаво Грико обнаружил, что xerces-c, библиотека грамматического разбора и проверки XML для -C++, неправильно обрабатывает некоторые виды некорректно оформленных входных документов, -что приводит к переполнениям буфера во время обработки и вывода сообщений об ошибках. -Эти уязвимости могут приводить к отказу в обслуживании в приложениях, использующих -библиотеку xerces-c, или к выполнению произвольного кода.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-433.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-434.wml b/russian/lts/security/2016/dla-434.wml deleted file mode 100644 index 4ec762157f2..00000000000 --- a/russian/lts/security/2016/dla-434.wml +++ /dev/null @@ -1,34 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Густаво Грико ещё обнаружил проблемы безопасности в gdk-pixbuf -из Gtk+2.0.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4491">CVE-2015-4491</a> - - <p>Переполнение динамической памяти при обработке изображений в формате BMP, которое может позволить выполнить - произвольный код с помощью специально сформированных изображений.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7673">CVE-2015-7673</a> - - <p>Переполнение динамической памяти при обработке изображений в формате TGA, которое может позволить выполнить - произвольный код или вызвать отказ в обслуживании (аварийная остановка процесса) с помощью специально - сформированного изображения.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7674">CVE-2015-7674</a> - - <p>Переполнение целых чисел при обработке изображений в формате GIF, которое может позволить - выполнить произвольный код или вызвать отказ в обслуживании (аварийная остановка процесса) с помощью - специально сформированного изображения.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в gtk+2.0 версии -2.20.1-2+deb6u2. Рекомендуется обновить пакеты gtk+2.0.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-434.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-435.wml b/russian/lts/security/2016/dla-435.wml deleted file mode 100644 index 91cb735f09e..00000000000 --- a/russian/lts/security/2016/dla-435.wml +++ /dev/null @@ -1,74 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Tomcat 6, реализация спецификаций Java Servlet и JavaServer -Pages (JSP), а также чистое Java-окружение для веб-сервера, -содержит многочисленные проблемы безопасности в версиях до 6.0.45.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5174">CVE-2015-5174</a> - - <p>Обход каталога в RequestUtil.java в Apache - Tomcat 6.x до версии 6.0.45, 7.x до версии 7.0.65 и 8.x до версии 8.0.27 - позволяет удалённым аутентифицированным пользователям обходить специальные ограничения - SecurityManager и узнать содержимое родительского каталога с помощью /.. (косая черта и две точки) - в имени пути, используемом веб-приложением в вызовах getResource, - getResourceAsStream или getResourcePaths, что продемонстрировано - каталогом $CATALINA_BASE/webapps.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5345">CVE-2015-5345</a> - - <p>Компонент Mapper в Apache Tomcat 6.x до версии 6.0.45, 7.x до версии - 7.0.67, 8.x до версии 8.0.30 и 9.x до версии 9.0.0.M2 обрабатывает - перенаправления до рассмотрения к ограничениям безопасности и фильтрам, что позволяет - удалённым злоумышленникам определять существование каталога - с помощью URL, в конце которого отсутвует символ / (косая черта).</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5351">CVE-2015-5351</a> - - <p>Приложения Manager и Host Manager в Apache Tomcat устанавливают - сессии и отправляют токены CSRF в ответ на произвольные новые запросы, - что позволяет удалённым злоумышленникам обходить механизм защиты CSRF, - используя токены.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0706">CVE-2016-0706</a> - - <p>Apache Tomcat 6.x до версии 6.0.45, 7.x до версии 7.0.68, 8.x до версии - 8.0.31 и 9.x до версии 9.0.0.M2 не помещает - org.apache.catalina.manager.StatusManagerServlet в список org/apache - /catalina/core/RestrictedServlets.properties, что позволяет удалённым - аутентифицированным пользователям обходить специальные ограничения SecurityManager - и считывать произвольные запросы HTTP, а затем и обнаруживать - значения идентификаторов сессии при помощи специально сформированного веб-приложения.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0714">CVE-2016-0714</a> - - <p>Реализация session-persistence в Apache Tomcat 6.x до версии - 6.0.45, 7.x до версии 7.0.68, 8.x до версии 8.0.31 и 9.x до версии - 9.0.0.M2 неправильно обрабатывает атрибуты сессий, что позволяет удалённым - аутентифицированным пользователям обходить специальные ограничения SecurityManager - и выполнять произвольный код в привилегированном контексте с помощью - веб-приложения, помещающего в сессию специально сформированный объект.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0763">CVE-2016-0763</a> - - <p>Метод setGlobalContext в org/apache/naming/factory - /ResourceLinkFactory.java в Apache Tomcat не выполняет проверку авторизации - вызывающих функций ResourceLinkFactory.setGlobalContext, что позволяет - удалённым аутентифицированным пользователям обходить специальные ограничения SecurityManager - и выполнять чтение или запись в произвольные данные приложения, либо - вызывать отказ в обслуживании (сбой приложения) при помощи веб-приложения, - которое создаёт специально сформированный глобальный контекст.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии -6.0.45-1~deb6u1.</p> - -<p>Рекомендуется обновить пакеты tomcat6.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-435.