diff options
author | Laura Arjona Reina <larjona@debian.org> | 2019-02-09 02:17:51 +0100 |
---|---|---|
committer | Laura Arjona Reina <larjona@debian.org> | 2019-02-09 02:17:51 +0100 |
commit | 36c73e6df8679c939b415e812320938e7f1463b0 (patch) | |
tree | a4f40d3445aa63e87df0462714e3b9951155cc73 /russian/lts | |
parent | 86173fbf5eb2daab03a61e45795786ce2edc06e8 (diff) |
[Russian] Add lts tree, move the DLAs that were in /security, fix translation-check hashes
Diffstat (limited to 'russian/lts')
436 files changed, 10830 insertions, 0 deletions
diff --git a/russian/lts/security/2014/Makefile b/russian/lts/security/2014/Makefile new file mode 100644 index 00000000000..10484184c17 --- /dev/null +++ b/russian/lts/security/2014/Makefile @@ -0,0 +1 @@ +include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/lts/security/2014/dla-0016.wml b/russian/lts/security/2014/dla-0016.wml new file mode 100644 index 00000000000..2a98139c391 --- /dev/null +++ b/russian/lts/security/2014/dla-0016.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Дэниел Беррандж обнаружил отказ в обслуживании в +коде подстановки сущностей в libxml2.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libxml2 версии 2.7.8.dfsg-2+squeeze9</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-0016.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-0018.wml b/russian/lts/security/2014/dla-0018.wml new file mode 100644 index 00000000000..49f367f6af7 --- /dev/null +++ b/russian/lts/security/2014/dla-0018.wml @@ -0,0 +1,33 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<ul> +<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3515">CVE-2014-3515</a>]: +<p>Исправление unserialize() SPL ArrayObject / SPLObjectStorage Type Confusion</p></li> + +<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-0207">CVE-2014-0207</a>]: +<p>fileinfo: недостаточная проверка границ массива в cdf_read_short_sector</p></li> + +<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3480">CVE-2014-3480</a>]: +<p>fileinfo: недостаточная проверка границ массива в cdf_count_chain</p></li> + +<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-4721">CVE-2014-4721</a>]: +<p>Реализация phpinfo в ext/standard/info.c в + PHP до версии 5.4.30 и 5.5.x до версии 5.5.14 не гарантирует + использование строкового типа данных для переменных PHP_AUTH_PW, + PHP_AUTH_TYPE, PHP_AUTH_USER и PHP_SELF, + что может позволить злоумышленника в зависимости от контекста получить + чувствительную информацию из памяти процесса, используя + целочисленный тип данных со специально сформированными значениями. Эта проблема + связана с <q>путаницей типов</q>, продемонстированной путём + чтения закрытого ключа SSL в окружении HTTP-сервера Apache + с модулем mod_ssl и + PHP 5.3.x mod_php.</p></li> +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете php5 версии 5.3.3-7+squeeze20</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-0018.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-0019.wml b/russian/lts/security/2014/dla-0019.wml new file mode 100644 index 00000000000..052ed7b3733 --- /dev/null +++ b/russian/lts/security/2014/dla-0019.wml @@ -0,0 +1,47 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Новый младший выпуск основной ветки разработки. Пользователям следует выполнить обновление до этой версии +в ходе запланированных операций по сопровождению систем.</p> + +<p>Заслуживают внимания следующие изменения:</p> + + <p>Безопасные сокеты доменов Unix для временных postmaster-серверов, запущенных во время make + check (Ноа Миш)</p> + + <p>Любой локальный пользователь, имеющий доступ к файлу сокета, может подключиться как суперпользователь + начальной загрузки сервера, затем перейти к выполнению произвольного кода как + пользователь операционной системы, запускающий тест, что уже было ранее указано в + <a href="https://security-tracker.debian.org/tracker/CVE-2014-0067">CVE-2014-0067</a>. Данное изменение защищает от этих рисков, серверных + сокет помещается во временный подкаталог /tmp с режимом доступа 0700.</p> + +<p>8.4.22 является последним выпуском PostgreSQL ветки 8.4. Глобальная +группа разработки PostgreSQL более не будет выпускать новые версии этой ветки.</p> + +<p>Пользователям PostgreSQL 8.4 следует рассмотреть возможность обновления до более +новых выпусков PostgreSQL. Имеются следующие возможности:</p> + +<ul> +<li>Обновление до Debian 7 (Wheezy) и, соответственно, до postgresql-9.1.</li> + +<li><p>Использование репозитория apt.postgresql.org, в котором имеются пакеты для всех + активных веток PostgreSQL (от 9.0 до 9.4 в момент написания данной рекомендации).</p> + + <p>Для получения дополнительной информации об этом репозитории смотрите + <a href="https://wiki.postgresql.org/wiki/Apt">https://wiki.postgresql.org/wiki/Apt</a>.</p> + + <p>Вспомогательный сценарий для включения этого репозитория находится в + /usr/share/doc/postgresql-8.4/examples/apt.postgresql.org.sh.</p> +</li> +<li>Планируется, что версия LTS ветки 8.4 будет поддерживаться в течение всего жизненного + цикла squeeze-lts. Вероятнее всего обновления будут выходить по принципу <q>лучшее из возможного</q>. Пользователи + могут использовать эти обновления, но всё равно следует подумать над переходом на более новую + версию PostgreSQL в течение следующих нескольких месяцев.</li> +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете postgresql-8.4 версии 8.4.22-0+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-0019.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-0021.wml b/russian/lts/security/2014/dla-0021.wml new file mode 100644 index 00000000000..39c58fb6e76 --- /dev/null +++ b/russian/lts/security/2014/dla-0021.wml @@ -0,0 +1,30 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<ul> + <li>Использование привязанных failregex в фильтрах с целью избежать возможного отказа в обслуживании. Заплата + вручную перенесена из текущей ветки 0.8 (как + 0.8.13-29-g09b2016): + <ul> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7176">CVE-2013-7176</a>: postfix.conf — привязка спереди, ожидает + префикс "postfix/smtpd" в строке журнала</li> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7177">CVE-2013-7177</a>: cyrus-imap.conf — привязка спереди, + фильтр переработан таким образом, чтобы он имел один failregex</li> + <li>couriersmtp.conf — привязка на обеих сторонах</li> + <li>exim.conf — версии с привязкой спереди взяты из exim.conf + и exim-spam.conf</li> + <li>lighttpd-fastcgi.conf — версии с привязкой спереди взяты из suhosin.conf + (фильтр скопирован из версии для Wheezy)</li> + </ul></li> + <li>Перехват неудачных попыток входа по безопасным протоколам (imaps/pop3s) для cyrus-imap. + Регрессия появилась при усилении failregex в 0.8.11 (bd175f) + Ошибка Debian #755173</li> + <li>cyrus-imap: перехват попыток <q>пользователь не найден</q></li> +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете fail2ban версии 0.8.4-3+squeeze3</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-0021.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-0022.wml b/russian/lts/security/2014/dla-0022.wml new file mode 100644 index 00000000000..48f4945b788 --- /dev/null +++ b/russian/lts/security/2014/dla-0022.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что веб-интерфейс в CUPS, общей системе печати для +UNIX, неправильно выполняет проверку прав доступа к файлам rss и +файлам с указателями каталогов. Локальный злоумышленник может использовать данную проблему +для обхода ограничений прав доступа к файлам и считывать произвольные файлы, что может приводить +к повышению привилегий.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете cups версии 1.4.4-7+squeeze6</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-0022.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-100.wml b/russian/lts/security/2014/dla-100.wml new file mode 100644 index 00000000000..81e69994af4 --- /dev/null +++ b/russian/lts/security/2014/dla-100.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В mutt, текстовой программе просмотра почты, была обнаружена уязвимость. Специально +сформированный заголовок почтового сообщения может вызывать аварийную остановку mutt, что +приводит к отказу в обслуживании.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете mutt версии 1.5.20-9+squeeze4</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-100.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-101.wml b/russian/lts/security/2014/dla-101.wml new file mode 100644 index 00000000000..21d147e2be0 --- /dev/null +++ b/russian/lts/security/2014/dla-101.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Джош Дуарт из команды безопасности Google обнаружил переполнение динамической +памяти в JasPer, библиотеке для работы с файлами в формате JPEG-2000, +которое может приводить к отказу в обслуживании (аварийная остановка приложения) или +выполнению произвольного кода.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете jasper версии 1.900.1-7+squeeze2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-101.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-102.wml b/russian/lts/security/2014/dla-102.wml new file mode 100644 index 00000000000..511aa92a9e2 --- /dev/null +++ b/russian/lts/security/2014/dla-102.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В tcpdump, программе для анализа сетевого трафика для командной +строки, было обнаружено несколько уязвимостей. Эти уязвимости могут приводить к отказу +в обслуживании, утечкам чувствительной информации из памяти или потенциальному +выполнению произвольного кода.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете tcpdump версии 4.1.1-1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-102.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-103.wml b/russian/lts/security/2014/dla-103.wml new file mode 100644 index 00000000000..586522b676c --- /dev/null +++ b/russian/lts/security/2014/dla-103.wml @@ -0,0 +1,79 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное исправление безопасности было совместно подготовлено командами Debian Kernel, +Security и LTS, оно содержит стабильный выпуск основной ветки разработки, 2.6.32.64 (дополнительную +информацию смотрите по адресу <a href="https://lkml.org/lkml/2014/11/23/181">https://lkml.org/lkml/2014/11/23/181</a>). Оно исправляет +описанные ниже CVE. +<p><b>Внимание</b>: если вы используете варианты ядра для openvz, то учтите следующее: a) +мы не получили никакого отклика о них (хотя мы получили отклики для всех остальных вариантов) b) +поэтому до развёртывания ядра вам следует его протестировать, а также c) когда вы выполните тестирование, +сообщите о его результатах в список рассылки debian-lts@lists.debian.org.</p> + +<p>Если вы не используете варианты ядра для openvz, то всё равно учтите пункты b+c :-)</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6657">CVE-2012-6657</a> + +<p>Исправление функции sock_setsockopt, чтобы локальные пользователи не могли +вызывать отказ в обслуживании (аварийная остановка системы).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0228">CVE-2013-0228</a> + +<p>Исправление повышения привилегий XEN, что позволяет пользователям гостевых систем получать права +гостевых систем.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7266">CVE-2013-7266</a> + +<p>Исправление функции mISDN_sock_recvmsg, чтобы локальные пользователи не могли получить +чувствительную информацию из памяти ядра.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4157">CVE-2014-4157</a> + +<p>Платформа MIPS: предотвращение обхода ограничений PR_SET_SECCOMP локальными +пользователями.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4508">CVE-2014-4508</a> + +<p>Предотвращение вызова отказа в обслуживании (OOPS и аварийная остановка системы) +локальным пользователями в том случае, когда включен аудит системных вызовов.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4653">CVE-2014-4653</a> + +<p><a href="https://security-tracker.debian.org/tracker/CVE-2014-4654">CVE-2014-4654</a> +<a href="https://security-tracker.debian.org/tracker/CVE-2014-4655">CVE-2014-4655</a></p> + +<p>Исправление реализации управления ALSA для предотвращения вызова +отказа в обслуживании и получения чувствительной информации из памяти +ядра локальными пользователями.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4943">CVE-2014-4943</a> + +<p>Исправление PPPoL2TP, предотвращающее повышение привилегий локальными пользователями.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5077">CVE-2014-5077</a> + +<p>Предотвращение вызова отказа в обслуживании удалёнными пользователями +с помощью SCTP.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5471">CVE-2014-5471</a> + +<p><a href="https://security-tracker.debian.org/tracker/CVE-2014-5472">CVE-2014-5472</a></p> + +<p>Исправление функции parse_rock_ridge_inode_internal для предотвращения вызова отказа в +обслуживании локальными пользователями с помощью специально сформированных образов в формате iso9660.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9090">CVE-2014-9090</a> + +<p>Исправление функции do_double_fault для предотвращения вызова отказа в обслуживании +(паника) локальными пользователями.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете linux-2.6 версии 2.6.32-48squeeze9</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-103.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-104.wml b/russian/lts/security/2014/dla-104.wml new file mode 100644 index 00000000000..3af8d5adaef --- /dev/null +++ b/russian/lts/security/2014/dla-104.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Флориан Маури из ANSSI обнаружил уязвимость в pdns-recursor, +рекурсивном DNS-сервере: удалённый злоумышленник, управляющий +специально сформированными зонами или сервером, может влиять +на производительность pdns-recursor, что приводит к чрезмерному потреблению ресурсов и +потенциальному отказу в обслуживании.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете pdns-recursor версии 3.2-4+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-104.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-105.wml b/russian/lts/security/2014/dla-105.wml new file mode 100644 index 00000000000..6fd064ab9d1 --- /dev/null +++ b/russian/lts/security/2014/dla-105.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Джошуа Роджерс обнаружил уязвимость форматной строки в функции yyerror +в lib/cgraph/scan.l в Graphviz, наборе инструментов для рисования графиков с богатыми +функциональными возможностями. Злоумышленник может использовать эту уязвимость для аварийной остановки graphviz или +возможного выполнения произвольного кода.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете graphviz версии 2.26.3-5+squeeze3</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-105.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-106.wml b/russian/lts/security/2014/dla-106.wml new file mode 100644 index 00000000000..c3313b2ba57 --- /dev/null +++ b/russian/lts/security/2014/dla-106.wml @@ -0,0 +1,42 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В getmail4, программе для получения электронной почты, поддерживающей +POP3, IMAP4 и SDPS, было обнаружено несколько уязвимостей, которые позволяют +выполнять атаки по принципу человек-в-середине.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7273">CVE-2014-7273</a> + + <p>Реализация IMAP-через-SSL в getmail с версии 4.0.0 до версии 4.43.0 + не выполняет проверку сертификатов X.509 SSL-серверов, что позволяет + злоумышленникам подделывать серверы IMAP и получать чувствительную + информацию с помощью специально сформированного сертификата.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7274">CVE-2014-7274</a> + + <p>Реализация IMAP-через-SSL в getmail версии 4.44.0 не выполняет проверку + того, что имя узла сервера совпадает с именем домена в поле Common Name (CN) + сертификата X.509, что позволяет злоумышленникам + подделывать серверы IMAP и получать чувствительную + информацию с помощью специально сформированного сертификата от узнаваемого + авторитета.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7275">CVE-2014-7275</a> + + <p>Реализация POP3-через-SSL в getmail с версии 4.0.0 до версии 4.44.0 + не выполняет проверку сертификатов X.509 SSL-серверов, что позволяет + злоумышленникам подделывать серверы POP3 и получать чувствительную + информацию с помощью специально сформированного сертификата.</p> + +</ul> + +<p>В выпуске squeeze эти проблемы были исправлены путём импорта +новой версии из основной ветки разработки: 4.46.0-1~deb6u1. Обновлённый пакет +был подготовлен Осаму Аоки.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-106.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-107.wml b/russian/lts/security/2014/dla-107.wml new file mode 100644 index 00000000000..b6e815d99e9 --- /dev/null +++ b/russian/lts/security/2014/dla-107.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Флориан Маури из ANSSI обнаружил, что unbound, рекурсивная служба +разрешения DNS с функциями проверки и кеширования, уязвима к отказу в +обслуживании. Злоумышленник, создающий специальную зону и способный отправлять +запросы серверу, может ввести службу разрешения в +бесконечную серию делегаций, что приводит к истощению +ресурсов и чрезмерному использованию сети.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете unbound версии 1.4.6-1+squeeze4</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-107.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-108.wml b/russian/lts/security/2014/dla-108.wml new file mode 100644 index 00000000000..a77cdf69a9e --- /dev/null +++ b/russian/lts/security/2014/dla-108.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p>Ранее служба rpc.statd отправляла запросы SM_NOTIFY, используя тот же сокет, который использовался +для отправки вызовов ядру. Чтобы получить ответы от удалённых узлов, этот +сокет связывается с INADDR_ANY. Для того, чтобы предотвратить инъекцию нежелательных данных, этот сокет +следует привязывать к адресу обратной петли.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете nfs-utils версии 1:1.2.2-4squeeze3</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-108.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-109.wml b/russian/lts/security/2014/dla-109.wml new file mode 100644 index 00000000000..5c9a4abea8c --- /dev/null +++ b/russian/lts/security/2014/dla-109.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Джонатан Грей и Станислав Питуча обнаружили ошибку утверждения в +коде для грамматического разбора обёрнутых строк в LibYAML, быстрой библиотеке для +грамматического разбора и порождения YAML 1.1. Злоумышленник, способный загрузить специально сформированные данные в формате YAML +в приложение, использующее libyaml, может вызвать аварийную остановку этого приложения.</p> + +<p>Данное обновление исправляет эту уязвимость в копии библиотеки, встроенной в +пакет libyaml-libyaml-perl.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libyaml-libyaml-perl версии 0.33-1+squeeze4</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-109.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-110.wml b/russian/lts/security/2014/dla-110.wml new file mode 100644 index 00000000000..9c334aa1655 --- /dev/null +++ b/russian/lts/security/2014/dla-110.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Джонатан Грей и Станислав Питуча обнаружили ошибку утверждения в +способе выполнения грамматического разбора обёрнутых строк в LibYAML, быстрой библиотеке для грамматического +разбора и порождения YAML 1.1. Злоумышленник, способный загрузить специально сформированные данные в формате YAML +в приложение, использующее libyaml, может вызвать аварийную остановку этого приложения.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libyaml версии 0.1.3-1+deb6u5</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-110.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-111.wml b/russian/lts/security/2014/dla-111.wml new file mode 100644 index 00000000000..3629a0966b8 --- /dev/null +++ b/russian/lts/security/2014/dla-111.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В cpio были обнаружены многочисленные проблемы, включая переполнение +буфера и многочисленные разыменования NULL-указателя, которые приводят по меньшей мере +к отказу в обслуживании, а также могут приводить к выполнению нежелательного кода.</p> + +<p>Эти проблемы были исправлены в Debian 6 Squeeze в версии 2.11-4+deb6u1 путём +применения заплат из основной ветки разработки.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-111.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-112.wml b/russian/lts/security/2014/dla-112.wml new file mode 100644 index 00000000000..ea1b8be4766 --- /dev/null +++ b/russian/lts/security/2014/dla-112.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет отказ в обслуживании в BIND, сервере DNS.</p> + +<p>Используя специально сформированные зоны или собственный сервер, злоумышленник +может воспользоваться ошибкой в коде BIND 9, используемом для отслеживания делегирований +в службе доменных имён, что приводит к тому, что BIND отправляет неограниченное количество +запросов, пытаясь отслеживать делегирование.</p> + +<p>Это может приводить к истощению ресурсов и отказу в обслуживании (вплоть до +завершения процесса сервера named).</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете bind9 версии 9.7.3.dfsg-1~squeeze13</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-112.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-113.wml b/russian/lts/security/2014/dla-113.wml new file mode 100644 index 00000000000..85338535641 --- /dev/null +++ b/russian/lts/security/2014/dla-113.wml @@ -0,0 +1,29 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что bsd-mailx, реализация команды <q>mail</q>, +содержит неописанную в документации возможность, которая считает синтаксически корректные +адреса электронной почты командами командной оболочки, которые следует выполнить.</p> + +<p>Пользователи, которым нужна эта возможность, могут заново включить её, используя <q>expandaddr</q> в +соответствующем файле mailrc. Данное обновление удаляет устаревшую опцию +-T. Более старая уязвимость, <a href="https://security-tracker.debian.org/tracker/CVE-2004-2771">CVE-2004-2771</a>, уже +исправлена в пакете bsd-mailx для Debian.</p> + +<p>Заметьте, что данное обновление не приводит к удалению всех возможностей mailx +для выполнения команд. Сценарии, которые отправляет mail по адресам, +полученным из недоверенных источников (таким как веб-формы), должны использовать +разделитель "--" перед адресами электронной почты (что в данном обновлении +было исправлено), либо они должны быть изменены так, чтобы выполнялись команды +"mail -t" или "sendmail -i -t", которым бы адрес получателя передавался +в качестве части заголовка почтового сообщения.</p> + +<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в +версии 8.1.2-0.20100314cvs-1+deb6u1.</p> + +<p>Рекомендуется обновить пакеты bsd-mailx.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-113.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-114.wml b/russian/lts/security/2014/dla-114.wml new file mode 100644 index 00000000000..de60c5c1b4a --- /dev/null +++ b/russian/lts/security/2014/dla-114.wml @@ -0,0 +1,40 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Heirloom mailx, реализации команды <q>mail</q>, было обнаружено две +уязвимости:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2004-2771">CVE-2004-2771</a> + + <p>mailx интерпретирует метасимволы командной оболочки в определённых адресах + электронной почты.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7844">CVE-2014-7844</a> + + <p>Неожиданное свойство mailx состоит в трактовке синтаксически корректных адресов электронной + почты как команд командной оболочки, которые следует выполнить.</p> + +<p>Возможность выполнения команд командной оболочки может быть повторно включена с помощью +опции <q>expandaddr</q>.</p> + +<p>Заметьте, что данное обновление не приводит к удалению всех возможностей mailx +для выполнения команд. Сценарии, которые отправляет mail по адресам, +полученным из недоверенных источников (таким как веб-формы), должны использовать +разделитель "--" перед адресами электронной почты (что в данном обновлении +было исправлено), либо они должны быть изменены так, чтобы выполнялись команды +"mail -t" или "sendmail -i -t", которым бы адрес получателя передавался +в качестве части заголовка почтового сообщения.</p> + +</ul> + +<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в +версии 12.4-2+deb6u1.</p> + +<p>Рекомендуется обновить пакеты heirloom-mailx.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-114.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-115.wml b/russian/lts/security/2014/dla-115.wml new file mode 100644 index 00000000000..63d922e0f2b --- /dev/null +++ b/russian/lts/security/2014/dla-115.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + <p>Исправление проблемы XSS в ходе выполнения входа.</p> + + <p>Исправление аутентификации GOsa² на базовом сервере/серверах LDAP + через gosa-admin DN (#768509).</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете gosa +версии 2.6.11-3+squeeze3.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-115.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-116.wml b/russian/lts/security/2014/dla-116.wml new file mode 100644 index 00000000000..e2b5082deea --- /dev/null +++ b/russian/lts/security/2014/dla-116.wml @@ -0,0 +1,48 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В пакете ntp, реализации протокола сетевого времени, было обнаружено несколько +уязвимостей.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9293">CVE-2014-9293</a> + + <p>ntpd создаёт слабый ключ для внутреннего использования, ключ имеет полные + административные права. Злоумышленники могут использовать этот ключ + для изменения настроек ntpd (или для использования других уязвимостей).