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-436.wml b/russian/lts/security/2016/dla-436.wml deleted file mode 100644 index b76a753f734..00000000000 --- a/russian/lts/security/2016/dla-436.wml +++ /dev/null @@ -1,11 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Пакеты ia32-libs и ia32-libs-gtk содержат 32-битные версии различных -библиотек, предназначенные для использования в 64-битных системах. Данное обновление включает в себя -все исправления безопасности, которые были выпущены для этих библиотек с момента запуска Squeeze LTS.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-436.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-437.wml b/russian/lts/security/2016/dla-437.wml deleted file mode 100644 index 6a48f023bbc..00000000000 --- a/russian/lts/security/2016/dla-437.wml +++ /dev/null @@ -1,26 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Разработчики основной ветки разработки выпустили версию 0.99. Данное обновление служит для обновления sqeeze-lts до -последней версии из основной ветки разработки, как это делается и в других выпусках Debian.</p> - -<p>Эти изменения не являются строго необходимыми для работы, но пользователи предыдущей -версии в Squeeze не могут использовать все текущие сигнатуры вирусов -и получают предупреждения.</p> - -<p>Из-за изменения в версии so-библиотеки в этом выпуске пакет libclamav тоже был -обновлён до libclamav7. Требуется обновить внешних пользователей libclamav. -Для пакетов python-clamav, klamav и libclamunrar эти изменения уже готовы, либо будут -готовы в скором времени.</p> - -<p>К сожалению, пакет dansguardian в squeeze имеет некоторые проблемы, -которые мешают повторной сборке этого пакета. Если вы используете dansguardian, -то не пытайтесь выполнить обновление до новой версии clamav.</p> - -<p>В противном случае, если вы используете clamav, то вам настоятельно рекомендуется выполнить -обновление до этой версии.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-437.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-438.wml b/russian/lts/security/2016/dla-438.wml deleted file mode 100644 index bc936ed60fc..00000000000 --- a/russian/lts/security/2016/dla-438.wml +++ /dev/null @@ -1,31 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В libebml, библиотеке для доступа к формату EBML, обнаружено -две проблемы безопасности:</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8790">CVE-2015-8790</a> - - <p>Функция EbmlUnicodeString::UpdateFromUTF8 в libEBML до версии 1.3.3 - позволяет в зависимости от контекста получать чувствительную информацию из - динамической памяти процесса при помощи специально сформированной строки в кодировке UTF-8, приводящей - к неправильному доступу к содержимому памяти.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8791">CVE-2015-8791</a> - - <p>Функция EbmlElement::ReadCodedSizeValue в libEBML до версии 1.3.3 позволяет - в зависимости от контекста получать чувствительную информацию из динамической - памяти процесса при помощи специально сформированного значения длины в идентификаторе EBML, приводящего к - неправильному доступу к содержимому памяти.</p></li> - -</ul> - -<p>В Debian 6 <q>squeeze</q> эти проблемы были исправлены в libebml версии -0.7.7-3.1+deb6u1. Рекомендуется обновить пакеты libebml.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-438.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-439.wml b/russian/lts/security/2016/dla-439.wml deleted file mode 100644 index 2b6a9801a92..00000000000 --- a/russian/lts/security/2016/dla-439.wml +++ /dev/null @@ -1,57 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Данное обновление исправляет описанные ниже CVE.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8812">CVE-2015-8812</a> - - <p>В драйвере Infiniband iw_cxgb3 была обнаружена уязвимость. Когда драйвер - не может отправить пакет из-за перегрузки сети, он - освобождает пакетный буфер, но затем пытается отправить этот пакет - снова. Это использование указателей после освобождения памяти может приводить к отказу - в обслуживании (аварийная остановка или зависание), потере данных или повышению привилегий.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0774">CVE-2016-0774</a> - - <p>Было обнаружено, что исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2015-1805">CVE-2015-1805</a> в версиях ядра - Linux больше 3.16 неправильно обрабатывает случай - частично ошибочного атомарного чтения. Локальный непривилегированный пользователь может - использовать эту уязвимость для аварийного завершения работы системы или утечки содержимого памяти ядра в - пространство пользователя.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2384">CVE-2016-2384</a> - - <p>Андрей Коновалов обнаружил, что USB MIDI-устройство с неправильным - USB-дескриптором может вызывать двойное освобождения памяти. Это может использоваться - пользователем, имеющим физический доступ к системе, для повышения привилегий.</p></li> - -</ul> - -<p>Кроме того, обновление исправляет некоторые старые проблемы безопасности, не имеющие идентификатора CVE:</p> - - <p>Несколько функций API ядра имеют права на чтение или запись 2 или более ГБ данных - в виде целого блока, что может приводить к переполнению целых чисел в случае, - работы с некоторыми файловыми системами, сокетами или типами устройств. Полностью - влияние этой проблемы на безопасность исследовано не было.</p> - -<p>Наконец это обновление исправляет регресс в версии 2.6.32-48squeeze17, который в некоторых -ситуациях приводил к зависанию Samba.</p> - -<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были -исправлены в версии 2.6.32-48squeeze20. Это *действительно* последнее -обновление пакета linux-2.6 для squeeze.</p> - -<p>В предыдущем стабильном выпуске (wheezy) ядро не подвержено -проблемам с переполнением целых чисел, а остальные проблемы будут -исправлены в версии 3.2.73-2+deb7u3.</p> - -<p>В стабильном выпуске (jessie) ядро не подвержено -проблемам с переполнением целых чисел и <a href="https://security-tracker.debian.org/tracker/CVE-2016-0774">CVE-2016-0774</a>, а остальные -проблемы будут исправлены в версии 3.16.7-ckt20-1+deb8u4.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-439.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-440.wml b/russian/lts/security/2016/dla-440.wml deleted file mode 100644 index 0f5c1d598ca..00000000000 --- a/russian/lts/security/2016/dla-440.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Как было описано в <a href="./dla-437">DLA-437-1</a>, пакет clamav был обновлён до самой свежей версии из -основной ветки разработки, 0.99. Из-за изменения версии so-библиотеки в libclamav, пакеты, зависящие от -libclamav, следует скомпилировать заново для того, чтобы они работали с новой версией libclamav7. В момент -отправки DLA-437-1 обновлённые пакеты dansguardian ещё не были доступны.</p> - -<p>Теперь же обновление dansguardian загружено, в скором времени пакеты будут -доступны. Рекомендация в DLA-437-1 не обновлять clamav в случае -использования этого пакета вместе с dansguardian более не актуальна.</p> - -<p>По причинам, указанным в DLA-437-1, рекомендуется обновить пакеты -clamav и dansguardian.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-440.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-441.wml b/russian/lts/security/2016/dla-441.wml deleted file mode 100644 index 503d6e2b7ea..00000000000 --- a/russian/lts/security/2016/dla-441.wml +++ /dev/null @@ -1,23 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Сотрудники HP Zero Day Initiative обнаружили уязвимость, касающуюся -пакета pcre3. Ей был назначен идентификатор ZDI ZDI-CAN-3542. Идентификатор CVE ей -пока не был назначен.</p> - -<p>Уязвимость удалённого выполнения кода из-за переполнения стека при компиляции -регулярных выражений PCRE.</p> - -<p>PCRE не выполняет проверку того, что обрабатываемый глагол (*ACCEPT) находится в -границах буфера cworkspace, что приводит к переполнению -буфера.</p> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии -8.02-1.1+deb6u1.</p> - -<p>Рекомендуется обновить пакеты pcre3.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-441.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-442.wml b/russian/lts/security/2016/dla-442.wml deleted file mode 100644 index e8c129f429b..00000000000 --- a/russian/lts/security/2016/dla-442.wml +++ /dev/null @@ -1,37 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6441">CVE-2013-6441</a> - - <p>Шаблон сценария lxc-sshd используется для монтирования его в качестве /sbin/init в - контейнере, используя монтирования с опцией bind и возможностью перезаписи.</p> - - <p>Данное обновление решает указанную выше проблему, используя монтирование с опцией bind - и без возможности записи, что предотвращает любое потенциальное ненамеренное повреждение данных.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1335">CVE-2015-1335</a> - - <p>При запуске контейнера lxc устанавливает изначальное дерево файловой системы - контейнера, выполняя несколько раз монтирование, которое осуществляется в соответсвии с файлом - настройки контейнера.</p> - - <p>Владельцем файла настройки контейнера является администратор или пользователь узла, поэтому - защита от плохих записей в нём отсутствует. Тем не менее, поскольку цель монтирования - находится в контейнере, постольку возможно, что администратор контейнера - изменил монтирование с помощью символьных ссылок. Это может позволить обойти настройки контейнера - при его запуске (то есть изоляцию контейнера, владельцем которого является суперпользователь, - с помощью ограничивающего правила apparmor, путём изменения требуемой записи в - /proc/self/attr/current), либо обойти правило apparmor (на основе пути) - путём изменения в контейнере, например, /proc на /mnt.</p> - - <p>Данное обновление реализует функцию safe_mount(), которая не позволяет lxc - выполнять монтирование в символьные ссылки.</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-442.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-443.wml b/russian/lts/security/2016/dla-443.wml deleted file mode 100644 index 3910e249b08..00000000000 --- a/russian/lts/security/2016/dla-443.wml +++ /dev/null @@ -1,28 +0,0 @@ -#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>В BeanShell, встраиваемом интерпретаторе исходного кода на языке Java -с возможностями объектного языка сценариев, была обнаружена возможность удалённого -выполнения кода.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2510">CVE-2016-2510</a> - - <p>Приложение, включающее BeanShell в classpath, может оказаться - уязвимым в случае, если другая часть этого приложения использует сериализацию Java - или XStream для десериализации данных из недоверенного - источника. Уязвимое приложение может использоваться для удалённого - выполнения кода, включая выполнение произвольных команд командной оболочки.</p></li> - -</ul> - -<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии -2.0b4-12+deb6u1.</p> - -<p>Рекомендуется обновить пакеты bsh.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-443.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-444.wml b/russian/lts/security/2016/dla-444.wml deleted file mode 100644 index f30541440e5..00000000000 --- a/russian/lts/security/2016/dla-444.wml +++ /dev/null @@ -1,44 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2305">CVE-2015-2305</a> - - <p>Переполнение целых чисел в реализации regcomp в библиотеке регулярных - выражений Henry Spencer BSD (известной также как rxspencer) версии alpha3.8.g5 на - 32-битных платформах, используемой в NetBSD по версию 6.1.5, а также в других - продуктах может в зависимости от контекста позволить злоумышленникам выполнить - произвольный код с помощью слишком большого регулярного выражения, приводящего к - переполнению динамической памяти.