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9294">CVE-2014-9294</a> + + <p>Утилита ntp-keygen создаёт слабые ключи MD5 с недостаточной + энтропией.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9295">CVE-2014-9295</a> + + <p>ntpd содержит несколько переполнений буфера (связаны и со стеком, и с + данными), что позволяет удалённым аутентифицированным злоумышленникам аварийно завершать + работу ntpd или потенциально выполнять произвольный код.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9296">CVE-2014-9296</a> + + <p>Общая функция для выполнения грамматического разбора пакетов в ntpd неправильно + обрабатывает ошибки.</p></li> + +</ul> + +<p>По умолчанию настройки ntpd в Debian ограничивают доступ к локальной машине +(возможно, также и смежной сети в случае использования IPv6).</p> + +<p>Ключи, созданные явным образом с помощью "ntp-keygen -M", следует создать заново.</p>< + +<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в +версии 4.2.6.p2+dfsg-1+deb6u1.</p> + +<p>Рекомендуется обновить пакеты heirloom-mailx.</p> + +<p>Благодарим Флориана Ваймера за обновление безопасности для Red Hat.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-116.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-117.wml b/russian/lts/security/2014/dla-117.wml new file mode 100644 index 00000000000..817fdc42c19 --- /dev/null +++ b/russian/lts/security/2014/dla-117.wml @@ -0,0 +1,27 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3193">CVE-2011-3193</a> + + <p>Проверка на возможное возникновение переполнения буфера в Lookup_MarkMarkPos, которое может + вызвать аварийную остановку в этой функции при работе с определёнными шрифтами.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3194">CVE-2011-3194</a> + + <p>Исправление кода для чтения tiff так, чтобы он обрабатывал TIFFTAG_SAMPLESPERPIXEL для изображений, + использующих градации серого в качестве цветовой палитры. Код для чтения использует QImage::Format_Indexed8, но поскольку значение + образцов на пиксель должно быть (несуществующим) QImage::Format_Indexed16, + то это приводит к повреждению содержимого памяти. Исправление представляет собой откат к <q>нормальному</q> способу + чтения изображений tiff.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете qt4-x11 версии 4:4.6.3-4+squeeze2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-117.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-118.wml b/russian/lts/security/2014/dla-118.wml new file mode 100644 index 00000000000..59ce7b5b724 --- /dev/null +++ b/russian/lts/security/2014/dla-118.wml @@ -0,0 +1,45 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Загрузка выполнена не сопровождающим, а командами Squeeze LTS и Kernel.</p> + +<p>Новый стабильный выпуск основной ветки разработки, 2.6.32.65, дополнительную информацию +смотрите по адресу <a href="http://lkml.org/lkml/2014/12/13/81">http://lkml.org/lkml/2014/12/13/81</a>.</p> + +<p>Стабильный выпуск 2.6.32.65 включает в себя следующие новые коммиты по сравнению +с предыдущим пакетом 2.6.32-48squeeze9:</p> + +<ul> + <li>USB: whiteheat: добавление проверок границ массива для ответа команды bulk + (<a href="https://security-tracker.debian.org/tracker/CVE-2014-3185">CVE-2014-3185</a>)</li> + <li>net: sctp: исправление паники при дублирующих порциях ASCONF (<a href="https://security-tracker.debian.org/tracker/CVE-2014-3687">CVE-2014-3687</a>)</li> + <li>net: sctp: исправление удалённого чрезмерного потребления памяти из-за больших очередей + (<a href="https://security-tracker.debian.org/tracker/CVE-2014-3688">CVE-2014-3688</a>)</li> + <li>udf: избегание бесконечного цикла при обработке непрямых ICB (<a href="https://security-tracker.debian.org/tracker/CVE-2014-6410">CVE-2014-6410</a>)</li> + <li>net: sctp: исправление разыменования NULL-указателя в af->from_addr_param при + получении некорректного пакета (<a href="https://security-tracker.debian.org/tracker/CVE-2014-7841">CVE-2014-7841</a>)</li> + <li>mac80211: исправление фрагментации кода, особенно для шифрования + (<a href="https://security-tracker.debian.org/tracker/CVE-2014-8709">CVE-2014-8709</a>)</li> + <li>ttusb-dec: переполнение буфера в ioctl (<a href="https://security-tracker.debian.org/tracker/CVE-2014-8884">CVE-2014-8884</a>)</li> +</ul> + +<p>Рекомендуется обновить пакеты linux-2.6.</p> + +<p>Приносим извинения за небольшой косметический дефект:</p> + +<p>Следующие коммиты уже включены в 2.6.32-48squeeze9, хотя +в файле debian/changelog указано, что они исправлены только в 2.6.32-48squeez10:</p> + +<ul> + <li>vlan: не передавать изменения флагов по интерфейсам.</li> + <li>sctp: исправление двойного освобождения памяти, появившегося из-за неправильной адаптации исправления в 2.6.32.62</li> + <li>md/raid6: исправление неправильно применённой заплаты в 2.6.32.64</li> + <li>block: добавление отсутствующих проверок blk_queue_dead()</li> + <li>block: исправление обработки функцией blk_execute_rq_nowait() <q>мёртвых</q> очередей</li> + <li>proc connector: удаление фиктивного значения memset в proc_exit_connector()</li> +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-118.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-119.wml b/russian/lts/security/2014/dla-119.wml new file mode 100644 index 00000000000..2da26a51aea --- /dev/null +++ b/russian/lts/security/2014/dla-119.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Евгений Котков обнаружил разыменование NULL-указателя, возникающее в процессе +обработки запросов REPORT в mod_dav_svn, компоненте Subversion, используемом для +обслуживания репозиториев при помощи веб-сервера Apache. Удалённый злоумышленник +может использовать эту уязвимость для вызова отказа в обслуживании.</p> + +<p>Рекомендуется обновить пакеты subversion.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете subversion версии 1.6.12dfsg-7+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-119.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-120.wml b/russian/lts/security/2014/dla-120.wml new file mode 100644 index 00000000000..6dc23927c73 --- /dev/null +++ b/russian/lts/security/2014/dla-120.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данная рекомендация была заменена на <a href="../2015/dla-120">DLA-120-2</a>. +Ниже приводится текст оригинальной рекомендации.</p> + +<p>Илья ван Шпрундель из IOActive обнаружил несколько проблем безопасности в +X-сервере X.org, которые могут приводить к повышению привилегий или отказу +в обслуживании.</p> + +<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в +версии 2:1.7.7-18+deb6u1.</p> + +<p>Рекомендуется обновить пакеты xorg-server.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-120.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-121.wml b/russian/lts/security/2014/dla-121.wml new file mode 100644 index 00000000000..dbac45fd7b4 --- /dev/null +++ b/russian/lts/security/2014/dla-121.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Хосе Дуарт из команды безопасности Google обнаружил двойное освобождение памяти +(<a href="https://security-tracker.debian.org/tracker/CVE-2014-8137">CVE-2014-8137</a>) и переполнение динамической памяти (<a href="https://security-tracker.debian.org/tracker/CVE-2014-8138">CVE-2014-8138</a>) +в JasPer, библиотеке для работы с файлами в формате JPEG-2000. Специально +сформированный файл может вызвать аварийную остановку приложения, использующего JasPer, или +возможное выполнение произвольного кода.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете jasper версии 1.900.1-7+squeeze3</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-121.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-122.wml b/russian/lts/security/2014/dla-122.wml new file mode 100644 index 00000000000..d1d6d65e261 --- /dev/null +++ b/russian/lts/security/2014/dla-122.wml @@ -0,0 +1,11 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Избежание бесконечного цикла в nss_dns getnetbyname [BZ #17630]</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете eglibc версии 2.11.3-4+deb6u3</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-122.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-123.wml b/russian/lts/security/2014/dla-123.wml new file mode 100644 index 00000000000..7758632d7de --- /dev/null +++ b/russian/lts/security/2014/dla-123.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Применение заплаты из ревизии 60322 из основной ветки разработки, которая исправляет +аварийную остановку из-за неаутентифицированного удалённого разыменования null-указателя.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете firebird2.5 версии 2.5.0.26054~ReleaseCandidate3.ds2-1+squeeze2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-123.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-124.wml b/russian/lts/security/2014/dla-124.wml new file mode 100644 index 00000000000..c5ff1aefb7c --- /dev/null +++ b/russian/lts/security/2014/dla-124.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Мишель Спагнуоло из команды безопасности Google обнаружил, что unzip, +утилита для распаковки архивов в формате .zip, содержит +переполнения динамической памяти в функции проверки CRC32 +(<a href="https://security-tracker.debian.org/tracker/CVE-2014-8139">CVE-2014-8139</a>), функции test_compr_eb() (<a href="https://security-tracker.debian.org/tracker/CVE-2014-8140">CVE-2014-8140</a>) и функции +getZip64Data() (<a href="https://security-tracker.debian.org/tracker/CVE-2014-8141">CVE-2014-8141</a>), что может приводить к выполнению +произвольного кода.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете unzip версии 6.0-4+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-124.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-125.wml b/russian/lts/security/2014/dla-125.wml new file mode 100644 index 00000000000..17b95bd46d4 --- /dev/null +++ b/russian/lts/security/2014/dla-125.wml @@ -0,0 +1,18 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Тимоти Морган обнаружил, что run-mailcap, утилита для выполнения +программ с помощью записей в файле mailcap, уязвима к инъекции команд +командной оболочки через метасимволы командной оболочки в именах файлов. При определённых +обстоятельствах эта уязвимость может позволить злоумышленнику удалённо выполнить произвольный код.</p> + +<p>В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в +версии 3.48-1+deb6u1.</p> + +<p>Рекомендуется обновить пакеты mime-support.</p> + +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-125.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-126.wml b/russian/lts/security/2014/dla-126.wml new file mode 100644 index 00000000000..ce10e382bce --- /dev/null +++ b/russian/lts/security/2014/dla-126.wml @@ -0,0 +1,23 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Заплаты для ряда уязвимостей:</p> +<ul> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9380">CVE-2014-9380</a> (Buffer over-read)</li> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9381">CVE-2014-9381</a> (Signedness error)</li> +</ul> +<p>Смотрите: <a href="https://www.obrela.com/home/security-labs/advisories/osi-advisory-osi-1402/">https://www.obrela.com/home/security-labs/advisories/osi-advisory-osi-1402/</a> + Заплаты из основной ветки разработки</p> +<ul> +<li>6b196e011fa456499ed4650a360961a2f1323818 pull/608</li> +<li>31b937298c8067e6b0c3217c95edceb983dfc4a2 pull/609</li> +</ul> +<p>Благодарим Ника Сэмпэниса, который нашёл + и исправил эти проблемы.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете ettercap версии 1:0.7.3-2.1+squeeze2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-126.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-17.wml b/russian/lts/security/2014/dla-17.wml new file mode 100644 index 00000000000..3a1d279d33b --- /dev/null +++ b/russian/lts/security/2014/dla-17.wml @@ -0,0 +1,24 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Версия Tor, которая ранее была в составе Debian squeeze, 0.2.2.39, более +не поддерживается основной веткой разработки.</p> + +<p>Данное обновление добавляет в Debian squeeze текущую стабильную +версию Tor, 0.2.4.23.</p> + +<p>Среди изменений можно указать использование более стойких примитивов шифрования, +выполнение очистки сверхбольших чисел до их освобождения с целью избежать ситуаций, когда часть материала ключа +оставалась в памяти, снижение риска для ряда векторов, связанных с возможностью компоновки, например, путём отключения +кеширования DNS на стороне клиента, добавление ключей авторитетов, которые потенциально +были скомпрометированы атакой heartbleed, обновление списка авторитетов +и многое другое.</p> + +<p>Рекомендуется обновить пакеты tor.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете tor версии 0.2.4.23-1~deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-17.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-20.wml b/russian/lts/security/2014/dla-20.wml new file mode 100644 index 00000000000..256c2bb8b23 --- /dev/null +++ b/russian/lts/security/2014/dla-20.wml @@ -0,0 +1,23 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>[ Кристоф Бидль ]</p> +<ul> +<li>munin-node: более безопасная работа с файлом состояний, добавление нового корневого каталога состояний + дополнений, владельцем которого является пользователь с идентификатором 0. Теперь каждое дополнение с UID запускается в собственном + каталоге состояний дополнения, владельцем которого является этот UID. (Закрывает ошибку #684075), + (Закрывает ошибку #679897), закрывает <a href="https://security-tracker.debian.org/tracker/CVE-2012-3512">CVE-2012-3512</a>.</li> +<li>plugins: использование переменной времени исполнения $ENV{MUNIN_PLUGSTATE}. Все правильно записанные + дополнения теперь будут использовать /var/lib/munin-node/plugin-state/$uid/$some_file, сообщайте о дополнениях, которые + используют /var/lib/munin/plugin-state/, поскольку это может быть опасно с точки зрения безопасности!</li> +<li>Не прерывать сбор данных для ноды из-за вредоносной ноды, исправляет + munin#1397, <a href="https://security-tracker.debian.org/tracker/CVE-2013-6048">CVE-2013-6048</a>.</li> +<li>Проверка имени дополнения multigraph, <a href="https://security-tracker.debian.org/tracker/CVE-2013-6359">CVE-2013-6359</a>.</li> +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете munin версии 1.4.5-3+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-20.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-23.wml b/russian/lts/security/2014/dla-23.wml new file mode 100644 index 00000000000..8de4519f034 --- /dev/null +++ b/russian/lts/security/2014/dla-23.wml @@ -0,0 +1,36 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1741">CVE-2013-1741</a> + + <p>Отключение memset при грамматическом разборе сертификата на 64-битных компьютерах, приводящее + к аварийной остановке при попытке записать 4ГБ нулей.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-5606">CVE-2013-5606</a> + + <p>Проверка сертификата в режиме verifylog не возвращает + ошибки проверки, но ожидает, что приложения сами определят + статус проверки, просматривая журнал.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1491">CVE-2014-1491</a> + + <p>Обход механизмов защиты обработки билетов из-за отсутствия + ограничений публичных значений при обмене ключами по алгоритму Диффи-Хеллмана.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1492">CVE-2014-1492</a> + + <p>Некорректный подбор имени домена IDNA под шаблон сертификатов может + привести к тому, что специально сформированные некорректные сертификаты будут считаться + корректными.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете nss версии 3.12.8-1+squeeze8</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-23.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-24.wml b/russian/lts/security/2014/dla-24.wml new file mode 100644 index 00000000000..4fac260c391 --- /dev/null +++ b/russian/lts/security/2014/dla-24.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что poppler не возвращает исполнение программы +библиотеке libjpeg в случае возникновения ошибок, что приводит к аварийной +остановке приложения, использующего указанную библиотеку, и потенциальному выполнению кода.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете poppler версии 0.12.4-1.2+squeeze4</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-24.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-25.wml b/russian/lts/security/2014/dla-25.wml new file mode 100644 index 00000000000..656bb977e20 --- /dev/null +++ b/russian/lts/security/2014/dla-25.wml @@ -0,0 +1,34 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В обновлении DLA-25-1 для python2.6 была обнаружена регрессия, +которая может приводить к тому, что приложения на языке Python прерываются в том случае, если они работают во время +выполнения обновления, но ещё не импортировали модуль 'os', то же самое происходит и после +выполнения обновления. Данное обновление исправляет этот сценарий обновления.</p> + +<p>Ниже приводится изначальный текст рекомендации.</p> + +<p>В python2.6 были обнаружены многочисленные уязвимости. Наиболее +важны из них следующие:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4238">CVE-2013-4238</a> + + <p>Некорректная обработка NUL-байтов в сертификатах имён узлов может позволить + выполнять подделку сервера с помощью специально сформированных сертификатов, подписанных + доверенным авторитетом.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1912">CVE-2014-1912</a> + + <p>Переполнение буфера в socket.recvfrom_into, приводящее к аварийной остановке + приложения и возможному выполнению кода.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете python2.6 версии 2.6.6-8+deb6u2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-25.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-26.wml b/russian/lts/security/2014/dla-26.wml new file mode 100644 index 00000000000..a61df929809 --- /dev/null +++ b/russian/lts/security/2014/dla-26.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что python-scipy неправильно обрабатывает временные +каталоги, что может позволить выполнить произвольный код.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете python-scipy версии 0.7.2+dfsg1-1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-26.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-27.wml b/russian/lts/security/2014/dla-27.wml new file mode 100644 index 00000000000..2da62515367 --- /dev/null +++ b/russian/lts/security/2014/dla-27.wml @@ -0,0 +1,57 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Исправление различных атак, направленных на вызов отказа в обслуживании:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3487">CVE-2014-3487</a> + + <p>Функция cdf_read_property_info неправильно выполняет проверку отступа + потока, что позволяет удалённым злоумышленникам вызывать отказ в обслуживании + (аварийная остановка приложения) с помощью специально сформированного файла в формате CDF.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3480">CVE-2014-3480</a> + + <p>Функция cdf_count_chain в cdf.c неправильно выполняет проверку + данных о числе секторов, что позволяет удалённым злоумышленникам вызывать отказ + в обслуживании (аварийная остановка приложения) с помощью специально сформированного файла в формате CDF.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3479">CVE-2014-3479</a> + + <p>Функция cdf_check_stream_offset в cdf.c использует неправильные + данные о размере сектора, что позволяет удалённым злоумышленникам вызывать отказ в обслуживании + (аварийная остановка приложения) с помощью специально сформированного отступа потока в файле CDF.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3478">CVE-2014-3478</a> + + <p>Отказ в обслуживании в функции mconvert в softmagic.c позволяет удалённым + злоумышленникам вызывать отказ в обслуживании (аварийная остановка приложения) с помощью специально + сформированной строки на языке Pascal при преобразовании FILE_PSTRING.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0238">CVE-2014-0238</a> + + <p>Функция cdf_read_property_info в cdf.c позволяет удалённым злоумышленникам + вызывать отказ в обслуживании (бесконечный цикл или доступ за границы выделенного буфера памяти) с помощью + вектора, который (1) имеет нулевую длину, либо (2) слишком длинный.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0237">CVE-2014-0237</a> + + <p>Функция cdf_unpack_summary_info в cdf.c позволяет удалённым злоумышленникам + вызывать отказ в обслуживании (ухудшение производительности) путём выполнения большого + количества вызовов file_printf.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0207">CVE-2014-0207</a> + + <p>Функция cdf_read_short_sector в cdf.c позволяет удалённым злоумышленникам + вызывать отказ в обслуживании (ошибка утверждения или завершение приложения) с помощью + специально сформированного файла в формате CDF.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете file версии 5.04-5+squeeze6</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-27.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-28.wml b/russian/lts/security/2014/dla-28.wml new file mode 100644 index 00000000000..a8f25122a20 --- /dev/null +++ b/russian/lts/security/2014/dla-28.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В augeas были обнаружены многочисленные состояния гонки при сохранении +файлов настроек, что делает augeas уязвимым к атакам через символьные ссылки. +Злоумышленнику требуется доступ для записи к каталогу, в котором +расположены файлы настройки.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете augeas версии 0.7.2-1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-28.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-29.wml b/russian/lts/security/2014/dla-29.wml new file mode 100644 index 00000000000..8f1772a4e2a --- /dev/null +++ b/russian/lts/security/2014/dla-29.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что пакет puppet не ограничивает +права доступа и права владения для каталога /var/log/puppet, что +может приводить к раскрытию чувствительной информации.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете puppet версии 2.6.2-5+squeeze10</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-29.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-30.wml b/russian/lts/security/2014/dla-30.wml new file mode 100644 index 00000000000..792178be6f1 --- /dev/null +++ b/russian/lts/security/2014/dla-30.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Сотрудники CESG обнаружили состояние гонки в acpi-support, которое может +позволить непривилегированному пользователю выполнить произвольный код от лица +другого пользователя, включая суперпользователя.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете acpi-support версии 0.137-5+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-30.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-31.wml b/russian/lts/security/2014/dla-31.wml new file mode 100644 index 00000000000..d3a4b6dfab5 --- /dev/null +++ b/russian/lts/security/2014/dla-31.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Исправление <a href="https://security-tracker.debian.org/tracker/CVE-2014-0479">CVE-2014-0479</a>: выполнение произвольного кода в compare_versions. +Злоумышленник, выполняющий атаку по принципу человек-в-середине, может помещать метасимволы командной оболочки +в номер версии, что приводит к выполнению произвольного кода.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете reportbug версии 4.12.6+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-31.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-32.wml b/russian/lts/security/2014/dla-32.wml new file mode 100644 index 00000000000..a15593311b8 --- /dev/null +++ b/russian/lts/security/2014/dla-32.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p>Абхискек Арья обнаружил запись за пределами выделенного буфера памяти в функции cvt_t() +в библиотеке NetScape Portable Runtime Library, что может приводить к выполнению +произвольного кода.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете nspr версии 4.8.6-1+squeeze2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-32.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-33.wml b/russian/lts/security/2014/dla-33.wml new file mode 100644 index 00000000000..3585b7134dd --- /dev/null +++ b/russian/lts/security/2014/dla-33.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Подробное описание уязвимостей можно найти по следующему адресу: +<a href="https://www.openssl.org/news/secadv_20140806.txt">https://www.openssl.org/news/secadv_20140806.txt</a></p> + +<p>Важно, чтобы вы обновили пакет libssl0.9.8, а не только +пакет openssl.</p> + +<p>Все приложения, скомпонованные с openssl, следует перезапустить. Вы можете использовать +инструмент <q>checkrestart</q> из пакета debian-goodies для того, чтобы определить +программы, которые нужно перезапустить. Либо можно перезагрузить всю систему.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете openssl версии 0.9.8o-4squeeze17</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-33.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-34.wml b/russian/lts/security/2014/dla-34.wml new file mode 100644 index 00000000000..1290a343145 --- /dev/null +++ b/russian/lts/security/2014/dla-34.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p>Мартин Хольст Швенде обнаружил уязвимость в способе, используемом mod_security для обработки +порционных запросов. Удалённый злоумышленник может использовать эту уязвимость для обхода специальных +ограничений mod_security, что позволяет ему отправлять запросы, содержащие данные, которые должны были +бы удаляться mod_security.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libapache-mod-security версии 2.5.12-1+squeeze4</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-34.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-35.wml b/russian/lts/security/2014/dla-35.wml new file mode 100644 index 00000000000..0b471abaff1 --- /dev/null +++ b/russian/lts/security/2014/dla-35.