</p></li> -<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2348">CVE-2015-2348</a> - <p>Реализация move_uploaded_file в - ext/standard/basic_functions.c в PHP до версии 5.4.39, в ветке 5.5.x - до версии 5.5.23 и в ветке 5.6.x до версии 5.6.7 обрезает путь до - символа \x00, что позволяет удалённым злоумышленникам - обходить ограничения расширений и создавать файлы с - неожиданными именами при помощи специально сформированного второго аргумента.</p> - <p><b>Внимание</b>: эта уязвимость имеет место из-за неполного исправления - <a href="https://security-tracker.debian.org/tracker/CVE-2006-7243">CVE-2006-7243</a>.</p></li> -<li>CVE-2016-tmp, ошибка #71039 - <p>Функции exec игнорируют длину, но следят за завершением NULL-указателя</p></li> -<li>CVE-2016-tmp, ошибка #71089 - <p>Отсутствует проверка дубликата zend_extension</p></li> -<li>CVE-2016-tmp, ошибка #71201 - <p>round() приводит к ошибке сегментирования на сборках под 64-бит</p></li> -<li>CVE-2016-tmp, ошибка #71459 - <p>Переполнение целых чисел в iptcembed()</p></li> -<li>CVE-2016-tmp, ошибка #71354 - <p>Повреждение содержимого динамической памяти в коде для грамматического разбора tar/zip/phar</p></li> -<li>CVE-2016-tmp, ошибка #71391 - <p>Разыменование NULL-указателя в phar_tar_setupmetadata()</p></li> -<li>CVE-2016-tmp, ошибка #70979 - <p>Аварийная остановка при плохом SOAP-запросе</p></li> - -</ul> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-444.data" -# $Id$ diff --git a/russian/lts/security/2016/dla-445.wml b/russian/lts/security/2016/dla-445.wml deleted file mode 100644 index 9eca4fa2fa6..00000000000 --- a/russian/lts/security/2016/dla-445.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> -<p>Перенесённая заплата для решения <a href="https://security-tracker.debian.org/tracker/CVE-2016-2569">CVE-2016-2569</a> содержит неправильные утверждения, -которые приводят к аварийной остановке squid3 при закрытии соединений. Исправление этого CVE -полагается на обработку исключений, которая имеется только в более свежих версиях -squid3, что в прошлый раз обнаружить не удалось. Указанная заплата была удалена для того, -чтобы вернуть программу в более безопасное состояние, учитывая то, что -пользователям Squeeze следует перейти на поддерживаемую версию Debian. Это -обновление, выпущенное после окончания жизненного цикла выпуска, предназначено для того, чтобы пакет squid3 в архиве -оставался в рабочем состоянии.</p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2016/dla-445.data" -# $Id$ diff --git a/russian/lts/security/2016/index.wml b/russian/lts/security/2016/index.wml deleted file mode 100644 index 57c16b5c596..00000000000 --- a/russian/lts/security/2016/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" -<define-tag pagetitle>Рекомендации по безопасности LTS за 2016 год</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list_security - -<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2016' ) :> - -<p>Вы можете получать последние анонсы о безопасности Debian, подписавшись на список рассылки -<a href="https://lists.debian.org/debian-lts-announce/">\ -<strong>debian-lts-announce</strong></a>. -Архив списка рассылки доступен <a href="https://lists.debian.org/debian-lts-announce/">\ -здесь</a>.</p> diff --git a/russian/lts/security/2017/Makefile b/russian/lts/security/2017/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/lts/security/2017/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/lts/security/2017/index.wml b/russian/lts/security/2017/index.wml deleted file mode 100644 index 79e62a54b6a..00000000000 --- a/russian/lts/security/2017/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" -<define-tag pagetitle>Рекомендации по безопасности LTS за 2017 год</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list_security - -<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2017' ) :> - -<p>Вы можете получать последние анонсы о безопасности Debian, подписавшись на список рассылки -<a href="https://lists.debian.org/debian-lts-announce/">\ -<strong>debian-lts-announce</strong></a>. -Архив списка рассылки доступен <a href="https://lists.debian.org/debian-lts-announce/">\ -здесь</a>.</p> diff --git a/russian/lts/security/2018/Makefile b/russian/lts/security/2018/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/lts/security/2018/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/lts/security/2018/index.wml b/russian/lts/security/2018/index.wml deleted file mode 100644 index a493df28390..00000000000 --- a/russian/lts/security/2018/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" -<define-tag pagetitle>Рекомендации по безопасности LTS за 2018 год</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list_security - -<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2018' ) :> - -<p>Вы можете получать последние анонсы о безопасности Debian, подписавшись на список рассылки -<a href="https://lists.debian.org/debian-lts-announce/">\ -<strong>debian-lts-announce</strong></a>. -Архив списка рассылки доступен <a href="https://lists.debian.org/debian-lts-announce/">\ -здесь</a>.</p> diff --git a/russian/lts/security/2019/Makefile b/russian/lts/security/2019/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/lts/security/2019/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/lts/security/2019/index.wml b/russian/lts/security/2019/index.wml deleted file mode 100644 index 087a1f9c8db..00000000000 --- a/russian/lts/security/2019/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" -<define-tag pagetitle>LTS Security Advisories from 2019</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list_security - -<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2019' ) :> - -<p>Вы можете получать последние анонсы о безопасности Debian, подписавшись на список рассылки -<a href="https://lists.debian.org/debian-lts-announce/">\ -<strong>debian-lts-announce</strong></a>. -Архив списка рассылки доступен <a href="https://lists.debian.org/debian-lts-announce/">\ -здесь</a>.</p> diff --git a/russian/lts/security/2020/Makefile b/russian/lts/security/2020/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/lts/security/2020/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/lts/security/2020/dla-2252.wml b/russian/lts/security/2020/dla-2252.wml deleted file mode 100644 index 080e5c0b768..00000000000 --- a/russian/lts/security/2020/dla-2252.wml +++ /dev/null @@ -1,30 +0,0 @@ -#use wml::debian::translation-check translation="b1c5433cf047b1db3e0c089e46bfa587040f0114" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>Было обнаружено, что в реализации сервер-серверного протокола в IRC-сервере ngircd -имеется уязвимость, приводящая к доступу за пределы выделенного буфера памяти.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14148">CVE-2020-14148</a> - - <p>Реализация сервер-серверного протокола в ngIRCd до версии 26~rc2 позволяет - обращаться за пределы выделенного буфера памяти, что демонстрируется - функцией IRC_NJOIN().</p></li> - -</ul> - -<p>В Debian 8 <q>Jessie</q> эти проблемы были исправлены в версии -22-2+deb8u1.</p> - -<p>Рекомендуется обновить пакеты ngircd.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2252.data" diff --git a/russian/lts/security/2020/dla-2253.wml b/russian/lts/security/2020/dla-2253.wml deleted file mode 100644 index 053ade4fc29..00000000000 --- a/russian/lts/security/2020/dla-2253.wml +++ /dev/null @@ -1,33 +0,0 @@ -#use wml::debian::translation-check translation="caa6649a706a1a437da6bc07e5727795562df8a5" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>Было обнаружено, что в lynis, инструменте аудита безопасности, -имеется уязвимость. Лицензионный ключ может быть получен путём обычного просмотра -списка процессов при выполнении загрузки данных.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-13033">CVE-2019-13033</a> - - <p>В CISOfy Lynis с версий 2.x до версии 2.7.5 лицензионный ключ можно получить, - просматривая список процессов при загрузке данных. Этот ключ может - использоваться для загрузки данных на центральный сервер Lynis. Хотя - данные могут быть распакованы только с помощью лицензионного ключа, можно - загрузить данные дополнительного сканирования.</p></li> - -</ul> - -<p>В Debian 8 <q>Jessie</q> эти проблемы были исправлены в версии -1.6.3-1+deb8u1.</p> - -<p>Рекомендуется обновить пакеты lynis.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2253.data" diff --git a/russian/lts/security/2020/dla-2254.wml b/russian/lts/security/2020/dla-2254.wml deleted file mode 100644 index fcf8e430d87..00000000000 --- a/russian/lts/security/2020/dla-2254.wml +++ /dev/null @@ -1,24 +0,0 @@ -#use wml::debian::translation-check translation="00e0de32a064c832a621942816621011e4b30605" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p><a href="https://security-tracker.debian.org/tracker/CVE-2020-14929">CVE-2020-14929</a></p> - - <p>Alpine до версии 2.23 при некоторых обстоятельствах с использованием PREAUTH - без уведомления переходит к использованию небезопасного соединения после отправки /tls, - что является менее безопасным поведением, чем закрытие соединения и предоставление - пользователю возможности решить, что делать.</p> - -<p>В Debian 8 <q>Jessie</q> эта проблема была исправлена в версии -2.11+dfsg1-3+deb8u1.</p> - -<p>Рекомендуется обновить пакеты alpine.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2254.data" diff --git a/russian/lts/security/2020/dla-2255.wml b/russian/lts/security/2020/dla-2255.wml deleted file mode 100644 index a8a650f3604..00000000000 --- a/russian/lts/security/2020/dla-2255.wml +++ /dev/null @@ -1,22 +0,0 @@ -#use wml::debian::translation-check translation="4a8487c1b0a916652735354c7e64ae94135b525b" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>В Libtasn1, библиотеке для управления структурами ASN.1, была обнаружена -уязвимость, позволяющая удалённому злоумышленнику вызывать отказ в обслуживании -в приложении, использующем библиотеку Libtasn1.</p> - - -<p>В Debian 8 <q>Jessie</q> эта проблема была исправлена в версии -4.2-3+deb8u4.</p> - -<p>Рекомендуется обновить пакеты libtasn1-6.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2255.data" diff --git a/russian/lts/security/2020/dla-2256.wml b/russian/lts/security/2020/dla-2256.wml deleted file mode 100644 index 2d79a39e66e..00000000000 --- a/russian/lts/security/2020/dla-2256.wml +++ /dev/null @@ -1,23 +0,0 @@ -#use wml::debian::translation-check translation="349851b5dc8357ca55d155dfb6677dfbfadcc4c6" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>Было обнаружено, что libtiprc, транспортно-независящая RPC-библиотека, -может использоваться для вызова отказа в обслуживании или другого непрогнозируемым -последствиям для безопасности системы путём переполнения буфера из-за наводнения сервера -специально сформированными пакетами ICMP и UDP.</p> - - -<p>В Debian 8 <q>Jessie</q> эта проблема была исправлена в версии -0.2.5-1+deb8u3.</p> - -<p>Рекомендуется обновить пакеты libtirpc.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2256.data" diff --git a/russian/lts/security/2020/dla-2257.wml b/russian/lts/security/2020/dla-2257.wml deleted file mode 100644 index 143de1c2912..00000000000 --- a/russian/lts/security/2020/dla-2257.wml +++ /dev/null @@ -1,23 +0,0 @@ -#use wml::debian::translation-check translation="462a06961be5727fbd76b11b145b7d77b3ee4aad" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>Было обнаружено, что pngquant, утилита для оптимизации изображений в формате PNG, -содержит переполнение буфера, приводящее к записи за пределы выделенного буфера памяти, -вызываемое специально сформированным PNG-изображением, что может приводить -к отказу в обслуживании или другим проблемам.