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Исправление переполнения целых чисел в функции lzo1x_decompress_safe(), позволяющего вызывать +отказ в обслуживании или выполнение кода.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете lzo2 версии 2.03-2+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-35.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-36.wml b/russian/lts/security/2014/dla-36.wml new file mode 100644 index 00000000000..050adaec326 --- /dev/null +++ b/russian/lts/security/2014/dla-36.wml @@ -0,0 +1,11 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Отказ в обслуживании на серверах (и клиентах) с включённым GCM.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете polarssl версии 1.2.9-1~deb6u2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-36.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-37.wml b/russian/lts/security/2014/dla-37.wml new file mode 100644 index 00000000000..84c4f9b08e9 --- /dev/null +++ b/russian/lts/security/2014/dla-37.wml @@ -0,0 +1,54 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В krb5, реалиазации Kerberos от MIT, было обнаружено несколько +уязвимостей. Проект Common Vulnerabilities and Exposures определяет +следующие проблемы:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4341">CVE-2014-4341</a> + + <p>Неаутентифицированный удалённый злоумышленник, способный выполнять инъекцию + пакетов в корректно установленную сессию GSSAPI-приложения, + может вызывать аварийную остановку программы из-за неправильных указаний областей памяти при + попытке чтения за пределами выделенного буфера.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4342">CVE-2014-4342</a> + + <p>Неаутентифицированный удалённый злоумышленник, способный выполнять инъекцию + пакетов в корректно установленную сессию GSSAPI-приложения, + может вызывать аварийную остановку программы из-за неправильных указаний областей памяти при + чтении за пределами выделенного буфера или из-за разыменования + null-указателя.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4343">CVE-2014-4343</a> + + <p>Неаутентифицированный удалённый злоумышленник, способный подделывать пакеты так, что + они кажутся исходящими от принимающей стороны GSSAPI, может вызывать состояние двойного + освобождения памяти в инициаторах GSSAPI (клиентах), использующих механизм + SPNEGO, возвращая базовый механизм, отличный от + предложенного инициатором. Удалённый злоумышленник может использовать эту уязвимость + для вызова аварийной остановки приложения или потенциального выполнения произвольного кода.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4344">CVE-2014-4344</a> + + <p>Неаутентифицированный или частично аутентифицированный удалённый злоумышленник может + вызывать разыменование NULL-указателя и аварийную остановку приложения в ходе согласования + SPNEGO путём отправки пустого токена в качестве второго или последующего контекстного + токена от инициатора принимающей стороне.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4345">CVE-2014-4345</a> + + <p>Если kadmind настроен на использование LDAP для базы данных KDC, то + аутентифицированный удалённый злоумышленник может вызывать запись за + пределами выделенного буфера (переполнение буфера).</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете krb5 версии 1.8.3+dfsg-4squeeze8</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-37.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-38.wml b/russian/lts/security/2014/dla-38.wml new file mode 100644 index 00000000000..b3794405b24 --- /dev/null +++ b/russian/lts/security/2014/dla-38.wml @@ -0,0 +1,26 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5161">CVE-2014-5161</a>, + <a href="https://security-tracker.debian.org/tracker/CVE-2014-5162">CVE-2014-5162</a>: + + <p>Диссекторы Catapult DCT2000 и IrDA могут переполнить буфер. + Можно аварийно завершить работу Wireshark путём инъекции специально сформированного пакета в + сетевое соединение, либо убедив кого-то считать некорректный файл трассировки пакетов.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5163">CVE-2014-5163</a>: + + <p>Диссектор GSM Management может аварийно завершить работу. + Можно аварийно завершить работу Wireshark путём инъекции некорректного пакета в + сетевое соединение, либо убедив кого-то считать некорректный файл трассировки пакетов.</p></li> +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете wireshark версии 1.2.11-6+squeeze15</p> + +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-38.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-39.wml b/russian/lts/security/2014/dla-39.wml new file mode 100644 index 00000000000..1d29dbbd4f2 --- /dev/null +++ b/russian/lts/security/2014/dla-39.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Томас Трнки обнаружил переполнение динамической памяти в обработчике +статуса gpgsm в GPGME, библиотеке, разработанной для облегчения приложениям +обращений к GnuPG. Злоумышленник может использовать данную проблему для вызова +аварийной остановки приложения, использующего GPGME, (отказ в обслуживании) или возможного +выполнения произвольного кода.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете gpgme1.0 версии 1.2.0-1.2+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-39.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-40.wml b/russian/lts/security/2014/dla-40.wml new file mode 100644 index 00000000000..f709c1faf8c --- /dev/null +++ b/russian/lts/security/2014/dla-40.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Cacti, веб-интерфейсе для построения графиков систем мониторинга, были +обнаружены многочисленные проблемы безопасности (межсайтовый скриптинг, отсутствие очистки входных +данных и SQL-инъекции).</p> + +<p>Более того, исправление <a href="https://security-tracker.debian.org/tracker/CVE-2014-4002">CVE-2014-4002</a> в предыдущем обновлении безопасности +было приведено в соответствие с исправлением из основной ветки разработки, поскольку оно вызывало +регрессию у тех, кто использует систему дополнений.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете cacti версии 0.8.7g-1+squeeze5</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-40.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-41.wml b/russian/lts/security/2014/dla-41.wml new file mode 100644 index 00000000000..a3b624f3a0a --- /dev/null +++ b/russian/lts/security/2014/dla-41.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Эндрю Дрейк обнаружил, что отсутствие очистки входных данных в декодере icns +в библиотеке Python Imaging Library может приводить к отказу в обслуживании в случае +обработки специально сформированного изображения.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете python-imaging версии 1.1.7-2+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-41.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-42.wml b/russian/lts/security/2014/dla-42.wml new file mode 100644 index 00000000000..bf17db3726c --- /dev/null +++ b/russian/lts/security/2014/dla-42.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Сообщено об уязвимости в Debian Live, проекте создания <q>живых</q> систем. По +умолчанию <q>живые</q> образы содержат сервер SSH, который позволяет входить в систему, используя +имя пользователя и пароль по умолчанию. Данное исправление устанавливает PasswordAuthentication в /etc/ssh/sshd_config +в значение <q>no</q>.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете live-config версии 2.0.15-1.1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-42.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-43.wml b/russian/lts/security/2014/dla-43.wml new file mode 100644 index 00000000000..e558507b6d5 --- /dev/null +++ b/russian/lts/security/2014/dla-43.wml @@ -0,0 +1,35 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0475">CVE-2014-0475</a> + + <p>Стефан Чезалас обнаружил, что библиотека GNU C, glibc, обрабатывает + части пути ".." в переменных окружения, связанных с локалью, что может + позволить злоумышленникам обойти такие ограничения, как + ForceCommand в OpenSSH в том случае, если они могут передать специально подобранные + настройки локали.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5119">CVE-2014-5119</a> + + <p>Тэвис Орманди обнаружил переполнение динамической памяти в + модуле транслитерации для загрузки кода в eglibc, версии библиотеки GNU C + для Debian. В результате злоумышленник, который может передать специально сформированный + аргумент целевого набора символов функциям преобразования символов, связанным с + iconv, может выполнить произвольный код.</p> + + <p>Данное обновление удаляет поддержку загружаемых модулей транслитерации gconv. + Помимо этой уязвимости модуль загрузки кода содержал ошибки + функциональности, которые не позволяли ему выполнять те задачи, + для которых он создавался.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете eglibc версии 2.11.3-4+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-43.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-44.wml b/russian/lts/security/2014/dla-44.wml new file mode 100644 index 00000000000..a9018d8b5f0 --- /dev/null +++ b/russian/lts/security/2014/dla-44.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Исправление выполнения произвольного кода удалёнными злоумышленниками с помощью +специально сформированных документов в формате .WPD Wordperfect.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libwpd версии 0.8.14-1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-44.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-45.wml b/russian/lts/security/2014/dla-45.wml new file mode 100644 index 00000000000..0573fac5ca9 --- /dev/null +++ b/russian/lts/security/2014/dla-45.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p><a href="https://security-tracker.debian.org/tracker/CVE-2014-3609">CVE-2014-3609</a>: отказ в обслуживании при обработке заголовка Range.</p> + +<p>Теперь будут игнорироваться заголовки Range с неопределёнными значениями байтового диапазона. Если squid +не может определить байтовое значение для диапазонов, то такой заголовок считается +неправильным.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете squid3 версии 3.1.6-1.2+squeeze4</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-45.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-46.wml b/russian/lts/security/2014/dla-46.wml new file mode 100644 index 00000000000..673f032e5ff --- /dev/null +++ b/russian/lts/security/2014/dla-46.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Борис <q>pi</q> Пивингер и Тэвис Орманди сообщили о переполнении динамической +памяти в утилите formail из состава procmail, которое возникает при обработке +специально сформированных заголовков сообщений электронной почты. Удалённый злоумышленник может использовать +эту уязвимость для аварийной остановки formail, что приводит к отказу в обслуживании или +потере данных, либо потенциальному выполнению произвольного кода.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете procmail версии 3.22-19+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-46.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-47.wml b/russian/lts/security/2014/dla-47.wml new file mode 100644 index 00000000000..ff2693c0224 --- /dev/null +++ b/russian/lts/security/2014/dla-47.wml @@ -0,0 +1,11 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Исправление переполнение стека в функциях vararg.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете lua5.1 версии 5.1.4-5+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-47.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-48.wml b/russian/lts/security/2014/dla-48.wml new file mode 100644 index 00000000000..b23d3516132 --- /dev/null +++ b/russian/lts/security/2014/dla-48.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Исправление отказа в обслуживании, возникающего при обработке запросов зон с подписями NSEC3. +Проблема исправлена путём запрета вызова memcpy с пересекающимися отрезками в +bin/named/query.c. Заплата была перенесена из версии 9.8.6-P2 Марком Делури +из команды безопасности Ubuntu для USN-2081-1.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете bind9 версии 9.7.3.dfsg-1~squeeze12</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-48.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-49.wml b/russian/lts/security/2014/dla-49.wml new file mode 100644 index 00000000000..6ed5f623e22 --- /dev/null +++ b/russian/lts/security/2014/dla-49.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В ходе проверки EDF Рафаэль Гэйсье обнаружил, что +пакет acpi-support неправильно обрабатывает данные, полученные из +пользовательского окружения.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете acpi-support версии 0.137-5+deb6u2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-49.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-50.wml b/russian/lts/security/2014/dla-50.wml new file mode 100644 index 00000000000..6fd444cbc46 --- /dev/null +++ b/russian/lts/security/2014/dla-50.wml @@ -0,0 +1,33 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3538">CVE-2014-3538</a> + + <p>Утилита file неправильно ограничивает количество считываемых данных в ходе + поиска по регулярному выражению, что позволяет удалённым злоумышленникам вызывать + отказ в обслуживании (чрезмерное потребление ресурсов ЦП).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3587">CVE-2014-3587</a> + + <p>Переполнение целых чисел в функции cdf_read_property_info в + cdf.c позволяет удалённым злоумышленникам вызывать отказ в обслуживании + (аварийная остановка приложения).</p></li> + +</ul> + +<p><b>Внимание</b>: другие семь проблем для выпуска wheezy, исправленные в версии 5.11-2+deb7u4 +(<a href="./dsa-3021">DSA-3021-1</a>), уже были исправлены в версии 5.04-5+squeeze6 +(<a href="./dla-27">DLA 27-1</a>) в июле 2014 года. Кроме того, в качестве стороннего +эффекта этих изменений для некоторых файлов было улучшено определение MIME-типа +от значения "application/octet-stream" к чему-то более конкретному +вида "application/x-dosexec" или "application/x-iso9660-image".</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете file версии 5.04-5+squeeze7</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-50.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-51.wml b/russian/lts/security/2014/dla-51.wml new file mode 100644 index 00000000000..502e3790ce7 --- /dev/null +++ b/russian/lts/security/2014/dla-51.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Жан-Рене Рейнхард, Оливье Левилайн и Флориан Мари сообщили, что +GnuPG, GNU Privacy Guard, неправильно выполняет грамматический разбор определённых искажённых +сжатых пакетов данных. Удалённый злоумышленник может использовать эту уязвимость для вызова +отказа в обслуживании в GnuPG, заставляя программу войти в бесконечный цикл.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете gnupg2 версии 2.0.14-2+squeeze3</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-51.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-52.wml b/russian/lts/security/2014/dla-52.wml new file mode 100644 index 00000000000..d8930ae71eb --- /dev/null +++ b/russian/lts/security/2014/dla-52.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Пакеты ia32-libs и ia32-libs-gtk содержат 32-битные версии различных +библиотек для их использования на 64-битных системах. Данное обновление содержит все исправления +безопасности, которые были внесены в данные библиотеки с момента запуска Squeeze LTS.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакетах ia32-libs и ia32-libs-gtk версии 20140911</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-52.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-53.wml b/russian/lts/security/2014/dla-53.wml new file mode 100644 index 00000000000..d50afb1b50d --- /dev/null +++ b/russian/lts/security/2014/dla-53.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что APT, высокоуровневый менеджер пакетов, неправильно +выполняет проверку неаутентифицированных данных (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-0488">CVE-2014-0488</a>), +выполняет неправильную проверку ответов 304 (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-0487">CVE-2014-0487</a>) +и не выполняет проверку контрольных сумм при использовании опции Acquire::GzipIndexes +(<a href="https://security-tracker.debian.org/tracker/CVE-2014-0489">CVE-2014-0489</a>).</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете apt версии 0.8.10.3+squeeze3</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-53.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-54.wml b/russian/lts/security/2014/dla-54.wml new file mode 100644 index 00000000000..64d40dc24a2 --- /dev/null +++ b/russian/lts/security/2014/dla-54.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Генкин, Пипман и Тромер обнаружили атаку через сторонний канал на подключи шифрования +Elgamal (<a href="https://security-tracker.debian.org/tracker/CVE-2014-5270">CVE-2014-5270</a>).</p> + +<p>Кроме того, данное обновление делает поведение GnuPG при интерпретации ответов серверов +ключей более строгим; GnuPG теперь фильтрует ответы серверов ключей с целью принятия только тех +идентификаторов ключей, которые фактически были запрошены пользователем.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете gnupg версии 1.4.10-4+squeeze6</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-54.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-55.wml b/russian/lts/security/2014/dla-55.wml new file mode 100644 index 00000000000..a4bda933be3 --- /dev/null +++ b/russian/lts/security/2014/dla-55.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Антуан Делине-Лаво обнаружил, что можно повторно использовать сессии SSL +в несвязанных контекстах в случае разделяемого кеша SSL-сессий или использования того же +билетного ключа TLS-сессии для нескольких <q>серверных</q> блоков.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете nginx версии 0.7.67-3+squeeze4</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-55.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-56.wml b/russian/lts/security/2014/dla-56.wml new file mode 100644 index 00000000000..822b7784a68 --- /dev/null +++ b/russian/lts/security/2014/dla-56.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Wordpress, инструменте для ведения блога, были обнаружены многочисленные +проблемы безопасности, которые приводят к отказу в обслуживании или раскрытию информации.</p> + +<p>Дополнительную информацию можно найти в рекомендации основной ветки разработки по адресу +<a href="https://wordpress.org/news/2014/08/wordpress-3-9-2/">https://wordpress.org/news/2014/08/wordpress-3-9-2/</a></p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете wordpress версии 3.6.1+dfsg-1~deb6u5</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-56.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-57.wml b/russian/lts/security/2014/dla-57.wml new file mode 100644 index 00000000000..1a28a77a688 --- /dev/null +++ b/russian/lts/security/2014/dla-57.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что отсутствие проверок доступа в объекте Struts ActionForm object +может приводить к выполнению произвольного кода. Данное обновление исправляет эту +проблему.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libstruts1.2-java версии 1.2.9-4+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-57.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-58.wml b/russian/lts/security/2014/dla-58.wml new file mode 100644 index 00000000000..5bf83c83215 --- /dev/null +++ b/russian/lts/security/2014/dla-58.wml @@ -0,0 +1,34 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет регрессию, появившуюся в версии 0.8.10.3+squeeze5, +которая состоит в том, что apt при отправке запросов If-Range отправляет неправильные HTTP-запросы.</p> + +<p>Ниже приводится изначальная рекомендация.</p> + +<p>Команда безопасности Google обнаружила переполнение буфера в +коде HTTP-транспорта в apt-get. Злоумышленник, способный путём атаки по +принципу человек-в-середине осуществить HTTP-запрос к репозиторию apt, может +вызвать переполнение буфера, приводящее к аварийной остановке метода <q>http</q> в apt или +к потенциальному выполнению произвольного кода.</p> + +<p>В настоящее обновление включены следующие исправления регрессий:</p> + + <p>* Исправление регрессии из предыдущего обновления в <a href="dla-53">DLA-53-1</a>, + когда опция настройки apt Dir::state::lists устанавливалась в значение + относительного пути (#762160).</p> + + <p>* Исправление регрессии в обработке повторной проверки источников cdrom:, что + может приводить к предупреждениям о неправильных контрольных суммах. Пользователям, у которых проявляется + эта проблема, следует снова выполнить "apt-cdrom add" после установки данного обновления.</p> + + <p>* Исправление регрессии из предыдущего обновления в <a href="dla-53">DLA-53-1</a>, + когда используются источники file:///, находящиеся на разделе, отличающемся от + каталога состояния apt.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете apt версии 0.8.10.3+squeeze6</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-58.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-59.wml b/russian/lts/security/2014/dla-59.wml new file mode 100644 index 00000000000..0bdb8f9f413 --- /dev/null +++ b/russian/lts/security/2014/dla-59.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p>Стефан Шазелас обнаружил уязвимость в bash, GNU +Bourne-Again Shell, связанную с тем, как обрабатываются переменные +окружения. При многих привычных настройках эта уязвимость может +использоваться по сети, в особенности в том случае, если bash выбран +в качестве командной оболочки по умолчанию.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете bash версии 4.1-3+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-59.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-60.wml b/russian/lts/security/2014/dla-60.wml new file mode 100644 index 00000000000..35451072a7b --- /dev/null +++ b/russian/lts/security/2014/dla-60.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Два исправления для классического интерфейса пользователя:</p> +<ul> + <li>исправление ошибки на единицу при доступе к памяти в функции process_cgivars() (<a href="https://security-tracker.debian.org/tracker/CVE-2013-7108">CVE-2013-7108</a>)</li> + <li>предотвращение возможных переполнений буфера в cmd.cgi (<a href="https://security-tracker.debian.org/tracker/CVE-2014-1878">CVE-2014-1878</a>)</li> +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете icinga версии 1.0.2-2+squeeze2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-60.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-61.wml b/russian/lts/security/2014/dla-61.wml new file mode 100644 index 00000000000..133296f16c2 --- /dev/null +++ b/russian/lts/security/2014/dla-61.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Применение исправления для <a href="https://security-tracker.debian.org/tracker/CVE-2014-5269">CVE-2014-5269</a>: функция Plack::App::File ранее удаляла +косые черты в концах передаваемых путей. При определённых обстоятельствах это может приводить +к случайное передаче файлов. Подробности смотрите по адресу +<a href="https://github.com/plack/Plack/pull/446">https://github.com/plack/Plack/pull/446</a> .</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libplack-perl версии 0.9941-1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-61.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-62.wml b/russian/lts/security/2014/dla-62.wml new file mode 100644 index 00000000000..fe35d002cc9 --- /dev/null +++ b/russian/lts/security/2014/dla-62.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Антуан Делинэ-Лаву из Inria обнаружил проблему в способе, используемом NSS +(библиотека Mozilla Network Security Service) для грамматического разбора данных ASN.1, +используемых в подписях, что делает эту библиотеку уязвимой к атаке через подделку подписи.</p> + +<p>Злоумышленник может сформировать данные ASN.1 для подделки сертификатов RSA, имеющих +корректную цепочку сертификатов к доверенному авторитету CA.</p> + +<p>Данное обновление исправляет указанную проблему в библиотеках NSS.</p> + +<p>Заметьте, что поддержка веб-браузера iceweasel, который также подвержен <a href="https://security-tracker.debian.org/tracker/CVE-2014-1568">CVE-2014-1568</a>, +в Squeeze(-LTS) прекращена, в нём эта ошибка исправлена не будет.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете nss версии 3.12.8-1+squeeze9</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-62.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-63.wml b/russian/lts/security/2014/dla-63.wml new file mode 100644 index 00000000000..30608c53293 --- /dev/null +++ b/russian/lts/security/2014/dla-63.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Тэвис Орманди обнаружил, что заплата, использованная для исправления <a href="https://security-tracker.debian.org/tracker/CVE-2014-6271">CVE-2014-6271</a> +и выпущенная в <a href="dla-59">DLA-59-1</a>, для bash, GNU Bourne-Again Shell, +оказалась неполной, что позволяет вводить некоторые символы в +другое окружение (<a href="https://security-tracker.debian.org/tracker/CVE-2014-7169">CVE-2014-7169</a>). Данное обновление добавляет к именам +переменных окружения, содержащих функции командной оболочки, префиксы и суффиксы с целью +защиты этих функций.</p> + +<p>Кроме того, было исправлено два случая обращения за пределы выделенного буфера памяти +в коде bash для выполнения грамматического разбора, которые были выявлены +в ходе внутреннего анализа в Red Hat на предмет наличия таких проблем, а +также были независимо обнаружены Тоддом Сабином.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете bash версии 4.1-3+deb6u2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-63.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-64.wml b/russian/lts/security/2014/dla-64.wml new file mode 100644 index 00000000000..f68866441c8 --- /dev/null +++ b/russian/lts/security/2014/dla-64.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p><a href="https://security-tracker.debian.org/tracker/CVE-2014-3613">CVE-2014-3613</a></p> + + <p>Из-за отсутствия определения и отклонения доменных имён для частичных буквенных + IP адресов при выполнении грамматического разбора получаемых HTTP-куки, libcurl можно + заставить отправить куки неправильным сайтам, а также позволить + произвольным сайтам устанавливать куки для других сайтов.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете curl версии 7.21.0-2.1+squeeze9</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-64.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-65.wml b/russian/lts/security/2014/dla-65.wml new file mode 100644 index 00000000000..3b666e4879e --- /dev/null +++ b/russian/lts/security/2014/dla-65.wml @@ -0,0 +1,93 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет проблему с функцией reverse(), порождающей внешние URL; +отказ в обслуживании, касающийся загрузок файлов; потенциальное хищение сессии +с помощью удалённого ПО промежуточного уровня; утечку данных в интерфейсе +администратора.</p> + +<p>Данное обновление создано благодаря спонсорам Debian LTS: +<a href="http://www.freexian.com/services/debian-lts.html">http://www.freexian.com/services/debian-lts.html</a></p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0480">CVE-2014-0480</a> + + <p>Django включает в себя вспомогательную функцию django.core.urlresolvers.reverse, + обычно используемую для создания URL из ссылки на функцию вида или + имя шаблона URL. Тем не менее, если ей переданы входные данные, начинающиеся с двух + косых черт (//), то reverse() создаёт относительные (относительно схемы) URL + к другим узлам, что позволяет злоумышленнику, которому известно о небезопасном использовании + функции reverse() (например, в ситуации, когда конечный пользователь может управлять целью + перенаправления), создавать ссылки на сайты по его + выбору, что позволяет выполнять выуживание и другие виды атак.</p> + + <p>Для исправления этой проблемы при преобразовании URL теперь выполняется проверка того, что URL не начинается с + двух косых черт (//), а также замена второй косой черты на закодированный эквивалент + (%2F). Такой подход гарантирует, что семантика остаётся той же, а + URL создаются относительно домена, а не относительно схемы.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0481">CVE-2014-0481</a> + + <p>При настройках по умолчанию, когда система Django для обработки загрузки файлов + получает файл, который должен иметь путь и имя, совпадающие с уже существующим + файлом, то делается попытка создать новое уникальное имя файла путём добавления + символа подчёркивания и целого числа в конце (сохраняемого на диск) + имени файла, при этом число увеличивается (например, _1, _2 и т. д.) до тех пор, пока + не будет создано такое имя файла, которое не вступает в конфликт с уже существующими файлами.</p> + + <p>Злоумышленник может использовать последовательное поведение кода для + создания имени файла, загрузив множество небольших файлов, имеющих одно и то же + имя; в ходе их обработки Django порождает увеличивающееся число + вызовов os.stat() в попытке создания уникального имени файла. + В результате даже относительно небольшое число таких загрузок может + существенно снизить производительность системы.</p> + + <p>Для исправления этой проблемы система загрузки файлов в Django более не использует последовательные + имена с целыми числами для того, чтобы не происходили конфликты на диске; вместо этого к имени файла + добавляется короткая случайная строка с числами и буквами, что не позволяет использовать + создание множества конфликтующих имён файлов.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0482">CVE-2014-0482</a> + + <p>Django содержит ПО промежуточного уровня, django.contrib.auth.middleware.RemoteUserMiddleware, + а на движке аутентификации — django.contrib.auth.backends.RemoteUserBackend, + которое использует заголовок REMOTE_USER для целей аутентификации.</p> + + <p>При некоторых обстоятельствах использование этого ПО промежуточного уровня и этого движка может приводить к + тому, что один пользователь получает сессию другого пользователя в случае изменения заголовка REMOTE_USER + без соответствующих действий по входу/выходу.</p> + + <p>Для исправления этой проблемы ПО промежуточного уровня выполняет проверку того, что изменение + REMOTE_USER без явного выполнения выхода обязательно приводит к выходу и последующей + процедуре входа до момента принятия нового REMOTE_USER.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0483">CVE-2014-0483</a> + + <p>Интерфейс администратора Django, django.contrib.admin, предлагает возможность, + посредством которой связанные объекты могут отображаться во всплывающем окне для их выбора. + Этот механизм основывается на помещении значений в URL и строку запроса, + которые определяют связанную модель для отображения, а также поле, через которое + реализуется данное отношение. Этот механизм выполняет проверки прав доступа + на уровне класса модели как целого.</p> + + <p>Тем не менее, этот механизм не выполняет проверку того, что указанное поле представляет + отношение между моделями. Таким образом, пользователь, имеющий доступ к + интерфейсу администратора, а также достаточные знания структуры модели и соответствующих + URL, может построить всплывающие виды, которые будут отображать + значения несвязанных полей, включая поля, которые не предназначаются + разработчиком приложения для показа в таком виде.</p> + + <p>Для исправления этой проблемы в интерфейсе администратора в дополнение к обычным + проверкам прав доступа выполняются проверки того, что конкретное поле представляет + отношение к модели, связанной с администратором, и вызывает + исключение в том случае, если одно из условий не выполняется.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете python-django версии 1.2.3-3+squeeze11</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-65.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-66.wml b/russian/lts/security/2014/dla-66.wml new file mode 100644 index 00000000000..653dcf4a56e --- /dev/null +++ b/russian/lts/security/2014/dla-66.wml @@ -0,0 +1,22 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0231">CVE-2014-0231</a>: +<p>предотвращение отказа в обслуживании в mod_cgid.</p></li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0226">CVE-2014-0226</a>: +<p>предотвращение отказа в обслуживании из-за состояния гонки в mod_status.</p></li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0118">CVE-2014-0118</a>: +<p>исправление потребления ресурсов при распаковке тела mod_deflate.</p></li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6438">CVE-2013-6438</a>: +<p>предотвращение отказа в обслуживании из-за некорректного конца строки в mod_dav</p></li> +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете apache2 версии 2.2.16-6+squeeze13</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-66.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-67.wml b/russian/lts/security/2014/dla-67.wml new file mode 100644 index 00000000000..861d95b343a --- /dev/null +++ b/russian/lts/security/2014/dla-67.wml @@ -0,0 +1,41 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3538">CVE-2014-3538</a> + + <p>Было обнаружено, что изначальное исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2013-7345">CVE-2013-7345</a> недостаточно + решает указанную проблему. Удалённый злоумышленник всё ещё может + вызвать отказ в обслуживании (чрезмерное потребление ресурсов ЦП) с помощью специально сформированного + входного файла, вызывающего перебор с возвратом в ходе обработки правила регулярных + выражений awk.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3587">CVE-2014-3587</a> + + <p>Было обнаружено, что код для грамматического разбора CDF в модуле fileinfo + неправильно обрабатывает некорректные файлы в формате Composite Document File + (CDF), что приводит к аварийным остановкам.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3597">CVE-2014-3597</a> + + <p>Было обнаружено, что изначальное исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2014-4049">CVE-2014-4049</a> не полностью + решает указанную проблему. Злоумышленник, управляющий сервером или выполняющий + атаку по принципу человек-в-середине, может вызывать отказ в обслуживании (аварийная остановка) + и возможное выполнение произвольного кода через специально сформированную TXT-запись DNS.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4670">CVE-2014-4670</a> + + <p>Было обнаружено, что PHP неправильно обрабатывает определённые итераторы + SPL. Локальный злоумышленник может использовать эту уязвимость для аварийной остановки + PHP, что приводит к отказу в обслуживании.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете php5 версии 5.3.3-7+squeeze22</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-67.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-68.wml b/russian/lts/security/2014/dla-68.wml new file mode 100644 index 00000000000..e8f4a70efaa --- /dev/null +++ b/russian/lts/security/2014/dla-68.wml @@ -0,0 +1,33 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<ul> +<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3875">CVE-2014-3875</a>] + + <p>При вставке закодированных символов новой строки в запрос к rup, + в ответ могут быть вставлены дополнительные заголовки HTTP, а также + новый код HTML в верхней части веб-сайта.</p></li> + +<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3876">CVE-2014-3876</a>] + <p>Параметр akey отражается нефильтрованным образом как часть страницы + HTML. Некоторые символы запрещено использовать в параметре GET из-за + фильтрации URL, но это ограничение можно обойти путём использования + параметра POST. + Тем не менее, данная проблема может использоваться только через параметр + GET и требует взаимодействия с пользователем.</p></li> + +<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3877">CVE-2014-3877</a>] + <p>Параметр addto отражается пользователю только в слегка фильтрованном + виде как часть страницы HTML. Некоторые символы запрещено использовать + в параметре GET из-за фильтрации URL, но это ограничение можно + обойти путём использования параметра POST. Тем не менее, данная + уязвимость может использоваться только через параметр GET и требует + взаимодействия с пользователем.</p></li> + +</ul> +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете fex версии 20100208+debian1-1+squeeze4</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-68.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-69.wml b/russian/lts/security/2014/dla-69.wml new file mode 100644 index 00000000000..e64ba9c19a3 --- /dev/null +++ b/russian/lts/security/2014/dla-69.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Стефано Дзаккироли обнаружил, что определённые входные файлы на языке JavaScript +вызывают бесконечный цикл в ctags, который продолжается до исчерпания +всего дискового пространства. Данное обновление исправляет код, выполняющий +грамматический разбор JavaScript.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете exuberant-ctags версии 1:5.8-3squeeze2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-69.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-70.wml b/russian/lts/security/2014/dla-70.wml new file mode 100644 index 00000000000..7d4ac4f8a8a --- /dev/null +++ b/russian/lts/security/2014/dla-70.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>duesenfranz обнаружил, что функция safe_eval в trytond может использоваться для +выполнения произвольных команд (в основном в интерфейсе webdav). Применённая заплата не +позволяет использовать двойное подчёркивание в safe_eval, и позволяет избежать двойного +вычисления из наследования с другой моделью.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете tryton-server версии 1.6.1-2+squeeze2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-70.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-71.wml b/russian/lts/security/2014/dla-71.wml new file mode 100644 index 00000000000..23e22868ef8 --- /dev/null +++ b/russian/lts/security/2014/dla-71.wml @@ -0,0 +1,27 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет две проблемы безопасности в apache2.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-5704">CVE-2013-5704</a> + + <p>Отключение возможности замены заголовков HTTP на концевые метки HTTP, + поскольку это может использоваться для обхода операций над заголовками, осуществлённых + другими модулями. Это поведение можно восстановить с помощью новой директивы + MergeTrailers.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3581">CVE-2014-3581</a> + + <p>Исправление отказа в обслуживании, при котором Apache может завершиться с ошибкой сегментирования, если используется mod_cache, + и если кешированный запрос содержит пустой заголовок Content-Type.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете apache2 версии 2.2.16-6+squeeze14</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-71.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-72.wml b/russian/lts/security/2014/dla-72.wml new file mode 100644 index 00000000000..cd23bb50154 --- /dev/null +++ b/russian/lts/security/2014/dla-72.wml @@ -0,0 +1,30 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Заплата для выпуска Wheezy оставила неразрешённый символ в модуле imklog +из версии для Squeeze. rsyslog работает нормально за исключением того, что более +нельзя отправлять сообщения ядра. Данное обновление исправляет эту проблему.</p> + +<p>Ниже приводится текст оригинальной рекомендации.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3634">CVE-2014-3634</a> + + <p>Исправление удалённой уязвимости syslog, возникающей из-за неправильной обработки + некорректных значений PRI.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3683">CVE-2014-3683</a> + + <p>Последующее исправление <a href="https://security-tracker.debian.org/tracker/CVE-2014-3634">CVE-2014-3634</a>. Первоначальная заплата оказалась неполной. + Она не покрывала случаи, когда значения PRI > MAX_INT, что вызывало переполнение + целых чисел, приводящее к отрицательным значениям.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете rsyslog версии 4.6.4-2+deb6u2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-72.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-74.wml b/russian/lts/security/2014/dla-74.wml new file mode 100644 index 00000000000..3044b3e038a --- /dev/null +++ b/russian/lts/security/2014/dla-74.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет потенциальное переполнение целых чисел в коде для грамматического разбора опций.</p> + +<p>Пользователь из группы <q>dip</q> может передать специально сформированный +файл настроек размером более 2ГБ, что вызовет переполнение целых чисел. +Это может позволить злоумышленнику перезаписать содержимое динамической памяти и повредить тем самым +значения важных для безопасности переменных.</p> + +<p>Подробности смотрите в основной ветке разработки: +<a href="https://github.com/paulusmack/ppp/commit/7658e8257183f062dc01f87969c140707c7e52cb">https://github.com/paulusmack/ppp/commit/7658e8257183f062dc01f87969c140707c7e52cb</a></p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете ppp версии 2.4.5-4+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-74.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-75.wml b/russian/lts/security/2014/dla-75.wml new file mode 100644 index 00000000000..c737f6ad3fa --- /dev/null +++ b/russian/lts/security/2014/dla-75.wml @@ -0,0 +1,33 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет одну важную уязвимость (<a href="https://security-tracker.debian.org/tracker/CVE-2014-4274">CVE-2014-4274</a>), а также +содержит два небольших исправления (<a href="https://security-tracker.debian.org/tracker/CVE-2013-2162">CVE-2013-2162</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2014-0001">CVE-2014-0001</a>).</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4274">CVE-2014-4274</a> + + <p>Небезопасная обработка временных файлов, которая может приводить к выполнению + произвольного кода из-за создания файла настройки mysql, + указывающего на каталог plugin_dir, которым может управлять злоумышленник.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2162">CVE-2013-2162</a> + + <p>Небезопасное создание файла данных учётных записей debian.cnf. Данные учётных записей + могут быть похищены локальным пользователем, отслеживающим этот файл во время + установки пакета.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0001">CVE-2014-0001</a> + + <p>Переполнение буфера в клиенте MySQL, которое возникает когда сервер отправляет строку + с указанием версии, которая оказывается слишком большой для выделенного буфера.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете mysql-5.1 версии 5.1.73-1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-75.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-76.wml b/russian/lts/security/2014/dla-76.wml new file mode 100644 index 00000000000..e921e4f612e --- /dev/null +++ b/russian/lts/security/2014/dla-76.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что KAuth, часть kdelibs, использует polkit таким +образом, что это приводит к состоянию гонки, что может позволить обойти авторизацию.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете kde4libs версии 4:4.4.5-2+squeeze4</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-76.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-77.wml b/russian/lts/security/2014/dla-77.wml new file mode 100644 index 00000000000..9c9ae18035d --- /dev/null +++ b/russian/lts/security/2014/dla-77.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В libtasn1-3, библиотеке для управления структурами ASN1 (Abstract Syntax +Notation One), было обнаружено несколько уязвимостей. Злоумышленник +может использовать их для вызова отказа в обслуживании из-за обращения к области памяти за +пределами выделенного буфера или разыменования NULL-указателя.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libtasn1-3 версии 2.7-1+squeeze+2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-77.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-78.wml b/russian/lts/security/2014/dla-78.wml new file mode 100644 index 00000000000..27fc65c5d84 --- /dev/null +++ b/russian/lts/security/2014/dla-78.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Чад Визино сообщил об уязвимости в torque, системе пакетной обработки на +основе PBS. Пользователь, не являющийся суперпользователем, может использовать данную уязвимость +в вызове tm_adopt() библиотеки для принудительного завершения любого процесса, включая процессы, +владельцем которых является суперпользователь, на любой ноде задачи.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете torque версии 2.4.8+dfsg-9squeeze5</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-78.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-79.wml b/russian/lts/security/2014/dla-79.wml new file mode 100644 index 00000000000..9757fc042b2 --- /dev/null +++ b/russian/lts/security/2014/dla-79.wml @@ -0,0 +1,31 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обовление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет возможность обхода аутентификации в wiki, если для +LDAP-аутентификации используется Active Directory. Эти два CVE почти совпадают, +один явно является надмножеством другого. Они исправлены одновременно.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8763">CVE-2014-8763</a> + + <p>DokuWiki до версии 2014-05-05b при использовании Active Directory для + LDAP-аутентификации позволяет удалённым злоумышленникам обойти аутентификацию с помощью + пароля, начинающегося с нулевого символа (\0) и корректного имени пользователя, что + приводит к неаутентифицированному связыванию.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8764">CVE-2014-8764</a> + + <p>DokuWiki 2014-05-05a или более ранних версий при использовании Active Directory для + LDAP-аутентификации позволяет удалённым злоумышленникам обходить аутентификацию с помощью имени + пользователя и пароля, начинающихся с нулевого символа (\0), что приводит к + анонимному связыванию.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете dokuwiki версии 0.0.20091225c-10+squeeze3</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-79.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-80.wml b/russian/lts/security/2014/dla-80.wml new file mode 100644 index 00000000000..2e723d9c0c1 --- /dev/null +++ b/russian/lts/security/2014/dla-80.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Сотрудники Sogeti обнаружили отказ в обслуживании в libxml2, библиотеке, предоставляющей +поддержку чтения, изменения и записи файлов XML и HTML. Удалённый злоумышленник +может передать специально сформированный файл XML, который при его обработке +приложением, использующим libxml2, может привести к чрезмерному потреблению ресурсов ЦП +(отказ в обслуживании) из-за излишней подстановки сущностей даже в том случае, если +подстановка сущностей отключена, что является поведением по умолчанию. +(<a href="https://security-tracker.debian.org/tracker/CVE-2014-3660">CVE-2014-3660</a>)</p> + +<p>Кроме того, данное обновление исправляет неправильно применённую порцию заплаты, +выпущенной в предыдущей версии (#762864).</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libxml2 версии 2.7.8.dfsg-2+squeeze10</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-80.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-81.wml b/russian/lts/security/2014/dla-81.wml new file mode 100644 index 00000000000..69021bd6c29 --- /dev/null +++ b/russian/lts/security/2014/dla-81.wml @@ -0,0 +1,53 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В OpenSSL было обнаружено несколько уязвимостей.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566">CVE-2014-3566</a> + +<p>("POODLE")</p> + + <p>В способе, используемом SSL 3.0 для обработки заполняющих байтов, при + расшифровке сообщений, зашифрованных с использованием блочных шифров в режиме CBC, была + обнаружена уязвимость. Эта уязвимость позволяет путём атаки по принципу человек-в-середине (MITM) + расшифровать избранные байты шифротекста за 256 попыток в том случае, + если злоумышленник может заставить приложение жертвы повторно + отправлять одни и те же данные по заново создаваемым соединениям SSL 3.0.</p> + + <p>Данное обновление добавляет поддержку для Fallback SCSV с тем, чтобы уменьшить риск данной проблемы. + Это не исправляет проблему. Исправить её можно только отключив + поддержку SSL 3.0.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3567">CVE-2014-3567</a> + + <p>Была обнаружена утечка памяти в способе, используемом OpenSSL для обработки + неудачных проверок целостности билета сессии. Удалённый злоумышленник может исчерпать всю + доступную память SSL/TLS или DTLS сервера путём отправки этому серверу + большого количества некорректных сессионных билетов.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3568">CVE-2014-3568</a> + + <p>Если сборка OpenSSL была произведена с опцией "no-ssl3", то серверы + принимают и завершают рукопожатие SSL 3.0, а клиенты настраиваются + на отправку таких рукопожатий.</p> + + <p>Заметьте, что пакет в Debian собирается без этой опции.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3569">CVE-2014-3569</a> + + <p>Если сборка OpenSSL была произведена с опцией "no-ssl3", и получено сообщение SSL v3 Client + Hello, то метод ssl устанавливается в значение NULL, что позже может приводить + к разыменованию NULL-указателя.</p> + + <p>Заметьте, что пакет в Debian собирается без этой опции.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете openssl версии 0.9.8o-4squeeze18</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-81.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-82.wml b/russian/lts/security/2014/dla-82.wml new file mode 100644 index 00000000000..d1a815d06c4 --- /dev/null +++ b/russian/lts/security/2014/dla-82.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Эйчди Мур из Rapid7 обнаружил возможность атаки через символьные ссылки в Wget, утилите +командной строки для загрузки файлов по протоколам HTTP, HTTPS и FTP. Эта уязвимость +позволяет создавать произвольные файлы в пользовательской системе в том случае, когда Wget запущен +в рекурсивном режиме для обработки FTP-сервера злоумышленника. Создание произвольных файлов +может привести к перезаписи содержимого файлов пользователя или позволить удалённо выполнить код с +правами пользователя.</p> + +<p>Данное обновление изменяет настройки по умолчанию в Wget так, что программа более +не создаёт локальные символьные ссылки, а переходит по ним и загружает +файл, на который указывает ссылка.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете wget версии 1.12-2.1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-82.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-83.wml b/russian/lts/security/2014/dla-83.wml new file mode 100644 index 00000000000..9779b94cf03 --- /dev/null +++ b/russian/lts/security/2014/dla-83.wml @@ -0,0 +1,18 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление ffmpeg отключает поддержку более 100 кодеков, декодеров +и форматов, которые редко используются в настоящее время, и поддержка которых +в squeeze скорее недостаточна.</p> + +<p>Данное обновление предназначено исключительно для снижение рисков.</p> + +<p>Пакет ffmpeg в squeeze-lts не поддерживается, любое его использование +с недоверенными данными крайне нежелательно.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете ffmpeg версии 4:0.5.10-1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-83.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-84.wml b/russian/lts/security/2014/dla-84.wml new file mode 100644 index 00000000000..22d23d2544a --- /dev/null +++ b/russian/lts/security/2014/dla-84.