</p> - - -<p>В Debian 8 <q>Jessie</q> эта проблема была исправлена в версии -2.3.0-1+deb8u1.</p> - -<p>Рекомендуется обновить пакеты pngquant.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2257.data" diff --git a/russian/lts/security/2020/dla-2258.wml b/russian/lts/security/2020/dla-2258.wml deleted file mode 100644 index 6491a409c62..00000000000 --- a/russian/lts/security/2020/dla-2258.wml +++ /dev/null @@ -1,22 +0,0 @@ -#use wml::debian::translation-check translation="500e721a4dd1d56cf56c8e3346e2198be3589da2" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>В zziplib, библиотеке, предоставляющий возможность чтения из ZIP-архивов, -было обнаружено несколько проблем. По сути, все они связаны с неправильным обращением -к памяти и приводят к аварийной остановке или утечке памяти.</p> - - -<p>В Debian 8 <q>Jessie</q> эти проблемы были исправлены в версии -0.13.62-3+deb8u2.</p> - -<p>Рекомендуется обновить пакеты zziplib.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2258.data" diff --git a/russian/lts/security/2020/dla-2259.wml b/russian/lts/security/2020/dla-2259.wml deleted file mode 100644 index 8c0ce014493..00000000000 --- a/russian/lts/security/2020/dla-2259.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::translation-check translation="a0339032f567e0dbcd547fe45c0e061843a770fc" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>Было обнаружено, что в picocom, программе для эмуляции минимального терминала, -возможно введение команд.</p> - - -<p>В Debian 8 <q>Jessie</q> эта проблема была исправлена в версии -1.7-1+deb8u1.</p> - -<p>Рекомендуется обновить пакеты picocom.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2259.data" diff --git a/russian/lts/security/2020/dla-2260.wml b/russian/lts/security/2020/dla-2260.wml deleted file mode 100644 index 02a896cc157..00000000000 --- a/russian/lts/security/2020/dla-2260.wml +++ /dev/null @@ -1,23 +0,0 @@ -#use wml::debian::translation-check translation="b1deecf627481ee2afe797396d3304fb20e3bda2" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>Было обнаружено, что в mcabber, консольном Jabber-клиенте, имеется проблема, -позволяющая выполнять <q>атаку по выталкиванию ростера</q>. Эта проблема идентична -<a href="https://security-tracker.debian.org/tracker/CVE-2015-8688">CVE-2015-8688</a> -для gajim.</p> - - -<p>В Debian 8 <q>Jessie</q> эта проблема была исправлена в версии -0.10.2-1+deb8u1.</p> - -<p>Рекомендуется обновить пакеты mcabber.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2260.data" diff --git a/russian/lts/security/2020/dla-2261.wml b/russian/lts/security/2020/dla-2261.wml deleted file mode 100644 index f80665b3c69..00000000000 --- a/russian/lts/security/2020/dla-2261.wml +++ /dev/null @@ -1,31 +0,0 @@ -#use wml::debian::translation-check translation="66bf90f8fc76700f0dc4c61f3c55a800798ab361" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>Было обнаружено, что уязвимость в php5, серверном языке сценариев со -встроенной поддержкой HTML, может приводить к исчерпанию дискового пространства на -сервере. При использовании слишком длинных имён файлов или имён полей может сработать -ограничение памяти, что приводит к остановке загрузки без последующей -очистки.</p> - -<p>Кроме того, поставляемая версия утилиты <q>file</q> уязвима к -<a href="https://security-tracker.debian.org/tracker/CVE-2019-18218">CVE-2019-18218</a>. -Поскольку эту уязвимость можно использовать в php5 также, как и в file, данная -проблема не имеет собственного идентификатора CVE, а лишь сообщение об ошибке. Эта ошибка -была исправлена в данном обновлении (ограничение числа элементов CDF_VECTOR для предотвращения -переполнения буфера (4-байтовая запись за пределы выделенного буфера памяти)).</p> - - -<p>В Debian 8 <q>Jessie</q> эта проблема была исправлена в версии -5.6.40+dfsg-0+deb8u12.</p> - -<p>Рекомендуется обновить пакеты php5.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2261.data" diff --git a/russian/lts/security/2020/dla-2262.wml b/russian/lts/security/2020/dla-2262.wml deleted file mode 100644 index 96d5d0b76c4..00000000000 --- a/russian/lts/security/2020/dla-2262.wml +++ /dev/null @@ -1,43 +0,0 @@ -#use wml::debian::translation-check translation="d865f76ebc86ab1cdd68218b3fbc1c9291f641fd" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>В qemu, быстром эмуляторе процессора, было исправлено несколько уязвимостей.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1983">CVE-2020-1983</a> - - <p>slirp: исправление использования указателей после освобождения памяти в ip_reass().</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13361">CVE-2020-13361</a> - - <p>es1370_transfer_audio в hw/audio/es1370.c - позволяет пользователям гостевой системы обращаться за пределы выделенного буфера - памяти в ходе выполнения операции es1370_write().</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13362">CVE-2020-13362</a> - - <p>megasas_lookup_frame в hw/scsi/megasas.c может выполнять чтение - за пределами выделенного буфера памяти из-за специально сформированного поля - reply_queue_head, полученного от пользователя гостевой системы.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13765">CVE-2020-13765</a> - - <p>hw/core/loader: исправление аварийной остановки в rom_copy().</p></li> - -</ul> - -<p>В Debian 8 <q>Jessie</q> эти проблемы были исправлены в версии -1:2.1+dfsg-12+deb8u15.</p> - -<p>Рекомендуется обновить пакеты qemu.