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Симеон Парашудис обнаружил, что функция curl_easy_duphandle() +в cURL, библиотеке передачи URL, содержит ошибку, которая может приводить к тому, что libcurl +случайно отправляет чувствительные данные, не предназначенные для отправки, +в ходе выполнения HTTP-операции POST.</p> + +<p>Данная ошибка требует, чтобы использовались по порядку CURLOPT_COPYPOSTFIELDS и curl_easy_duphandle(), +а затем должен использоваться код обработки дубликатов для +выполнения HTTP POST. Команда curl не подвержена +этой проблеме, поскольку она не использует указанную последовательность.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете curl версии 7.21.0-2.1+squeeze10</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-84.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-85.wml b/russian/lts/security/2014/dla-85.wml new file mode 100644 index 00000000000..c48c62d23cd --- /dev/null +++ b/russian/lts/security/2014/dla-85.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Джеймс Форшоу обнаружил, что в Apache Santuario XML Security для +Java параметры CanonicalizationMethod проверяются неправильно. +Указав произвольный слабый алгоритм нормализации, злоумышленник +может подделать подписи XML.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете libxml-security-java версии 1.4.3-2+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-85.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-86.wml b/russian/lts/security/2014/dla-86.wml new file mode 100644 index 00000000000..0b930773731 --- /dev/null +++ b/russian/lts/security/2014/dla-86.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Франциско Алонзо из Red Hat Product Security обнаружил проблему в утилите +file: при проверке файлов в формате ELF заголовки NOTE проверяются неправильно, +что потенциально позволяет злоумышленникам вызывать отказ в обслуживании +(чтение за пределами выделенного буфера памяти и аварийная остановка приложения) путём +передачи специально сформированного файла в формате ELF.</p> + +<p>В стабильном выпуске с долгосрочной поддержкой (squeeze-lts) эта проблема была +исправлена в версии 5.04-5+squeeze8.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-86.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-87.wml b/russian/lts/security/2014/dla-87.wml new file mode 100644 index 00000000000..fb10a423dfe --- /dev/null +++ b/russian/lts/security/2014/dla-87.wml @@ -0,0 +1,33 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет многочисленные (локальные) отказы в обслуживании, обнаруженные Албаном +Крешо и Симоном Маквитти.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3477">CVE-2014-3477</a> + + <p>Исправление отказа в обслуживании (невозможность получить имя шины) во + впервые активированных системных службах, к которым имеют доступ не все + пользователи.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3638">CVE-2014-3638</a> + + <p>Уменьшение максимального числа ждущих обработки ответов на одно соединение, чтобы + избежать отказа в обслуживании из-за алгоритмической сложности.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3639">CVE-2014-3639</a> + + <p>Теперь служба ограничивает число слотов неаутентифицированных соединений + так, чтобы вредоносные процессы не могли предотвратить новые подключения к + системной шине.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете dbus версии 1.2.24-4+squeeze3</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-87.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-88.wml b/russian/lts/security/2014/dla-88.wml new file mode 100644 index 00000000000..ae214ff8f5e --- /dev/null +++ b/russian/lts/security/2014/dla-88.wml @@ -0,0 +1,46 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет многочисленные локальные и удалённые отказы в обслуживании и проблемы, связанные с +удалённым выполнением кода:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-0188">CVE-2011-0188</a> + +<p>Корректное выделение памяти с целью предотвращения выполнения произвольного кода или аварийной +остановки приложения. Об уязвимости сообщил Дрю Яо.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2686">CVE-2011-2686</a> + +<p>Повторная инициализация случайного начального числа при разветвлении с целью предотвращения подобных +<a href="https://security-tracker.debian.org/tracker/CVE-2003-0900">CVE-2003-0900</a> ситуаций.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2705">CVE-2011-2705</a> + +<p>Изменение состояния PRNG с целью предотвращения повторов последовательностей случайных чисел в ответвлённом +дочернем процессе, имеющим тот же идентификатор. Об уязвимости сообщил Эрик Вонг.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-4815">CVE-2011-4815</a> + +<p>Исправление проблемы с предсказуемыми столкновениями хешей, приводящими к отказу в обслуживании +(чрезмерное потребление ресурсов ЦП). О проблеме сообщил Александр Клинк и Джулиан Вилд.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8080">CVE-2014-8080</a> + +<p>Исправление кода для грамматического разбора REXML с целью предотвращения отказа в обслуживании из-за чрезмерного потребления памяти, +вызываемого специально сформированными документами в формате XML. О проблеме сообщил Уиллис Вандевантер.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8090">CVE-2014-8090</a> + +<p>Добавление REXML::Document#document к исправлению для <a href="https://security-tracker.debian.org/tracker/CVE-2014-8080">CVE-2014-8080</a>. +О проблеме сообщил Томас Хогер.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете ruby1.8 версии 1.8.7.302-2squeeze3</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-88.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-89.wml b/russian/lts/security/2014/dla-89.wml new file mode 100644 index 00000000000..97526285dd6 --- /dev/null +++ b/russian/lts/security/2014/dla-89.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p>В nss, наборе библиотек, разработанных для поддержки межплатформенной разработки +защищённых клиентских и серверных приложений, Тайсон Смит и Джесс +Шварцентрубер обнаружили использование указателей после освобождения памяти, позволяющее удалённым +злоумышленникам выполнять произвольный код путём инициации некорректного удаления +структуры NSSCertificate из доверенного домена.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете nss версии 3.12.8-1+squeeze10</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-89.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-90.wml b/russian/lts/security/2014/dla-90.wml new file mode 100644 index 00000000000..35839a2a724 --- /dev/null +++ b/russian/lts/security/2014/dla-90.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Некоторые специально сформированные файлы JPEG могут приводить к отказу в обслуживании из-за +отсутствия проверок встроенных свойств EXIF (отступы каталога EXIF должны быть больше 0).</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете imagemagick версии 8:6.6.0.4-3+squeeze5</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-90.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-91.wml b/russian/lts/security/2014/dla-91.wml new file mode 100644 index 00000000000..543a9691738 --- /dev/null +++ b/russian/lts/security/2014/dla-91.wml @@ -0,0 +1,49 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление tomcat с версии 6.0.35 (версия, которая была ранее доступна +в squeeze) до версии 6.0.41, полный список изменений между этими версиями +можно посмотреть в журнале изменений основной ветки разработки, которая доступна по адресу +<a href="http://tomcat.apache.org/tomcat-6.0-doc/changelog.html">http://tomcat.apache.org/tomcat-6.0-doc/changelog.html</a></p> + +<p>Данное обновление исправляет следующие проблемы безопасности, которые ранее не были исправлены +в squeeze:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0033">CVE-2014-0033</a> + +<p>Предотвращение атак удалённых злоумышленников по фиксации сессии с помощью специально +сформированных URL.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4590">CVE-2013-4590</a> + +<p>Предотвращение утечек <q>внутренней информации Tomcat</q>.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4322">CVE-2013-4322</a> + +<p>Предотвращение атак удалённых злоумышленников с целью вызова отказа в обслуживании.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4286">CVE-2013-4286</a> + +<p>Отклонение запросов с множественными заголовками с указанием длины содержимого или с одним заголовком с +указанием длины содержимого, но при использовании порционной кодировки.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1571">CVE-2013-1571</a> + +<p>Избегание <a href="https://security-tracker.debian.org/tracker/CVE-2013-1571">CVE-2013-1571</a> при порождении Javadoc.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3439">CVE-2012-3439</a> + +<p>Различные улучшения аутентификатора DIGEST.</p></li> + +</ul> + + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете tomcat6 версии 6.0.41-2+squeeze5</p> +<p>Благодарим Тони Манчилли за большую часть работы над этим обновлением!</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-91.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-92.wml b/russian/lts/security/2014/dla-92.wml new file mode 100644 index 00000000000..0898876e067 --- /dev/null +++ b/russian/lts/security/2014/dla-92.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Это обновление tomcat-native с версии 1.1.20 (версия, которая ранее была доступна +в squeeze) до версии 1.1.31, полный список изменения между этими версиями можно +найти в журнале изменений в основной ветке разработки, который доступен в сети по адресу +<a href="http://tomcat.apache.org/native-doc/miscellaneous/changelog.html">http://tomcat.apache.org/native-doc/miscellaneous/changelog.html</a></p> + +<p>Данное обновление не исправляет проблемы безопасности, но оно требуется для пользователей +libtcnative-1, поскольку версия 1.1.20 из Squeeze не работает с tomcat6 6.0.41 из +Squeeze LTS.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-92.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-93.wml b/russian/lts/security/2014/dla-93.wml new file mode 100644 index 00000000000..be54186c4fa --- /dev/null +++ b/russian/lts/security/2014/dla-93.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Дэниел Генкин, Итамар Пипман и Эран Тромер обнаружили, что подключи для шифрования +Elgamal в приложениях, использующих библиотеку libgcrypt11, например +GnuPG 2.x, могут быть раскрыты через атаку по стороннему каналу (см.: +<a href="http://www.cs.tau.ac.il/~tromer/handsoff/">http://www.cs.tau.ac.il/~tromer/handsoff/</a>).</p> + +<p>Эта проблема была исправлена в Squeeze в версии 1.4.5-2+squeeze2.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-93.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-94.wml b/russian/lts/security/2014/dla-94.wml new file mode 100644 index 00000000000..a6dff2af3ce --- /dev/null +++ b/russian/lts/security/2014/dla-94.wml @@ -0,0 +1,34 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3668">CVE-2014-3668</a> + + <p>Исправление ошибки #68027: исправление грамматического разбора даты в библиотеке XMLRPC</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3669">CVE-2014-3669</a> + + <p>Исправление ошибки #68044: переполнение целых чисел в функции unserialize() (только на 32-битных архитектурах)</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3670">CVE-2014-3670</a> + + <p>Исправление ошибки #68113: повреждение содержимого динамической памяти в функции exif_thumbnail()</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3710">CVE-2014-3710</a> + + <p>Исправление ошибки #68283: fileinfo: чтение за пределами выделенного буфера памяти в заголовках NOTE файлов в формате ELF</p></li> + +</ul> + +<p>Дополнительные исправления ошибок</p> + + <p>Исправление обработки null-байтов в привязках LDAP в ldap-fix.patch</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете php5 версии 5.3.3-7+squeeze23</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-94.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-95.wml b/russian/lts/security/2014/dla-95.wml new file mode 100644 index 00000000000..b2741345f83 --- /dev/null +++ b/russian/lts/security/2014/dla-95.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В clamav было обнаружено две ошибки, они исправлены в данном выпуске.</p> + +<p>Одна проблема касается clamscan, антивирусного сканера для командной строки, который входит +в пакет. Эта проблема может приводить к аварийным остановкам при сканировании определённых файлов +(<a href="https://security-tracker.debian.org/tracker/CVE-2013-6497">CVE-2013-6497</a>). +Вторая проблема касается libclamav и вызывает переполнение динамической памяти +при сканировании специально сформированных PE-файлов y0da Crypter +(<a href="https://security-tracker.debian.org/tracker/CVE-2014-9050">CVE-2014-9050</a>). Заметьте, что эти ошибки могут использоваться злоумышленниками +удалённо в том случае, если ClamAV используется для сканирования файлов на узлах электронной почты.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете clamav версии 0.98.1+dfsg-1+deb6u4</p> + +<p>Если вы используете clamav, то настоятельно рекомендуется выполнить обновление до данной версии.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-95.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-96.wml b/russian/lts/security/2014/dla-96.wml new file mode 100644 index 00000000000..5284c87bfdd --- /dev/null +++ b/russian/lts/security/2014/dla-96.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В OpenJDK, реализации платформы Oracle Java, было обнаружено несколько +уязвимостей, приводящих к выполнению произвольного кода, +выходу за пределы песочницы Java, раскрытию информации или отказу в обслуживании.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии +6b33-1.13.5-2~deb6u1.</p> + +<p>Рекомендуется обновить пакеты openjdk-6 и подписаться +на <a href="https://lists.debian.org/debian-lts/">https://lists.debian.org/debian-lts/</a> для того, чтобы помогать +в тестировании обновлённых пакетов до момента их выпуска.</p> + +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-96.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-97.wml b/russian/lts/security/2014/dla-97.wml new file mode 100644 index 00000000000..3a5ab3e7fb7 --- /dev/null +++ b/russian/lts/security/2014/dla-97.wml @@ -0,0 +1,39 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6656">CVE-2012-6656</a> + + <p>Исправление проверки при преобразовании из ibm930 в utf. + При преобразовании кода IBM930 с помощью iconv(), если определён код IBM930, содержащий + некорректный многобайтовый символ <q>0xffff</q>, то + работа iconv() прерывается с ошибкой сегментирования.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6040">CVE-2014-6040</a> + + <p>Аварийные остановки при некорректных входных данных в gconv-модулях IBM [BZ #17325] + Эти изменения основываются на исправлении BZ #14134 в коммите + 6e230d11837f3ae7b375ea69d7905f0d18eb79e5.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7817">CVE-2014-7817</a> + + <p>Функция wordexp() неправильно обрабатывает флаг WRDE_NOCMD + при обработке арифметических входных данных в виде "$((... ``))", + где "..." может быть любой корректной строкой. Обратные галочки в арифметических + выражениях оцениваются командной оболочкой даже в том случае, если WRDE_NOCMD запрещает + подстановку команд. Это позволяет злоумышленнику попытаться передать + опасные команды с помощью выражений указанного выше вида и обойти + флаг WRDE_NOCMD. Данная заплата исправляет эту проблему включением проверки WRDE_NOCMD + в функции exec_comm(), единственном месте, где может выполняться интерпретатор команд. Все другие + проверки WRDE_NOCMD излишни и были удалены.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете eglibc версии 2.11.3-4+deb6u2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-97.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-98.wml b/russian/lts/security/2014/dla-98.wml new file mode 100644 index 00000000000..2138108d73e --- /dev/null +++ b/russian/lts/security/2014/dla-98.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Драгана Дамянович обнаружил, что аутентифицированный клиент может аварийно +завершить работу сервера OpenVPN, отправив управляющий пакет, содержащий данные +размером менее четырёх байт.</p> + +<p>В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в +версии 2.1.3-2+squeeze3 в squeeze-lts.</p> + +<p>Рекомендуется обновить пакеты openvpn.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-98.data" +# $Id$ diff --git a/russian/lts/security/2014/dla-99.wml b/russian/lts/security/2014/dla-99.wml new file mode 100644 index 00000000000..c7b0ca33181 --- /dev/null +++ b/russian/lts/security/2014/dla-99.wml @@ -0,0 +1,30 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Микеле Спаньюоло из команды безопасности Google и Мирослав Личвар из +Red Hat обнаружили две проблемы в flac, библиотеке для обработки мультимедиа в формате +Free Lossless Audio Codec: передав специально сформированный файл FLAC, +злоумышленник может выполнить произвольный код.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8962">CVE-2014-8962</a> + + <p>Переполнение динамической памяти в stream_decoder.c позволяет + удалённым злоумышленникам выполнять произвольный код с помощью специально + сформированного файла .flac.</p> </li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9028">CVE-2014-9028</a> + + <p>Переполнение буфера в stream_decoder.c позволяет + удалённым злоумышленникам выполнять произвольный код с помощью специально + сформированного файла .flac.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете flac версии 1.2.1-2+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-99.data" +# $Id$ diff --git a/russian/lts/security/2014/index.wml b/russian/lts/security/2014/index.wml new file mode 100644 index 00000000000..27776cd3a1a --- /dev/null +++ b/russian/lts/security/2014/index.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag pagetitle>LTS Security Advisories from 2014</define-tag> +#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" +#use wml::debian::recent_list_security + +<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2014' ) :> + +<p>Вы можете получать последние анонсы о безопасности Debian, подписавшись на список рассылки +<a href="https://lists.debian.org/debian-lts-announce/">\ +<strong>debian-lts-announce</strong></a>. +Архив списка рассылки доступен <a href="https://lists.debian.org/debian-lts-announce/">\ +здесь</a>.</p> diff --git a/russian/lts/security/2015/Makefile b/russian/lts/security/2015/Makefile new file mode 100644 index 00000000000..10484184c17 --- /dev/null +++ b/russian/lts/security/2015/Makefile @@ -0,0 +1 @@ +include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/lts/security/2015/dla-120.wml b/russian/lts/security/2015/dla-120.wml new file mode 100644 index 00000000000..431c19dbb95 --- /dev/null +++ b/russian/lts/security/2015/dla-120.wml @@ -0,0 +1,22 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Андреас Корд-Ландвер сообщил о проблеме, при которой X.Org Xserver +часто аварийно завершает работу с арифметическим исключением при разворачивании +во весь экран окон приложений.</p> + +<p>Эта проблема (<a href="https://security-tracker.debian.org/tracker/CVE-2015-3418">CVE-2015-3418</a>) является регрессом, который появился из-за исправления +<a href="https://security-tracker.debian.org/tracker/CVE-2014-8092">CVE-2014-8092</a>. Указанная выше версия xorg-server в Debian +squeeze-lts исправляет этот регресс следующим способом:</p> + +<p>Коде проверки длины проверяет высоту PutImage и байтовую ширину, +чтобы <tt>байтовая-ширина >= INT32_MAX / высота</tt>. Если высота равна нулю, +то возникает исключение <q>деление на ноль</q>. Разрешаются явные запросы +с нулевой высотой, что обходит проверку INT32_MAX (в dix/dispatch.c).</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в xorg-server версии 2:1.7.7-18+deb6u3</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-120.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-127.wml b/russian/lts/security/2015/dla-127.wml new file mode 100644 index 00000000000..9459a2d0d00 --- /dev/null +++ b/russian/lts/security/2015/dla-127.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Джонатан Грэй и Станислав Питуча обнаружили ошибку утверждения в +способе, используемом для грамматического разбора обёрнутых строк в Python-YAML, модуле Python для +выполнения грамматического разбора и создания YAML. Злоумышленник, способный загрузить специально сформированные +входные данные в формате YAML в приложение, использующее python-yaml, может вызвать аварийную остановку этого приложения.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в pyyaml версии 3.09-5+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-127.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-128.wml b/russian/lts/security/2015/dla-128.wml new file mode 100644 index 00000000000..c0cffe34ddf --- /dev/null +++ b/russian/lts/security/2015/dla-128.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Михель Шпагнуло из команды безопасности Google обнаружил два переполнения +динамической памяти в SoX, универсальном наборе программ для обработки +звука. Специально сформированный файл в формате wav может приводить к аварийной +остановке приложения, использующего SoX, или потенциальному выполнению произвольного кода.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в sox версии 14.3.1-1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-128.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-129.wml b/russian/lts/security/2015/dla-129.wml new file mode 100644 index 00000000000..4d1648d3194 --- /dev/null +++ b/russian/lts/security/2015/dla-129.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что утечка памяти при выполнении грамматического разбора сертификатов X.509 +может приводить к отказу в обслуживании.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в polarssl версии 1.2.9-1~deb6u3</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-129.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-130.wml b/russian/lts/security/2015/dla-130.wml new file mode 100644 index 00000000000..42f78117201 --- /dev/null +++ b/russian/lts/security/2015/dla-130.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что специально сформированный пакет может вызывать ошибку сегментирования. +См.: <a href="http://tracker.firebirdsql.org/browse/CORE-4630">http://tracker.firebirdsql.org/browse/CORE-4630</a></p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в firebird2.1 версии 2.1.3.18185-0.ds1-11+squeeze2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-130.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-131.wml b/russian/lts/security/2015/dla-131.wml new file mode 100644 index 00000000000..9de5f9cee8b --- /dev/null +++ b/russian/lts/security/2015/dla-131.wml @@ -0,0 +1,41 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В file, инструменте/библиотеке для определения типа файлов, были +обнаружены многочисленные проблемы безопасности. Обработка специально сформированных файлов может приводить к +отказу в обслуживании. Большинство изменений связаны с грамматическим разбором файлов +ELF.</p> + +<p>В качестве исправлений в ряде случаев были добавлены новые или усилены существующие ограничения +аспектов определения, что иногда приводит к сообщениям вида <q>исчерпан +лимит рекурсии</q> или <q>слишком много разделов заголовков программы</q>.</p> + +<p>Для того, чтобы обойти подобные затруднения, эти ограничения можно изменить с помощью нового +параметра "-R"/"--recursion" в программе file. Внимание: будущее +обновление file в squeeze-lts может заменить этот параметр на параметр "-P" +для того, чтобы использование данной утилиты во всех выпусках было одинаковым.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8116">CVE-2014-8116</a> + + <p>Код для грамматического разбора ELF (readelf.c) позволяет удалённым злоумышленникам вызывать + отказ в обслуживании (чрезмерное потребление ресурсов ЦП или аварийная остановка).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8117">CVE-2014-8117</a> + + <p>softmagic.c неправильно ограничивает рекурсию, что позволяет удалённым + злоумышленникам вызывать отказ в обслуживании (чрезмерное потребление ресурсов ЦП или аварийная остановка).</p> + +<p>(идентификатор пока не назначен)</p> + + <p>Доступ за пределами выделенного буфера памяти</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в file версии 5.04-5+squeeze9</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-131.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-132.wml b/russian/lts/security/2015/dla-132.wml new file mode 100644 index 00000000000..c9182440fb0 --- /dev/null +++ b/russian/lts/security/2015/dla-132.wml @@ -0,0 +1,54 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружены +многочисленные уязвимости. Проект Common Vulnerabilities and Exposures +определяет следующие проблемы:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3570">CVE-2014-3570</a> + + <p>Питер Вуилль из Blockstream сообщил, что возведение в квадрат сверхбольших + чисел (BN_sqr) может на некоторых платформах выдавать неправильные результаты, что + облегчает удалённым пользователям обход механизма криптографической + защиты.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3571">CVE-2014-3571</a> + + <p>Маркус Штенберг из Cisco Systems, Inc. сообщил, что специально + сформированное сообщение DTLS может вызывать ошибку сегментирования в OpenSSL из-за + разыменования NULL-указателя. Удалённый злоумышленник может использовать данную уязвимость + для вызова отказа в обслуживании.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3572">CVE-2014-3572</a> + + <p>Картикеян Бхаргаван из команды PROSECCO из INRIA сообщил, что + клиент OpenSSL принимает рукопожатие, используя недолговечный набор шифров + ECDH в случае, если пропущено сообщение сервера по обмену ключей. Это + позволяет удалённым SSL-серверам выполнять атаки по снижению уровня защиты ECDHE до ECDH + и вызывать потерю защищённости.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8275">CVE-2014-8275</a> + + <p>Антти Карялаинен и Туомо Унтинен из проекта Codenomicon CROSS + и Конрад Крашевски из Google сообщили о различных проблемах с отпечатками + сертификата, которые могут позволить удалённым злоумышленникам обойти + механизмы защиты на основе чёрного списка сертификатов, содержащего отпечатки.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0204">CVE-2015-0204</a> + + <p>Картикеян Бхаргаван из команды PROSECCO из INRIA сообщил, что + клиент OpenSSL принимает использование недолговечного ключа RSA в + неэкспортном наборе шифров для обмена ключами RSA, нарушая стандарт + TLS. Это позволяет удалённым SSL-серверам снижать уровень совершенной прямой + секретности сессии.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в openssl версии 0.9.8o-4squeeze19</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-132.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-133.wml b/russian/lts/security/2015/dla-133.wml new file mode 100644 index 00000000000..10e243db50c --- /dev/null +++ b/russian/lts/security/2015/dla-133.wml @@ -0,0 +1,26 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9274">CVE-2014-9274</a>: + + <p>Проверка того, что доступ к таблице цветов осуществляется в пределах выделенного буфера памяти. + Заплаты взяты из основной ветки разработки: + - <a href="https://security-tracker.debian.org/tracker/CVE-2014-9274">CVE-2014-9274</a>: b0cef89a170a66bc48f8dd288ce562ea8ca91f7a</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9275">CVE-2014-9275</a>: + + <p>Различные аварийные остановки. + - <a href="https://security-tracker.debian.org/tracker/CVE-2014-9275">CVE-2014-9275</a>: 1df886f2e65f7c512a6217588ae8d94d4bcbc63d + 3c7ff3f888de0f0d957fe67b6bd4bec9c0d475f3</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в unrtf версии 0.19.3-1.1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-133.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-134.wml b/russian/lts/security/2015/dla-134.wml new file mode 100644 index 00000000000..986d2e9b677 --- /dev/null +++ b/russian/lts/security/2015/dla-134.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Андрей Лабунец из Facebook обнаружил, что cURL, библиотека +передачи URL, неправильно обрабатывает URL, содержащие символы +конца строки. Злоумышленник, способный создать приложение, использующее libcurl для +получения доступа к специально сформированному URL через HTTP-прокси, может использовать данную +уязвимость для выполнения дополнительных ненамеренных запросов, либо вставлять +дополнительные заголовки в запрос.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в curl версии 7.21.0-2.1+squeeze11</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-134.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-135.wml b/russian/lts/security/2015/dla-135.wml new file mode 100644 index 00000000000..3f1131541c8 --- /dev/null +++ b/russian/lts/security/2015/dla-135.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Пакеты ia32-libs и ia32-libs-gtk содержат 32-битные версии различных +библиотек для использования на 64-битных системах. Данное обновление включает в себя все исправления +безопасности для этих библиотек с момента предыдущего обновления ia32-libs и +ia32-libs-gtk в Squeeze LTS.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в ia32-libs, ia32-libs-gtk версий 20150116</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-135.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-136.wml b/russian/lts/security/2015/dla-136.wml new file mode 100644 index 00000000000..ac563889684 --- /dev/null +++ b/russian/lts/security/2015/dla-136.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Джеймс Клоусон обнаружил, что websvn, служба веб-просмотра репозиториев +Subversion, может переходить по символьным ссылкам в репозитории при указании +файла для загрузки. Злоумышленник с правом на запись в репозиторий может +получить доступ к любому файлу, доступ для чтения к которому есть у пользователю, от лица которого +запущен веб-сервер.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в websvn версии 2.3.3-1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-136.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-137.wml b/russian/lts/security/2015/dla-137.wml new file mode 100644 index 00000000000..d65d6faf302 --- /dev/null +++ b/russian/lts/security/2015/dla-137.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Библиотека libevent уязвима к потенциальному переполнению динамической памяти в +функциях API для работы с буфером/буферными событиями.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в libevent версии 1.4.13-stable-1+deb6u1</p> + +<p>Данное обновление было подготовлено Нгуеном Конгом, который использовал заплату, предоставленную +разработчиками основной ветки разработки. Выражаем ему благодарность!</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-137.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-138.wml b/russian/lts/security/2015/dla-138.wml new file mode 100644 index 00000000000..850ec626926 --- /dev/null +++ b/russian/lts/security/2015/dla-138.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В JasPer, библиотеке для работы с файлами в формате JPEG-2000, была обнаружена ошибка на единицу, приводящая к переполнению динамической памяти +(<a href="https://security-tracker.debian.org/tracker/CVE-2014-8157">CVE-2014-8157</a>), а также обнаружено неограниченное +использование стековой памяти +(<a href="https://security-tracker.debian.org/tracker/CVE-2014-8158">CVE-2014-8158</a>). Специально сформированный файл может вызвать +аварийную остановку приложения, использующего JasPer, или потенциальное выполнению произвольного кода.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в jasper версии 1.900.1-7+squeeze4</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-138.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-139.wml b/russian/lts/security/2015/dla-139.wml new file mode 100644 index 00000000000..bb136066c64 --- /dev/null +++ b/russian/lts/security/2015/dla-139.wml @@ -0,0 +1,31 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В eglibc, версии библиотеки GNU C для Debian, была исправлена +уязвимость:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0235">CVE-2015-0235</a> + + <p>Сотрудники Qualys обнаружили, что функции gethostbyname и gethostbyname2 + содержат переполнения буфера, которые проявляются при получении + специально сформированного IP адреса в виде аргумента. Это может использоваться злоумышленником + для выполнения произвольного кода в процессе, который вызвал указанные + функции.</p></li> + +</ul> + +<p>Об ошибке в glibc сообщил Петер Клотц.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в eglibc версии 2.11.3-4+deb6u4</p> + +<p>Рекомендуется обновить пакеты eglibc.</p> + +<p>Другие три CVE исправленные в Debian wheezy в <a href="./dsa-3142">DSA 3142-1</a> уже были +исправлены в squeeze LTS в <a href="../2014/dla-97">DLA 97-1</a>.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-139.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-140.wml b/russian/lts/security/2015/dla-140.wml new file mode 100644 index 00000000000..fdf4adfcc27 --- /dev/null +++ b/russian/lts/security/2015/dla-140.wml @@ -0,0 +1,38 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В rpm было обнаружено несколько уязвимостей:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8118">CVE-2014-8118</a> + + <p>Исправление переполнения целых чисел, позволяющего удалённым злоумышленникам выполнять произвольный + код.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6435">CVE-2013-6435</a> + + <p>Предотвращение выполнения произвольного кода удалёнными злоумышленниками с помощью специально + сформированных файлов RPM.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-0815">CVE-2012-0815</a> + + <p>Исправление отказа в обслуживании и возможного выполнения кода с помощью отрицательного значения в + отступе региона в специально сформированных файлах RPM.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-0060">CVE-2012-0060</a> + +<p>и <a href="https://security-tracker.debian.org/tracker/CVE-2012-0061">CVE-2012-0061</a></p> + + <p>Предотвращение отказа в обслуживании (аварийная остановка) и возможного выполнения произвольного + кода с помощью неправильного тега региона в файлах RPM.</p></li> + +</ul> + +<p>Рекомендуется обновить пакеты rpm.</p> +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в rpm версии 4.8.1-6+squeeze2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-140.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-141.wml b/russian/lts/security/2015/dla-141.wml new file mode 100644 index 00000000000..96863ec5aa8 --- /dev/null +++ b/russian/lts/security/2015/dla-141.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В libksba, библиотеке поддержки X.509 и CMS, была обнаружена и исправлена уязвимость:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9087">CVE-2014-9087</a> + + <p>Исправлено переполнение буфера в ksba_oid_to_str, о котором сообщил Ханно Бёк.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в libksba версии 1.0.7-2+deb6u1</p> +<p>Рекомендуется обновить пакеты libksba.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-141.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-142.wml b/russian/lts/security/2015/dla-142.wml new file mode 100644 index 00000000000..750c06d7873 --- /dev/null +++ b/russian/lts/security/2015/dla-142.wml @@ -0,0 +1,34 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В privoxy, HTTP-прокси с продвинутыми возможностями защиты конфиденциальных данных, было +обнаружено несколько уязвимостей:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1031">CVE-2015-1031</a>, CID66394: + + <p>unmap(): предотвращение использования указателей после освобождения памяти в случае, если обрабатываемый список состоит только из одного элемента.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1031">CVE-2015-1031</a>, CID66376 и CID66391: + + <p>pcrs_execute(): постоянная установка *result в значение NULL в случае ошибок. + Это должно сделать использование указателей после освобождения памяти в вызывающей функции менее вероятным.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1381">CVE-2015-1381</a>: + + <p>Исправление многочисленных ошибок сегментирования и утечек памяти в коде pcrs.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1382">CVE-2015-1382</a>: + + <p>Исправление неправильного чтения с целью предотвращения потенциальных аварийных остановок.</p></li> + +</ul> + +<p>Рекомендуется обновить пакеты privoxy.</p> +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в privoxy версии 3.0.16-1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-142.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-143.wml b/russian/lts/security/2015/dla-143.wml new file mode 100644 index 00000000000..b536c0bc689 --- /dev/null +++ b/russian/lts/security/2015/dla-143.wml @@ -0,0 +1,83 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Django были обнаружены многочисленные проблемы безопасности: +<a href="https://www.djangoproject.com/weblog/2015/jan/13/security/">https://www.djangoproject.com/weblog/2015/jan/13/security/</a></p> + +<p>В Debian 6 Squeeeze они были исправлены в версии 1.2.3-3+squeeze12 +пакета python-django. Разработчики основной ветки разработки описывают эти +проблемы следующим образом:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0219">CVE-2015-0219</a> + +<p>- Подделка заголовка WSGI из-за объединения символов подчёркивания/тире</p> + + <p>Когда заголовки HTTP помещаются в окружение WSGI, они + нормализуются путём преобразования букв в верхних регистр, преобразования всех тире в + подчёркивания, и добавления префикса HTTP_. Например, заголовок X-Auth-User + в окружении WSGI стал бы HTTP_X_AUTH_USER (и в Django словаре + request.META).</p> + + <p>К сожалению, это означает, что окружение WSGI не различает + заголовки, содержащие тире, и заголовки, содержащие подчёркивания: + X-Auth-User и X-Auth_User оба становятся HTTP_X_AUTH_USER. Это означает, + что если какой-то заголовок используется важным для безопасности образом (например, + передача аутентификационной информации от внешнего прокси), даже + если прокси очищает входящее значение X-Auth-User, злоумышленник + может оказаться способным предоставить заголовок X-Auth_User (с + подчёркиванием) и обойти эту защиту.</p> + + <p>Для того, чтобы предотвратить подобные атаки, и Nginx, и Apache 2.4+ по умолчанию + выполняют очистку заголовков, содержащих подчёркивания, в исходящих + запросах. Встроенный сервер Django, используемый для нужд разработки, теперь делает то же самое. + Не рекомендуется использовать этот сервер Django для важных проектов, + но соответствующее поведение общих серверов снижает + изменение поведения при развёртывании.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0220">CVE-2015-0220</a> + +<p>- Возможная XSS-атака через передаваемые пользователем URL перенаправлений</p> + + <p>В некоторых случаях Django полагается на пользовательские входные данные (например, + django.contrib.auth.views.login() и i18n) для перенаправления пользователя на + URL, отмеченную как <q>при успехе</q>. Проверки безопасности для этих перенаправлений (а именно + django.util.http.is_safe_url()) не выполняют очистку символов пробела + в тестируемых URL, поэтому URL вида "\njavascript:..." считаются безопасными. Если + разработчик полагается на is_safe_url() в плане предоставления безопасных целей для + перенаправления и помещает такие URL в ссылку, то они могут быть подвержены XSS-атакам. + Эта ошибка в настоящее время на актуальна для Django, поскольку мы лишь помещаем URL + в заголовок ответа Location, а браузеры в них игнорируют + код JavaScript.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0221">CVE-2015-0221</a> + +<p>- Отказ в обслуживании в django.views.static.serve</p> + + <p>В предыдущих версиях Django вид django.views.static.serve() считывал + передаваемые файлы по одной строке за раз. Поэтому большой файл без символов + новой строки приводил к использованию объёма памяти равного этому файлу. + Злоумышленник может использовать эту проблему и вызвать отказ в обслуживании + путём одновременного запроса множества больших файлов. Теперь указанный вид выполняет чтение + файла по кускам, что предотвращает использование большого количества памяти.</p> + + <p>Тем не менее, заметьте, что этот вид содержит предупреждение о том, что он + недостаточно безопасен для использования в серьёзных проектах и должен использоваться только с + целью разработки. Следует провести аудит ваших проектов и + передавать ваши файлы через полноценный внешний + веб-сервер.</p></li> + +</ul> + +<p>Заметьте, что версия Django, используемая в Debian 6 Squeeze, не +подвержена <a href="https://security-tracker.debian.org/tracker/CVE-2015-0222">CVE-2015-0222</a> (Отказ в обслуживании в базе данных с +ModelMultipleChoiceField), поскольку эта возможность отсутствует +в данной версии.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете python-django версии 1.2.3-3+squeeze12</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-143.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-144.wml b/russian/lts/security/2015/dla-144.wml new file mode 100644 index 00000000000..e9315fe1cd9 --- /dev/null +++ b/russian/lts/security/2015/dla-144.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В PolarSSL, легковесной библиотеке SSL/TLS, была обнаружена +уязвимость. Удалённый злоумышленник может использовать эту уязвимость с помощью +специально сформированных сертификатов для вызова отказа в обслуживании в +приложении, скомпонованном с указанной библиотекой (аварийная остановка приложения) или +потенциального выполнения произвольного кода.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в polarssl версии 1.2.9-1~deb6u4</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-144.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-145.wml b/russian/lts/security/2015/dla-145.wml new file mode 100644 index 00000000000..be4139712ba --- /dev/null +++ b/russian/lts/security/2015/dla-145.wml @@ -0,0 +1,49 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Краткое введение</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0237">CVE-2014-0237</a> + + <p>Функция cdf_unpack_summary_info в cdf.c в компоненте Fileinfo + для PHP до версии 5.4.29 в ветке 5.5.x до версии 5.5.13 позволяет + удалённым злоумышленникам вызывать отказ в обслуживании (снижение + производительности) путём многочисленных вызовов file_printf.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0238">CVE-2014-0238</a> + + <p>Функция cdf_read_property_info в cdf.c в компоненте Fileinfo + для PHP до версии 5.4.29 и в ветке 5.5.x до версии 5.5.13 позволяет + удалённым злоумышленникам вызывать отказ в обслуживании (бесконечный цикл + или доступ за пределами выделенного буфера памяти) с помощью вектора, который имеет (1) нулевую + длину, или (2) слишком большую длину.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2270">CVE-2014-2270</a> + + <p>softmagic.c в file до версии 5.17 и libmagic позволяет злоумышленникам в + зависимости от контексте вызывать отказ в обслуживании (доступ за пределами выделенного + буфера памяти и аварийная остановка) с помощью специально сформированных отступов в softmagic + исполняемого файла PE.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8117">CVE-2014-8117</a> + + <p>- Прекращение вывода сообщений о плохих характеристиках после вывода нескольких первых сообщений. + - Ограничение числа программ и номера заголовка раздела у разделов. + - Ограничение уровня рекурсии.</p></li> + +<li>CVE-2015-TEMP (no official CVE number available yet) + + <p>- Разыменование null-указателя (ошибки PHP: 68739 68740). + - Доступ за пределами выделенного буфера памяти (ошибка file: 398). + Добавлены дополнительные заплаты из <a href="https://security-tracker.debian.org/tracker/CVE-2014-3478">CVE-2014-3478</a>.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в php5 версии 5.3.3-7+squeeze24</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-145.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-146.wml b/russian/lts/security/2015/dla-146.wml new file mode 100644 index 00000000000..94da0c0d5c8 --- /dev/null +++ b/russian/lts/security/2015/dla-146.wml @@ -0,0 +1,35 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В krb5, реализации Kerberos от MIT, было обнаружено несколько +уязвимостей:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5352">CVE-2014-5352</a> + + <p>Неправильное управление памятью в библиотеке libgssapi_krb5 может + приводить к отказу в обслуживании или выполнению произвольного кода.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9421">CVE-2014-9421</a> + + <p>Неправильное управление памятью в коде kadmind для обработки данных XDR + может приводить к отказу в обслуживании или выполнению произвольного кода.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9422">CVE-2014-9422</a> + + <p>Неправильная обработка двухкомпонентных серверных субъектов может приводить + к атакам с целью имитации.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9423">CVE-2014-9423</a> + + <p>Утечка информации в библиотеке libgssrpc.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в krb5 версии 1.8.3+dfsg-4squeeze9</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-146.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-147.wml b/russian/lts/security/2015/dla-147.wml new file mode 100644 index 00000000000..b41ccf570e0 --- /dev/null +++ b/russian/lts/security/2015/dla-147.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что wpasupplicant может выполнить произвольные +команды при вызове сценариев действий.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в wpasupplicant версии 0.6.10-2.1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-147.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-148.wml b/russian/lts/security/2015/dla-148.wml new file mode 100644 index 00000000000..161a3c9db0d --- /dev/null +++ b/russian/lts/security/2015/dla-148.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В веб-интерфейсе sympa, менеджере списков рассылки, была обнаружена +уязвимость. Злоумышленник может использовать эту уязвимость в +зоне отправки писем, что позволяет отправлять в список рассылки или +самому себе любой файл, расположенный в файловой системе сервера и открытый для чтения +пользователю sympa.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в sympa версии 6.0.1+dfsg-4+squeeze3</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-148.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-149.wml b/russian/lts/security/2015/dla-149.wml new file mode 100644 index 00000000000..6801e10598c --- /dev/null +++ b/russian/lts/security/2015/dla-149.wml @@ -0,0 +1,30 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В пакете ntp, реализации протокола сетевого времени, было +обнаружено несколько уязвимостей. Проект Common Vulnerabilities +and Exposures определяет следующие проблемы:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9297">CVE-2014-9297</a> + + <p>Стивен Ротгер из команды безопасности Google, Себастиан Крамер из + команды безопасности SUSE и Харлан Штенн из Network Time Foundation + обнаружили, что значение длины в полях расширения проверяют в нескольких + участках кода в ntp_crypto.c неправильно, что может приводить к + утечке информации или отказу в обслуживании (аварийная остановка ntpd).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9298">CVE-2014-9298</a> + + <p>Стивен Ротгер из команды безопасности Google сообщил, что ACL + на основе адресов IPv6 ::1 можно обойти.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в ntp версии 1:4.2.6.p2+dfsg-1+deb6u2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-149.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-150.wml b/russian/lts/security/2015/dla-150.wml new file mode 100644 index 00000000000..b2f56de8f8c --- /dev/null +++ b/russian/lts/security/2015/dla-150.wml @@ -0,0 +1,18 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В функции test_compr_eb() была обнаружена уязвимость, позволяющая получать доступ для +чтения и записи за пределами выделенных областей памяти. При помощи специально сформированного +повреждённого архива ZIP злоумышленник может вызвать переполнение динамической памяти, приводящее +к аварийной остановке приложения или потенциально оказать какое-то другое влияние на безопасность.</p> + + +<p>Кроме того, данное обновление исправляет неполную заплату, применённую для решения +<a href="https://security-tracker.debian.org/tracker/CVE-2014-8139">CVE-2014-8139</a>. Эта заплата привела к регессу с выполняемыми файлами jar.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в unzip версии 6.0-4+deb6u2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-150.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-151.wml b/russian/lts/security/2015/dla-151.wml new file mode 100644 index 00000000000..2bf4100b0e3 --- /dev/null +++ b/russian/lts/security/2015/dla-151.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что обновление, выпущенное для libxml2 в <a href="../2014/dsa-2978">DSA 2978</a> и исправляющее +<a href="https://security-tracker.debian.org/tracker/CVE-2014-0191">CVE-2014-0191</a>, неполно. Это приводит к тому, что libxml2 всё ещё загружает +внешние сущности, независимо от того, включена подстановка сущностей или соответствующая проверка +или нет.</p> + +<p>Кроме того, данное обновление исправляет регресс, возникший после <a href="../2014/dsa-3057">DSA 3057</a> из-за +заплаты, исправляющей <a href="https://security-tracker.debian.org/tracker/CVE-2014-3660">CVE-2014-3660</a>. Этот регресс приводит к тому, что libxml2 +не выполняет грамматический разбор сущности, когда она впервые используется в другой сущности путём указания из +значения атрибута.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в libxml2 версии 2.7.8.dfsg-2+squeeze11</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-151.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-152.wml b/russian/lts/security/2015/dla-152.wml new file mode 100644 index 00000000000..bca7d28b757 --- /dev/null +++ b/russian/lts/security/2015/dla-152.wml @@ -0,0 +1,45 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В PostgreSQL, серверной системе реляционных баз данных, было обнаружено +несколько уязвимостей. Поддержка ветки 8.4 в основной ветке разработки прекращена, но она +всё ещё имеется в Debian squeeze. Эта новая младшая версия LTS содержит +исправления, которые были применены в основной ветке разработки к версии 9.0.19, они были адаптированы +к версии 8.4.22, которая является последней версией, официально выпущенной разработчиками +PostgreSQL. Поддержка в squeeze-lts является проектом сообщества, который +спонсируется credativ GmbH.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8161">CVE-2014-8161</a>: + +<p>Утечка информации. +Пользователь, имеющий ограниченный допуск к таблице, может получить доступ к информации +в столбцах, не имея для них прав SELECT, используя серверные сообщения об ошибках.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0241">CVE-2015-0241</a>: + +<p>Чтение/запись за пределами буфера. +Функция to_char() может выполнять чтение/запись за границами буфера. Это +может приводить к аварийной остановке сервера при обработке форматирования шаблона.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0243">CVE-2015-0243</a>: + +<p>Переполнения буфера в contrib/pgcrypto. +Модуль pgcrypto уязвим к переполнению буфера, которое может приводить к +аварийной остановке сервера.