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2262.data" diff --git a/russian/lts/security/2020/dla-2263.wml b/russian/lts/security/2020/dla-2263.wml deleted file mode 100644 index b6497f3a351..00000000000 --- a/russian/lts/security/2020/dla-2263.wml +++ /dev/null @@ -1,22 +0,0 @@ -#use wml::debian::translation-check translation="209a0a81224add037650b1e46800ee6679851156" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p><a href="https://security-tracker.debian.org/tracker/CVE-2020-13663">CVE-2020-13663</a> - Drupal SA 2020-004</p> - - <p>Базовый API компонента Forms в Drupal неправильно обрабатывает определённые входные - данные, поступающие от межсайтовых запросов, что может приводить к другим уязвимостям.</p> - -<p>В Debian 8 <q>Jessie</q> эта проблема была исправлена в версии -7.32-1+deb8u19.</p> - -<p>Рекомендуется обновить пакеты drupal7.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2263.data" diff --git a/russian/lts/security/2020/dla-2264.wml b/russian/lts/security/2020/dla-2264.wml deleted file mode 100644 index 3f73f7d383a..00000000000 --- a/russian/lts/security/2020/dla-2264.wml +++ /dev/null @@ -1,63 +0,0 @@ -#use wml::debian::translation-check translation="874b7a827053e059c3b08e991a12da214544f123" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>В libVNC (Debian-пакет libvncserver), реализации сервера и клиента в соответствии -с протоколом VNC, было обнаружено несколько уязвимостей.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-20839">CVE-2019-20839</a> - - <p>libvncclient/sockets.c в LibVNCServer содержит переполнение буфера, возникающее - из-за длинных имён файлов сокетов.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14397">CVE-2020-14397</a> - - <p>libvncserver/rfbregion.c содержит разыменование NULL-указателя.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14399">CVE-2020-14399</a> - - <p>Обращение к байт-синхронизированным данным в libvncclient/rfbproto.c - осуществляется через указатели uint32_t.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14400">CVE-2020-14400</a> - - <p>Обращение к байт-синхронизированным данным в libvncserver/translate.c - осуществляется через указатели uint16_t.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14401">CVE-2020-14401</a> - - <p>libvncserver/scale.c содержит переполнение целых чисел в pixel_value.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14402">CVE-2020-14402</a> - - <p>libvncserver/corre.c позволяет обращаться за пределы выделенного буфера памяти с помощью кодировок.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14403">CVE-2020-14403</a> - - <p>libvncserver/hextile.c позволяет обращаться за пределы выделенного буфера памяти с помощью кодировок.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14404">CVE-2020-14404</a> - - <p>libvncserver/rre.c позволяет обращаться за пределы выделенного буфера памяти с помощью кодировок.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14405">CVE-2020-14405</a> - - <p>libvncclient/rfbproto.c не ограничивает размер TextChat.</p></li> - -</ul> - -<p>В Debian 8 <q>Jessie</q> эти проблемы были исправлены в версии -0.9.9+dfsg2-6.1+deb8u8.</p> - -<p>Рекомендуется обновить пакеты libvncserver.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2264.data" diff --git a/russian/lts/security/2020/dla-2265.wml b/russian/lts/security/2020/dla-2265.wml deleted file mode 100644 index 0a3c7a1e539..00000000000 --- a/russian/lts/security/2020/dla-2265.wml +++ /dev/null @@ -1,20 +0,0 @@ -#use wml::debian::translation-check translation="98b706e994de63bc9afcdd15e013985b8cfc4c94" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>GNU Mailman позволяет осуществлять введение произвольного содержания через -закрытую страницу входа в архив Cgi/private.py.</p> - -<p>В Debian 8 <q>Jessie</q> эта проблема была исправлена в версии -1:2.1.18-2+deb8u7.</p> - -<p>Рекомендуется обновить пакеты mailman.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2265.data" diff --git a/russian/lts/security/2020/dla-2266.wml b/russian/lts/security/2020/dla-2266.wml deleted file mode 100644 index f43bee98087..00000000000 --- a/russian/lts/security/2020/dla-2266.wml +++ /dev/null @@ -1,32 +0,0 @@ -#use wml::debian::translation-check translation="2f171f48d8051ecc359624a922d14ddafcf1c912" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>В nss, библиотеках Network Security Service, было исправлено -несколько уязвимостей.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-12399">CVE-2020-12399</a> - - <p>Обязательно использование ограниченной длины для потенцирования DSA.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-12402">CVE-2020-12402</a> - - <p>Атака через сторонние каналы при создании RSA-ключа.</p></li> - -</ul> - -<p>В Debian 8 <q>Jessie</q> эти проблемы были исправлены в версии -2:3.26-1+debu8u11.</p> - -<p>Рекомендуется обновить пакеты nss.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2266.data" diff --git a/russian/lts/security/2020/dla-2267.wml b/russian/lts/security/2020/dla-2267.wml deleted file mode 100644 index 308f81c42b9..00000000000 --- a/russian/lts/security/2020/dla-2267.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::translation-check translation="fdae3072ddc5d9df41fee1deccc79407622f61f0" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>В libmatio, библиотеке для чтения и записи MAT-файлов Matlab, была -исправлена уязвимость в функции Mat_VarReadNextInfo4 в mat4.c, которая -может приводить к чтению за пределами выделенного буфера памяти в strdup_vprintf.</p> - -<p>В Debian 8 <q>Jessie</q> эта проблема была исправлена в версии -1.5.2-3+deb8u1.</p> - -<p>Рекомендуется обновить пакеты libmatio.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2267.data" diff --git a/russian/lts/security/2020/dla-2268-2.wml b/russian/lts/security/2020/dla-2268-2.wml deleted file mode 100644 index bd04ea70df4..00000000000 --- a/russian/lts/security/2020/dla-2268-2.wml +++ /dev/null @@ -1,42 +0,0 @@ -#use wml::debian::translation-check translation="64102dcb0991f580c6515da364c20efeca52ee5d" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>В mutt, консольном клиенте электронной почты, были обнаружены две уязвимости.