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0244">CVE-2015-0244</a>: + +<p>Инъекция команд SQL. +Эмиль Леннгрен сообщил, что злоумышленник может вводить команды SQL в случае, когда +теряется синхронизация между клиентом и сервером.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в postgresql-8.4 версии 8.4.22lts1-0+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-152.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-153.wml b/russian/lts/security/2015/dla-153.wml new file mode 100644 index 00000000000..98ad3a0b37d --- /dev/null +++ b/russian/lts/security/2015/dla-153.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Сломанная (или специально сформированная) файловая система может вызвать переполнение +буфера в e2fsprogs.</p> + +<p>Данное обновление было подготовлено Нгуеном Конгом.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в e2fsprogs версии 1.41.12-4+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-153.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-154.wml b/russian/lts/security/2015/dla-154.wml new file mode 100644 index 00000000000..36764079a7b --- /dev/null +++ b/russian/lts/security/2015/dla-154.wml @@ -0,0 +1,27 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>nss 3.12.8-1+squeeze11 исправляет две проблемы безопасности:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3389">CVE-2011-3389</a> + + <p>Соединения SSL 3.0 и TLS 1.0 уязвимы к некоторым избранным + атакам через открытый текст, что позволяет злоумышленникам, использующим принципы атаки человек-в-середине, + получать HTTP-заголовки в виде открытого текста из сессии HTTPS. Эта проблема известна как + атака <q>BEAST</q>.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1569">CVE-2014-1569</a> + + <p>Возможная утечка информации при слишком нестрогом ASN.1 DER декодировании + длины.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в nss версии 3.12.8-1+squeeze11</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-154.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-155.wml b/russian/lts/security/2015/dla-155.wml new file mode 100644 index 00000000000..2ea46a0a15c --- /dev/null +++ b/russian/lts/security/2015/dla-155.wml @@ -0,0 +1,95 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В данном обновлении исправлены описываемые ниже CVE.</p> + +<p>Была рассмотрена ещё одна проблема, <a href="https://security-tracker.debian.org/tracker/CVE-2014-9419">CVE-2014-9419</a>, но, как кажется, для +её исправления требуется внести существенные изменения, имеющие высокий риск последующей регрессии. Скорее +всего она не будет исправлена в squeeze-lts.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6885">CVE-2013-6885</a> + + <p>Было обнаружено, что при определённых обстоятельствах комбинация + операций записи в память комбинированной записи и блокировка инструкций + ЦП может вызвать зависание ядра процессора на процессорах AMD 16h с 00h + по 0Fh. Локальный пользователь может использовать эту уязвимость для вызова отказа + в обслуживании (зависание системы) с помощью специально сформированного приложения.</p> + + <p>За дополнительной информации обращайтесь к информации об ошибках AMD CPU номер 793 по адресу + <a href="http://support.amd.com/TechDocs/51810_16h_00h-0Fh_Rev_Guide.pdf">http://support.amd.com/TechDocs/51810_16h_00h-0Fh_Rev_Guide.pdf</a></p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7822">CVE-2014-7822</a> + + <p>Было обнаружено, что системный вызов splice() не выполняет проверку + отступа и длины данного файла. Локальный непривилегированный пользователь может использовать + эту уязвимость для повреждения файловой системы на разделах с файловой системой ext4 либо + для других потенциальных действий.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8133">CVE-2014-8133</a> + + <p>Было обнаружено, что функциональность espfix можно обойти путём + установки 16-битного RW-сегмента данных в GDT вместо LDT (что + проверяется espfix) и использования его в качестве стека. Локальный непривилегированный пользователь + потенциально может использовать эту уязвимость для вызова утечки адресов стека ядра.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8134">CVE-2014-8134</a> + + <p>Было обнаружено, что функциональность espfix ошибочно отключается в + 32-битной гостевой системе KVM. Локальный непривилегированный пользователь потенциально + может использовать эту уязвимость для вызова утечки адресов стека ядра.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8160">CVE-2014-8160</a> + + <p>Было обнаружено, что правило netfilter (iptables или ip6tables), + принимающее пакеты на отдельных портах и конечных точках SCTP, DCCP, GRE + и UDPlite может приводить к некорректному состоянию отслеживания соединения. + Если загружен только общий модуль отслеживания соединения (nf_conntrack), + а не модуль отслеживания соединения для конкретного протокола, + то это может позволить получить доступ к любому порту или конечной точке этого + протокола.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9420">CVE-2014-9420</a> + + <p>Было обнаружено, что реализация файловой системы ISO-9660 (isofs) + следует по цепочкам произвольной длины (включая циклы) пунктов + продолжения (CE). Это позволяет локальным пользователям вызывать отказ в + обслуживании с помощью специально сформированного образа диска.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9584">CVE-2014-9584</a> + + <p>Было обнаружено, что реализация файловой системы ISO-9660 (isofs) + не выполняет проверку длины значения в поле системного использования + ссылок расширений (ER), что позволяет локальным пользователям получать чувствительную + информацию из памяти ядра с помощью специально сформированного образа диска.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9585">CVE-2014-9585</a> + + <p>Было обнаружено, что рандомизация адресов для vDSO в + 64-битных процессах чрезвычайно предсказуема. Локальный непривилегированный пользователь + потенциально может использовать эту уязвимость для обхода механизма + защиты ASLR.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1421">CVE-2015-1421</a> + + <p>Было обнаружено, что реализация SCTP может освободить состояние + аутентификации в то время, как оно ещё используется, что приводит к повреждению содержимого + памяти. Это может позволить удалённым пользователям вызвать отказ в + обслуживании или повышение привилегий.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1593">CVE-2015-1593</a> + + <p>Было обнаружено, что рандомизация адресов начального стека в + 64-битных процессах ограничена 20, а не 22 битами энтропии. + Локальный непривилегированный пользователь потенциально может использовать эту уязвимость для + обхода механизма защиты ASLR.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете linux-2.6 версии 2.6.32-48squeeze11</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-155.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-156.wml b/russian/lts/security/2015/dla-156.wml new file mode 100644 index 00000000000..ba3b9ba46c1 --- /dev/null +++ b/russian/lts/security/2015/dla-156.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Ричард ван Иден из Microsoft Vulnerability Research обнаружил, что +Samba, файловый сервер, сервер печати и аутентификации SMB/CIFS для Unix, содержит +уязвимость в серверном коде netlogon, которая позволяет удалённо выполнять код с +правами суперпользователя из неаутентифицированного подключения.</p> + +<p>В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в +версии 2:3.5.6~dfsg-3squeeze12.</p> + +<p>В стабильном выпуске (wheezy) эта проблема была исправлена в +версии 2:3.6.6-6+deb7u5.</p> + +<p>Рекомендуется обновить пакеты samba.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-156.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-157.wml b/russian/lts/security/2015/dla-157.wml new file mode 100644 index 00000000000..d1a4d763c8a --- /dev/null +++ b/russian/lts/security/2015/dla-157.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В OpenJDK, реализации платформы Oracle Java, было обнаружено несколько +уязвимостей, которые приводят к выполнению произвольного +кода, раскрытию информации или отказу в обслуживании.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в openjdk-6 версии 6b34-1.13.6-1~deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-157.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-158.wml b/russian/lts/security/2015/dla-158.wml new file mode 100644 index 00000000000..49a149eac6e --- /dev/null +++ b/russian/lts/security/2015/dla-158.wml @@ -0,0 +1,39 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Request Tracker, расширяемой системе отслеживания билетов, были +обнаружены многочисленные уязвимости. Проект Common Vulnerabilities +and Exposures определяет следующие проблемы:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9472">CVE-2014-9472</a> + + <p>Кристиан Лоос обнаружил вызываемый удалённо отказ в обслуживании, + который может использоваться через узел электронной почты и который касается любой установки, + принимающей почту из недоверенных источников. В зависимости от настроек журналирования + в RT удалённый злоумышленник может использовать + данную уязвимость для чрезмерного потребления ресурсов ЦП и пространства на диске.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1165">CVE-2015-1165</a> + + <p>Кристиан Лоос обнаружил раскрытие информации, которое может приводить к + раскрытию URL RSS-лент и, таким образом, данных билетов.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1464">CVE-2015-1464</a> + + <p>Было обнаружено, что URL RSS-лент могут использоваться для хищения + сессии, позволяя пользователю, имеющему соответствующий URL, входить от лица + пользователя, создавшего ленту.</p></li> + +</ul> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены +в версии 3.8.8-7+squeeze9.</p> + +<p>Рекомендуется обновить пакеты request-tracker3.8.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-158.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-159.wml b/russian/lts/security/2015/dla-159.wml new file mode 100644 index 00000000000..a8e9ef9ff99 --- /dev/null +++ b/russian/lts/security/2015/dla-159.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Петер Де Вахтер обнаружил, что CUPS, общая система печати UNIX, +неправильно выполняет грамматической разбор сжатых растерных файлов. Передавая +специально сформированный растерный файл, удалённый злоумышленник может использовать эту +уязвимость для вызова переполнения буфера.</p> + +<p>В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в +версии 1.4.4-7+squeeze7.</p> + +<p>В стабильном выпуске (wheezy) эта проблема была исправлена в +версии 1.5.3-5+deb7u5.</p> + +<p>Рекомендуется обновить пакеты cups.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-159.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-160.wml b/russian/lts/security/2015/dla-160.wml new file mode 100644 index 00000000000..4f030d38eb3 --- /dev/null +++ b/russian/lts/security/2015/dla-160.wml @@ -0,0 +1,42 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет описанные ниже CVE.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0106">CVE-2014-0106</a> + + <p>Тодд Миллер сообщил, что если опция env_reset отключена в + файле sudoers, то опция env_delete неправильно применяется + к переменным окружения, указанным в командной строке. Злоумышленник + с правами на использование sudo может запустить произвольные + команды с повышенными правами доступа путём изменения окружения + команды, которую этому пользователю разрешено запускать.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9680">CVE-2014-9680</a> + + <p>Якуб Вилк сообщил, что sudo сохраняет переменную TZ из пользовательского + окружения без какой-либо её очистки. Пользователь с доступом к sudo + может использовать это для того, чтобы использовать ошибки в функциях библиотеки + C, которые выполняют грамматический разбор переменной окружения TZ, или для открытия + файлов, которые в противном случае этому пользователю открывать + нельзя. Последнее может потенциально вызвать изменения + в поведении системы при чтении определённых + специальных файлов устройств или вызвать блокировку запуска программы + через sudo.</p></li> + +</ul> + +<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены +в версии 1.7.4p4-2.squeeze.5.</p> + +<p>В стабильном выпуске (wheezy) они были исправлены в версии +1.8.5p2-1+nmu2.</p> + +<p>Рекомендуется обновить пакеты sudo.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-160.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-161.wml b/russian/lts/security/2015/dla-161.wml new file mode 100644 index 00000000000..ef4a4652d4a --- /dev/null +++ b/russian/lts/security/2015/dla-161.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что libgtk2-perl, интерфейс Perl к библиотеке набора инструментов +Gimp серии 2.x, ошибочно освобождает память, с которой ещё работает GTK+ +и к которой он может позже обратиться, что приводит к отказу в обслуживании +(аварийная остановка приложения) или потенциальному выполнению произвольного кода.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в libgtk2-perl версии 2:1.222-1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-161.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-162.wml b/russian/lts/security/2015/dla-162.wml new file mode 100644 index 00000000000..c3e53e14ae5 --- /dev/null +++ b/russian/lts/security/2015/dla-162.wml @@ -0,0 +1,24 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Жозе Дуарт из команды безопасности Google обнаружил переполнение буфера в +e2fsprogs, наборе утилит для файловых систем ext2, ext3 и +ext4. Эта проблема потенциально может приводить к выполнению произвольного кода в случае, если +подключено специально подготовленное устройство, система настроена +на его автоматическое монтирование, а процесс монтирования решает запустить fsck +для проверки файловой системы указанного устройства.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1572">CVE-2015-1572</a> + + <p>Неполное исправление <a href="https://security-tracker.debian.org/tracker/CVE-2015-0247">CVE-2015-0247</a>.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в e2fsprogs версии 1.41.12-4+deb6u2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-162.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-163.wml b/russian/lts/security/2015/dla-163.wml new file mode 100644 index 00000000000..98791ab6c56 --- /dev/null +++ b/russian/lts/security/2015/dla-163.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Ян-Пит Менс обнаружил, что DNS-сервер BIND аварийно завершает свою работу при +обработке некорректных смен ключей DNSSEC либо из-за ошибки в +части оператора зоны, либо из-за вмешательства сетевого трафика +злоумышленника. Данная проблема касается настроек с директивами +"dnssec-validation auto;" (в Debian она включена +по умолчанию) или "dnssec-lookaside auto;".</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в bind9 версии 1:9.7.3.dfsg-1~squeeze14</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-163.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-164.wml b/russian/lts/security/2015/dla-164.wml new file mode 100644 index 00000000000..aa72d74f229 --- /dev/null +++ b/russian/lts/security/2015/dla-164.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Якуб Вилк обнаружил, что unace, утилита для распаковки, тестирования и просмотра +архивов .ace, содержит переполнение динамической памяти, приводящее к переполнению +буфера. Если пользователь или автоматизированная система запускают обработку +специально сформированного архива ace, злоумышленник может вызвать отказ в обслуживании +(аварийная остановка приложения) или потенциально выполнить произвольный код.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в unace версии 1.2b-7+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-164.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-165.wml b/russian/lts/security/2015/dla-165.wml new file mode 100644 index 00000000000..62276aeef1a --- /dev/null +++ b/russian/lts/security/2015/dla-165.wml @@ -0,0 +1,129 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В eglibc, версии библиотеки GNU C для Debian, было обнаружено несколько +уязвимостей.</p> + +<ul> + +<li>#553206, +<a href="https://security-tracker.debian.org/tracker/CVE-2015-1472">CVE-2015-1472</a>, +<a href="https://security-tracker.debian.org/tracker/CVE-2015-1473">CVE-2015-1473</a> + + <p>Семейство функций scanf неправильно ограничивает выделение + стека, что позволяет злоумышленникам в зависимости от контекста вызывать + отказ в обслуживании (аварийная остановка) или потенциально выполнять произвольный код.</p> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3405">CVE-2012-3405</a> + + <p>Семейство функций printf неправильно вычисляет длину + буфера, что позволяет злоумышленникам в зависимости от контекста обходить + механизм защиты форматной строки FORTIFY_SOURCE и вызывать + отказ в обслуживании.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3406">CVE-2012-3406</a> + + <p>Семейство функций printf неправильно ограничивает выделение + стека, что позволяет злоумышленникам в зависимости от контекста обходить + механизм защиты форматной строки FORTIFY_SOURCE и вызывать + отказ в обслуживании (аварийная остановка) или потенциально выполнять произвольный код с помощью + специально сформированной форматной строки.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3480">CVE-2012-3480</a> + + <p>Многочисленные переполнения целых чисел в strtod, strtof, strtold, + strtod_l и других связанных функциях позволяют локальным пользователям вызывать + отказ в обслуживании (аварийная остановка приложения) и потенциально выполнять + произвольный код с помощью длинных строк, вызывающих переполнение + буфера.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4412">CVE-2012-4412</a> + + <p>Переполнение целых чисел в функциях strcoll и wcscoll позволяют + злоумышленникам в зависимости от контекста вызывать отказ в обслуживании (аварийная остановка) + или потенциально выполнять произвольный код с помощью длинных строк, вызывающих + переполнение динамической памяти.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4424">CVE-2012-4424</a> + + <p>Переполнение буфера в функциях strcoll и wcscoll + позволяет злоумышленникам в зависимости от контекста вызывать отказ в обслуживании + (аварийная остановка) или потенциально выполнять произвольный код с помощью длинных строк, + вызывающих ошибку malloc и использование функции alloca.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0242">CVE-2013-0242</a> + + <p>Переполнение буфера в функции extend_buffers в коде сравнения + для регулярных выражений позволяет злоумышленникам в зависимости от контекста вызывать + отказ в обслуживании (повреждение содержимого памяти и аварийная остановка) с помощью специально + сформированных многобайтовых символов.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1914">CVE-2013-1914</a>, + <a href="https://security-tracker.debian.org/tracker/CVE-2013-4458">CVE-2013-4458</a> + + <p>Переполнение буфера в функции getaddrinfo позволяет + удалённым злоумышленникам вызывать отказ в обслуживании (аварийная остановка) с помощью + имени узла или IP адреса, которые при их обработке кодом для преобразования домена + приводят к порождению большого числа результатов преобразования.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4237">CVE-2013-4237</a> + + <p>readdir_r позволяет злоумышленникам в зависимости от контекста вызывать отказ в + обслуживании (запись за пределами выделенного буфера памяти и аварийная остановка) или потенциально выполнять + произвольный код с помощью специально подготовленного образа NTFS или службы CIFS.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4332">CVE-2013-4332</a> + + <p>Многочисленные переполнения целых чисел в malloc/malloc.c позволяют + злоумышленникам в зависимости от контекста вызывать отказ в обслуживании (повреждение + содержимого динамической памяти) с помощью большого значения, передаваемого функциям pvalloc, + valloc, posix_memalign, memalign или aligned_alloc.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4357">CVE-2013-4357</a> + + <p>Функции getaliasbyname, getaliasbyname_r, getaddrinfo, getservbyname, + getservbyname_r, getservbyport, getservbyport_r и glob + неправильно ограничивают выделение стека, что позволяет + злоумышленникам в зависимости от контекста вызывать отказ в обслуживании (аварийная остановка) + или потенциально выполнять произвольный код.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4788">CVE-2013-4788</a> + + <p>Если библиотека GNU C статически скомпонована в выполняемый файл, + то реализация PTR_MANGLE не выполняет инициализацию случайного значения + для защитника указателей, поэтому различные механизмы повышения уровня защищённости + оказываются неэффективными.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7423">CVE-2013-7423</a> + + <p>Функция send_dg в resolv/res_send.c неправильно повторно использует + файловые дескрипторы, что позволяет удалённым злоумышленника отсылать + DNS-запросы в неожиданные места с помощью большого числа запросов, приводящих + к вызову функции getaddrinfo.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7424">CVE-2013-7424</a> + + <p>Функция getaddrinfo может попытаться освободить некорректный указатель + при обработке IDN (интернационализированных имён доменов), что позволяет + удалённым злоумышленникам вызывать отказ в обслуживании (аварийная остановка) или потенциально + выполнять произвольный код.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4043">CVE-2014-4043</a> + + <p>Функция posix_spawn_file_actions_addopen не выполняет копирование аргумента + пути в соответствии со спецификацией POSIX, что + позволяет злоумышленникам в зависимости от контекста вызывать использование + указателей после освобождения памяти.</p></li> + +</ul> + +<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены +в версии 2.11.3-4+deb6u5.</p> + +<p>В стабильном выпуске (wheezy) эти проблемы были исправлены в +версии 2.13-38+deb7u8 или более ранних.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-165.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-166.wml b/russian/lts/security/2015/dla-166.wml new file mode 100644 index 00000000000..0307203f0bf --- /dev/null +++ b/russian/lts/security/2015/dla-166.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Александр Черепанов обнаружил, что bsdcpio, реализация +программы <q>cpio</q> из проекта libarchive, может содержать уязвимость, +приводящую к обходу каталога через абсолютные пути.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в libarchive версии 2.8.4.forreal-1+squeeze3</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-166.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-167.wml b/russian/lts/security/2015/dla-167.wml new file mode 100644 index 00000000000..51680a4e65b --- /dev/null +++ b/russian/lts/security/2015/dla-167.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Коусуке Эбихара обнаружил, что redcloth, модуль Ruby для +преобразования разметки Textile в HTML, неправильно выполняет очистку +входных данных. Это позволяет удалённому злоумышленнику выполнять атаки по принципу +межсайтового скриптинга путём инъекции произвольного кода на языке JavaScript в +создаваемый HTML-код.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в redcloth версии 4.2.2-1.1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-167.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-168.wml b/russian/lts/security/2015/dla-168.wml new file mode 100644 index 00000000000..bb104443ab1 --- /dev/null +++ b/russian/lts/security/2015/dla-168.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что Konversation, клиент IRC для KDE, может +аварийно завершить свою работу при получении специально сформированных сообщений, использующих шифрование FiSH.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в konversation версии 1.3.1-2+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-168.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-169.wml b/russian/lts/security/2015/dla-169.wml new file mode 100644 index 00000000000..c7499928d68 --- /dev/null +++ b/russian/lts/security/2015/dla-169.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + <p>В axis, реализации SOAP на Java, была исправлена уязвимость:</p> + + <p>Функция getCN в Apache Axis 1.4 и более ранних версиях неправильно выполняет + проверку того, что имя узла сервера совпадает с именем домена в теме Common Name + (CN) или поле subjectAltName сертификата X.509, что позволяет + злоумышленникам, использующим принцип человек-в-середине, выдавать себя за серверы SSL с помощью сертификата с + темой, определяющей общее имя в поле, которое не является полем CN.</p> + + <p>Благодарим Маркуса Кошани за предоставление исправленного пакета, а также Дэвида Йорма + и Аруна Ниликатту (Red Hat Product Security) за предоставление заплаты.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в axis версии 1.4-12+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-169.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-170.wml b/russian/lts/security/2015/dla-170.wml new file mode 100644 index 00000000000..a1a2bcafca4 --- /dev/null +++ b/russian/lts/security/2015/dla-170.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Томас Клюте обнаружил, что ошибка в mod-gnutls, модуле для Apache, предоставляющем +шифрование SSL и TLS с помощью GnuTLS, приводит к тому, что серверный режим +проверки клиента вообще не запускается в том случае, если не выбраны настройки +каталога. Клиенты с некорректными сертификатами способны +использовать эту уязвимость для того, чтобы получить доступ к этому каталогу.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в mod-gnutls версии 0.5.6-1+squeeze2</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-170.