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14093">CVE-2020-14093</a> - - <p>Mutt позволяет выполнять атаку по принципу человек-в-середине на IMAP-команды - fcc/postpone через PREAUTH-ответ.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14954">CVE-2020-14954</a> - - <p>Mutt содержит проблему буферизации STARTTLS, которая касается IMAP, SMTP и - POP3. Когда сервер отправляет ответ <q>begin TLS</q>, клиент считывает - дополнительные данные (например, от злоумышленника в середине) и - выполняет их в TLS-контексте, что также известно как <q>введение ответа</q>.</p> - -</ul> - -<p>В Debian jessie из пакета с исходным кодом mutt собираются два пакета, -mutt и mutt-patched.</p> - -<p>В предыдущей версии пакета (1.5.23-3+deb8u2, DLA-2268-1) содержались исправления -для проблем, указанных выше, но они были применены только для сборки пакета -mutt-patched, но не для сборки (классического) пакета mutt.</p> - -<p>В Debian 8 <q>Jessie</q> эти проблемы были исправлены в версии -1.5.23-3+deb8u3.</p> - -<p>Рекомендуется обновить пакеты mutt.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2268-2.data" diff --git a/russian/lts/security/2020/dla-2268.wml b/russian/lts/security/2020/dla-2268.wml deleted file mode 100644 index 879c59ac26f..00000000000 --- a/russian/lts/security/2020/dla-2268.wml +++ /dev/null @@ -1,35 +0,0 @@ -#use wml::debian::translation-check translation="044f0b378d1e97d512ed4133d9cfa3de84daad8b" mindelta="1" maintainer="Lev Lamberov" -<define-tag description>обновление безопасности LTS</define-tag> -<define-tag moreinfo> - -<p>В mutt, консольном клиенте электронной почты, были обнаружены две уязвимости.</p> - -<ul> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14093">CVE-2020-14093</a> - - <p>Mutt позволяет выполнять атаку по принципу человек-в-середине на IMAP-команды - fcc/postpone через PREAUTH-ответ.</p></li> - -<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14954">CVE-2020-14954</a> - - <p>Mutt содержит проблему буферизации STARTTLS, которая касается IMAP, SMTP и - POP3. Когда сервер отправляет ответ <q>begin TLS</q>, клиент считывает - дополнительные данные (например, от злоумышленника в середине) и - выполняет их в TLS-контексте, что также известно как <q>введение ответа</q>.</p> - -</ul> - -<p>В Debian 8 <q>Jessie</q> эти проблемы были исправлены в версии -1.5.23-3+deb8u2.</p> - -<p>Рекомендуется обновить пакеты mutt.</p> - -<p>Дополнительную информацию о рекомендациях по безопасности Debian LTS, -о том, как применять эти обновления к вашей системе, а также ответы на часто -задаваемые вопросы можно найти по адресу: <a href="https://wiki.debian.org/LTS">\ -https://wiki.debian.org/LTS</a></p> -</define-tag> - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2020/dla-2268.data" diff --git a/russian/lts/security/2020/index.wml b/russian/lts/security/2020/index.wml deleted file mode 100644 index 35c20148741..00000000000 --- a/russian/lts/security/2020/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="c869670c5270acc99824a50b5149ac8fea1611f7" -<define-tag pagetitle>Рекомендации по безопасности LTS за 2020 год</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list_security - -<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2020' ) :> - -<p>Вы можете получать последние анонсы о безопасности Debian, подписавшись на список рассылки -<a href="https://lists.debian.org/debian-lts-announce/">\ -<strong>debian-lts-announce</strong></a>. -Архив списка рассылки доступен <a href="https://lists.debian.org/debian-lts-announce/">\ -здесь</a>.</p> diff --git a/russian/lts/security/2021/Makefile b/russian/lts/security/2021/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/lts/security/2021/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/lts/security/2021/index.wml b/russian/lts/security/2021/index.wml deleted file mode 100644 index 3b02778bdd6..00000000000 --- a/russian/lts/security/2021/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="b4f36992a1c7759ac519c3d9a3a6fb40d57e07bb" maintainer="Lev Lamberov" -<define-tag pagetitle>Рекомендации по безопасности LTS за 2021 год</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list_security - -<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2021' ) :> - -<p>Вы можете получать последние анонсы о безопасности Debian, подписавшись на список рассылки -<a href="https://lists.debian.org/debian-lts-announce/">\ -<strong>debian-lts-announce</strong></a>. -Архив списка рассылки доступен <a href="https://lists.debian.org/debian-lts-announce/">\ -здесь</a>.</p> diff --git a/russian/lts/security/2022/Makefile b/russian/lts/security/2022/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/lts/security/2022/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/lts/security/2022/index.wml b/russian/lts/security/2022/index.wml deleted file mode 100644 index 10aceafdc1f..00000000000 --- a/russian/lts/security/2022/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::translation-check translation="36968947d5d302f916cfdaf60bd2e912e847ebc9" maintainer="Lev Lamberov" -<define-tag pagetitle>Рекомендации по безопасности LTS за 2022 год</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list_security - -<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2022' ) :> - -<p>Вы можете получать последние анонсы о безопасности Debian, подписавшись на список рассылки -<a href="https://lists.debian.org/debian-lts-announce/">\ -<strong>debian-lts-announce</strong></a>. -Архив списка рассылки доступен <a href="https://lists.debian.org/debian-lts-announce/">\ -здесь</a>.</p> |