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-171.wml b/russian/lts/security/2015/dla-171.wml new file mode 100644 index 00000000000..64c7eac4197 --- /dev/null +++ b/russian/lts/security/2015/dla-171.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Мариуш Зилек сообщил, что libssh2, клиентская библиотека SSH2, считывает +и использует пакет SSH_MSG_KEXINIT без выполнения необходимых проверок +границ массива при согласовании новой сессии SSH с удалённым сервером. Злоумышленник +может выполнить атаку по принципу человек-в-середине и выдать себя за сервер, что +приведёт к аварийному завершению работы клиента, использующего библиотеку libssh2 (отказ в обслуживании) или +к чтению и использованию неправильных областей памяти этим процессом.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в libssh2 версии 1.2.6-1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-171.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-172.wml b/russian/lts/security/2015/dla-172.wml new file mode 100644 index 00000000000..37efad5b415 --- /dev/null +++ b/russian/lts/security/2015/dla-172.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Добавление заплат 633974b2759d9b92 и 4540e7102b803624 из основной ветки разработки для +удаления символа и преобразования типов YAML в коде для грамматического разбора XML.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в libextlib-ruby версии 0.9.13-2+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-172.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-173.wml b/russian/lts/security/2015/dla-173.wml new file mode 100644 index 00000000000..cdabf993857 --- /dev/null +++ b/russian/lts/security/2015/dla-173.wml @@ -0,0 +1,23 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>MATTA-2015-002</p> + + <p>Флорен Даигни обнаружил, что PuTTY не устанавливает принудительно + допустимый ряд серверных значений по протоколу Диффи-Хеллмана, как то требуется по + RFC 4253, что в случае слабого сервера потенциально позволяет создать + подслушиваемые соединения.</p> + +<p>#779488, +<a href="https://security-tracker.debian.org/tracker/CVE-2015-2157">CVE-2015-2157</a></p> + + <p>Патрик Коулман обнаружил, что PuTTY не очищает информацию о закрытом ключе + SSH-2 из памяти при загрузке и сохранении файлов ключей, что + может приводить к раскрытию закрытого ключа.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в putty версии 0.60+2010-02-20-1+squeeze3</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-173.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-174.wml b/russian/lts/security/2015/dla-174.wml new file mode 100644 index 00000000000..c3f2be5dedf --- /dev/null +++ b/russian/lts/security/2015/dla-174.wml @@ -0,0 +1,30 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено несколько уязвимостей в способе, используемом tcpdump для +обработки некоторых протоколов принтеров. Эти проблемы могут приводить к отказу +в обслуживании или потенциальному выполнению произвольного кода.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0261">CVE-2015-0261</a> + + <p>Отсутствие проверок границ в принтере IPv6 Mobility</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2154">CVE-2015-2154</a> + + <p>Отсутствие проверок границ в принтере ISOCLNS</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2155">CVE-2015-2155</a> + + <p>Отсутствие проверок границ в принтере ForCES</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в tcpdump версии tcpdump_4.1.1-1+deb6u2</p> +<p>Благодарим Ромена Франсуа, подготовившего данное обновление.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-174.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-175.wml b/russian/lts/security/2015/dla-175.wml new file mode 100644 index 00000000000..05ba26b0b48 --- /dev/null +++ b/russian/lts/security/2015/dla-175.wml @@ -0,0 +1,41 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В GnuPG, GNU Privacy Guard, были обнаружены многочисленные уязвимости:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3591">CVE-2014-3591</a> + + <p>Функция расшифровки Elgamal может быть подвержена атаке через сторонний + канал, что было обнаружено исследователями из Тель-Авивского университете. Для того чтобы + противостоять этой проблеме, была включена маскировка шифротекста. Заметьте, что это сильно + влияет на производительность расшифровки Elgamal.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0837">CVE-2015-0837</a> + + <p>Функция mpi_powm() для модульного потенцирования может быть подвержена атаке + через сторонний канал, что вызвано вариациями таймингов в зависимости от данных при + обращении к внутренней предварительно вычисленной таблице.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1606">CVE-2015-1606</a> + + <p>Код для грамматического разбора брелоков ключей неправильно отклоняет определённые типы пакетов, + не относящихся к брелоку, что приводит к обращению к памяти, которая уже была + освобождена. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании + (аварийная остановка) с помощью специально сформированных файлов брелоков ключей.</p></li> + +</ul> + +<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в +версии 1.4.10-4+squeeze7.</p> + +<p>В стабильном выпуске (wheezy) эти проблемы были исправлены в +версии 1.4.12-7+deb7u7.</p> + +<p>Рекомендуется обновить пакеты gnupg.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-175.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-176.wml b/russian/lts/security/2015/dla-176.wml new file mode 100644 index 00000000000..27bf435c1c8 --- /dev/null +++ b/russian/lts/security/2015/dla-176.wml @@ -0,0 +1,31 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В TLS-стеке Mono были исправлены три проблемы.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2318">CVE-2015-2318</a> + + <p>Реализация стека SSL/TLS в Mono не выполняет проверку + порядка сообщений при рукопожатии. Это позволяет осуществлять + различные атаки на протокол. ("SKIP-TLS")</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2319">CVE-2015-2319</a> + + <p>Реализация SSL/TLS в Mono содержит поддержку для + слабых шифров EXPORT и подвержена атаке FREAK.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2320">CVE-2015-2320</a> + + <p>Mono содержит код для отката к SSLv2, который более не требуется + и может считаться небезопасным.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в mono версии 2.6.7-5.1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-176.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-177.wml b/russian/lts/security/2015/dla-177.wml new file mode 100644 index 00000000000..81200e08f39 --- /dev/null +++ b/russian/lts/security/2015/dla-177.wml @@ -0,0 +1,52 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружены +многочисленные уязвимости. Проект Common Vulnerabilities and Exposures +определяет следующие проблемы:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0209">CVE-2015-0209</a> + + <p>Было обнаружено, что некорректный закрытый ключ EC может приводить к + повреждению содержимого памяти.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0286">CVE-2015-0286</a> + + <p>Стивен Хэнсон обнаружил, что функция ASN1_TYPE_cmp() может + аварийно завершить свою работу, что приводит к отказу в обслуживании.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0287">CVE-2015-0287</a> + + <p>Эмилия Кэспер обнаружила повреждение содержимого памяти при выполнении грамматического разбора ASN.1.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0288">CVE-2015-0288</a> + + <p>Было обнаружено, что отсутствие очистки входных данных в функции + X509_to_X509_REQ() может приводить к отказу в обслуживании.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0289">CVE-2015-0289</a> + + <p>Михал Залевски обнаружил разыменование NULL-указателей в коде для выполнения + грамматического разбора PKCS#7, которое приводит к отказу в обслуживании.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0292">CVE-2015-0292</a> + + <p>Было обнаружено, что отсутствие очистки входных данных в коде для декодирования base64 + может приводить к повреждению содержимого памяти.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0293">CVE-2015-0293</a> + + <p>Злоумышленник путём отправки специально сформированного SSLv2-сообщения CLIENT-MASTER-KEY + может вызвать OPENSSL_assert (т. е., принудительное прекращение работы) на + сервере, поддерживающем SSLv2, и на котором включена возможность экспорта шифров.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в openssl версии 0.9.8o-4squeeze20</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-177.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-178.wml b/russian/lts/security/2015/dla-178.wml new file mode 100644 index 00000000000..53ae3dbd608 --- /dev/null +++ b/russian/lts/security/2015/dla-178.wml @@ -0,0 +1,30 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Tor, системе анонимного взаимодействия с низкой задержкой на +основе соединений, было обнаружено несколько проблем.</p> + + <p>Jowr обнаружил, что очень высокая загрузка по DNS-запросам на узле может + вызвать ошибку утверждения.</p> + + <p>Узел может аварийно завершить работу с ошибкой утверждения в том случае, если функции + buf_pullup() будет передан буфер с неправильной разметкой в + неподходящее время.</p> + + <p>При отправлении адреса выбранной точки встречи скрытому сервису + клиенты этого сервиса раскрываются в том случае, если они используют + системы с порядком байтов от младшего к старшему или от старшего к младшему.</p> + +<p>Кроме того, данное обновление отключает поддержку SSLv3 в Tor. Все +версии OpenSSL, используемые в настоящее время в Tor поддерживают TLS 1.0 и более поздних версиях.</p> + +<p>Также данный выпуск содержит обновление базы данных geoIP, используемой Tor, +а также обновление списка каталогов авторитетных серверов, которые клиенты Tor используют +для запуска и которым доверяют подписание документа согласия каталога Tor.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в tor версии 0.2.4.26-1~deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-178.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-180.wml b/russian/lts/security/2015/dla-180.wml new file mode 100644 index 00000000000..794e2cb5b8f --- /dev/null +++ b/russian/lts/security/2015/dla-180.wml @@ -0,0 +1,32 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В GnuTLS, библиотеке, реализующей протоколы TLS и SSL, были обнаружены +многочисленные уязвимости. Проект Common Vulnerabilities and +Exposures определяет следующие проблемы:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8155">CVE-2014-8155</a> + + <p>Отсутствие проверок даты/времени для сертификатов CA</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0282">CVE-2015-0282</a> + + <p>GnuTLS не выполняет проверку совпадения алгоритма подписи RSA PKCS #1 с + алгоритмом подписи в сертификате, что приводит к потенциальному + использованию запрещённого алгоритма без определения этой ситуации.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0294">CVE-2015-0294</a> + + <p>GnuTLS не выполняет проверку того, что два алгоритма подписи совпадают + при импорте сертификата.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в gnutls26 версии 2.8.6-1+squeeze5</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-180.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-181.wml b/russian/lts/security/2015/dla-181.wml new file mode 100644 index 00000000000..bb83d1996f1 --- /dev/null +++ b/russian/lts/security/2015/dla-181.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Антон Рэйджер и Джонатан Броссар из команды безопасности продуктов +Salesforce.com, а также Бен Лоури из Google обнаружили отказ в обслуживании +в xerces-c, библиотеке для грамматического разбора и проверки XML для C++. Код, +выполняющий грамматический разбор, неправильно обрабатывает некоторые виды некорректных входных документов, что приводит +к ошибке сегментирования в ходе грамматического разбора. Неаутентифицированный +злоумышленник может использовать данную уязвимость для вызова аварийной остановки приложения, +использующего библиотеку xerces-c.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в xerces-c версии 3.1.1-1+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-181.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-182.wml b/russian/lts/security/2015/dla-182.wml new file mode 100644 index 00000000000..69c703819f3 --- /dev/null +++ b/russian/lts/security/2015/dla-182.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Николас Грегори и Кевин Шаллер обнаружили, что Batik, набор инструментов +для обработки изображений в формате SVG, по умолчанию загружает внешние +сущности XML. Если пользователь или автоматизированная система открывают +специально сформированный файл SVG, злоумышленник может получить доступ +к произвольным файлам или вызвать чрезмерное потребление ресурсов.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в batik версии 1.7-6+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-182.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-183.wml b/russian/lts/security/2015/dla-183.wml new file mode 100644 index 00000000000..c2d14dc4bd2 --- /dev/null +++ b/russian/lts/security/2015/dla-183.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Илья ван Шпрундель, Алан Куперсмит и Уильям Робине обнаружили +многочисленные проблемы в коде libxfont для обработки шрифтов BDF, которые могут +приводить к повышению привилегий.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в libxfont версии 1:1.4.1-5+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-183.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-184.wml b/russian/lts/security/2015/dla-184.wml new file mode 100644 index 00000000000..629fa72e529 --- /dev/null +++ b/russian/lts/security/2015/dla-184.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В binutils, наборе инструментов для работы с двоичными файлами, были +обнаружены многочисленные уязвимости. Уязвимости включают в себя многочисленные ошибки целостности +содержимого памяти, переполнения буфера, использования указателей после освобождения памяти и другие +ошибки реализации, которые могут приводить к выполнению произвольного кода, обходу ограничений +безопасности, обходу каталога или отказам в обслуживании.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в binutils версии 2.20.1-16+deb6u1</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-184.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-185.wml b/russian/lts/security/2015/dla-185.wml new file mode 100644 index 00000000000..fbf428b1440 --- /dev/null +++ b/russian/lts/security/2015/dla-185.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Матеуш Юржик обнаружил многочисленные уязвимости в Freetype. Открытие +специально сформированных шрифтов может приводить к отказу в обслуживании или выполнению +произвольного кода.</p> + +<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены +в версии 2.4.2-2.1+squeeze5.</p> + +<p>В стабильном выпуске (wheezy) эти проблемы были исправлены в +версии 2.4.9-1.1+deb7u1.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-185.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-186.wml b/russian/lts/security/2015/dla-186.wml new file mode 100644 index 00000000000..59024c151a0 --- /dev/null +++ b/russian/lts/security/2015/dla-186.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Mailman, менеджере списков рассылки, был обнаружен +обход пути. Установки, использующие сценарии передачи почты (такие как +postfix-to-mailman.py) для взаимодействия с MTA вместо статичных +псевдонимов, уязвимы к обходу пути. Для успешного использования +данной проблемы злоумышленнику требуется доступ с правами на запись в локальной файловой системе.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в mailman версии 1:2.1.13-6</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-186.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-187.wml b/russian/lts/security/2015/dla-187.wml new file mode 100644 index 00000000000..c84c157fa25 --- /dev/null +++ b/russian/lts/security/2015/dla-187.wml @@ -0,0 +1,25 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В службе скрытых сервисов Tor, системе анонимного взаимодействия +с низкой задержкой на основе соединений, было обнаружено несколько +отказов в обслуживании.</p> + +<p><q>disgleirio</q> обнаружил, что злоумышленник может вызвать + ошибку утверждения на узле Tor, предоставляющем скрытый сервис, делая + этот сервис недоступным. + [<a href="https://security-tracker.debian.org/tracker/CVE-2015-2928">CVE-2015-2928</a>]</p> + +<p><q>DonnchaC</q> обнаружил, что клиенты Tor могут аварийно завершить работу с ошибкой + утверждения при выполнении грамматического разбора специально сформированных дескрипторов скрытого сервиса. + [<a href="https://security-tracker.debian.org/tracker/CVE-2015-2929">CVE-2015-2929</a>]</p> + +<p>Точки входа принимают многочисленные клетки INTRODUCE1 на одном + круге, что облегчает злоумышленнику переполнение скрытого + сервиса входами. Точки входа более не позволяют + использовать многочисленные клетки на одном и том же круге.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-187.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-188.wml b/russian/lts/security/2015/dla-188.wml new file mode 100644 index 00000000000..bf878a26f2e --- /dev/null +++ b/russian/lts/security/2015/dla-188.wml @@ -0,0 +1,37 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В arj, версии архиватора arj с открытым исходным кодом, были обнаружены +многочисленные уязвимости. Проект Common Vulnerabilities and Exposures +определяет следующие проблемы:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0556">CVE-2015-0556</a> + + <p>Якуб Вилк обнаружил, что arj переходит по символьным ссылкам, создаваемым во время + распаковки архива arj. Удалённый злоумышленник может использовать эту уязвимость + для выполнения обхода каталога в том случае, если пользователь или автоматизированная + система запускает обработку специально сформированного архива arj.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0557">CVE-2015-0557</a> + + <p>Якуб Вилк обнаружил, что arj недостаточно защищён от + обхода каталога при распаковке архива arj, содержащего пути к файлам, содержащими + в начале многочисленные косые черты. Удалённый злоумышленник может использовать + эту уязвимость для записи произвольных файлов в том случае, если пользователь или автоматизированная система + запускает обработку специально сформированного архива arj.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2782">CVE-2015-2782</a> + + <p>Якуб Вилк и Гильом Жовье обнаружили переполнение буфера + в arj. Удалённый злоумышленник может использовать данную уязвимость для вызова + аварийной остановки приложения или потенциального выполнения произвольного кода с + правами пользователя, запустившего arj.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-188.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-189.wml b/russian/lts/security/2015/dla-189.wml new file mode 100644 index 00000000000..24923be0ce9 --- /dev/null +++ b/russian/lts/security/2015/dla-189.wml @@ -0,0 +1,26 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В libgd2, библиотеке для работы с графикой, были обнаружены многочисленные уязвимости:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2497">CVE-2014-2497</a> + + <p>Функция gdImageCreateFromXpm() пытается выполнить разыменование NULL-указателя + при чтении файла XPM со специальной таблицей цветов. Это + может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) с + помощью специально сформированных файлов XPM.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9709">CVE-2014-9709</a> + + <p>Импортирование некорректного файла GIF, используя функцию gdImageCreateFromGif(), + приводит к переполнению буфера чтения, что позволяет удалённым злоумышленникам + вызывать отказ в обслуживании (аварийная остановка) с помощью специально сформированных файлов GIF.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-189.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-190.wml b/russian/lts/security/2015/dla-190.wml new file mode 100644 index 00000000000..697e57fe94d --- /dev/null +++ b/russian/lts/security/2015/dla-190.wml @@ -0,0 +1,26 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В libgcrypt были обнаружены многочисленные уязвимости:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3591">CVE-2014-3591</a> + + <p>Функция расшифровки Elgamal предположительно подвержена атаке через + сторонние каналы, которая была обнаружена исследователями Тель-Авивского университета. Для того, чтобы + противостоять этой атаке было включено скрытие шифротекста. Заметьте, что это может + серьёзно повлиять на производительность Elgamal при расшифровке.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0837">CVE-2015-0837</a> + + <p>Функция модульного потенцирования mpi_powm() предположительно уязвима + к атаке через сторонние каналы путём вариации зависящих от данных таймингов при + обращении к внутренней предварительно вычисленной таблице.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-190.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-191.wml b/russian/lts/security/2015/dla-191.wml new file mode 100644 index 00000000000..1a3122f3c21 --- /dev/null +++ b/russian/lts/security/2015/dla-191.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Хиройа Ито из GMO Pepabo, Inc. сообщил, что checkpw, программа +парольной аутентификации, содержит уязвимость в коде обработки имён учётных записей, +содержащих двойные тире. Удалённый злоумышленник может использовать эту уязвимость для вызова +отказа в обслуживании (бесконечный цикл).</p> + +<p>Выражаем благодарность Маркусу Кошани, который подготовил пакет Debian.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-191.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-192.wml b/russian/lts/security/2015/dla-192.wml new file mode 100644 index 00000000000..0d71f6f2e92 --- /dev/null +++ b/russian/lts/security/2015/dla-192.wml @@ -0,0 +1,49 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1798">CVE-2015-1798</a> + + <p>Если ntpd настроен на использование симметричных ключей для аутентификации удалённого + NTP-сервера или однорангового узла, то он проверяет правильность кода аутентификации (MAC) сообщения NTP в + полученных пакетах, но не проверяет, имеется ли вообще какой-либо MAC. Пакеты без + MAC принимаются как пакеты, содержащие правильный MAC. Это позволяет злоумышленнику MITM, + не имея симметричного ключа, отправлять ложные пакеты, которые принимаются + клиентом или одноранговым узлом. Злоумышленнику нужно знать временную отметку передачи, + чтобы отметка в его поддельном ответе соответствовала её, а ложный ответ должен дойти до + клиента раньше ответа настоящего сервера. Злоумышленнику не обязательно + выполнять роль передатчика пакетов между клиентом и сервером.</p> + + <p>Аутентификация, использующая автоключ, не подвержена этой проблеме, поскольку в ней имеется проверка, + требующая, чтобы идентификатор ключа был больше NTP_MAXKEY. Это условие не выполняется для + пакетов, не имеющих MAC.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1799">CVE-2015-1799</a> + + <p>Злоумышленник, знающий, что NTP-узлы A и B соединяются друг с другом + (симметричная связь), может отправить пакет узлу A с адресом источника B, + что приведёт к установке переменных состояния NTP на A в значения, отправленные злоумышленником. + Затем узел A при следующем опросе отправит B пакет с начальной временной отметкой, + которая не совпадает с временной отметкой передачи B, и этот пакет будет сброшен. + Если злоумышленник периодически выполняет указанные действия на двух узлах, то они не смогут + синхронизироваться друг с другом. Эта ситуация, известная как отказ в обслуживании, и была + описана в <a href="https://www.eecis.udel.edu/~mills/onwire.html">https://www.eecis.udel.edu/~mills/onwire.html</a> .</p> + + <p>Согласно этому документу, аутентификация NTP должна защищать + симметричные связи от этой атаки, но это не + так. Переменные состояния обновляются даже в том случае, когда аутентификация завершилась неудачно, + а одноранговые узлы отправляют пакеты с инициированными временными отметками, которые не совпадают + с временными отметками передачи на получающей стороне.</p> + +<p>ntp-keygen на узлах с порядком байтов от младшего к старшему</p> + + <p>Использование ntp-keygen для создания ключа MD5 на узлах с порядком байтов от младшего к старшему приводит + либо к возникновению бесконечного цикла, либо к тому, что создаётся ключ лишь из 93 возможных ключей.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-192.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-193.wml b/russian/lts/security/2015/dla-193.wml new file mode 100644 index 00000000000..37f57a23fa6 --- /dev/null +++ b/russian/lts/security/2015/dla-193.wml @@ -0,0 +1,63 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1853">CVE-2015-1853</a>: + + <p>Защита аутентифицированных симметричных связей NTP от атак с целью вызова отказа в обслуживании.</p> + + <p>Злоумышленник, знающий о том, что узлы A и B связываются друг с другом + (симметричная связь), может отправить пакет со случайной временной отметкой узлу + A с адресом источника B, что приведёт к установке переменных состояния NTP на узле A + в значения, отправленные злоумышленником. Затем узел A при следующем опросе отправит B + пакет с начальной временной отметкой, которая не совпадает с + временной отметкой передачи B, и этот пакет будет сброшен. Если злоумышленник + периодически выполняет указанные действия на двух узлах, то они не смогут + синхронизироваться друг с другом. Это отказ в обслуживании.</p> + + <p>Согласно <a href="https://www.eecis.udel.edu/~mills/onwire.html">https://www.eecis.udel.edu/~mills/onwire.html</a>, аутентификация NTP должна защищать симметричные + связи это таких атак, но по спецификации NTPv3 (RFC 1305) и NTPv4 + (RFC 5905) переменные состояния обновляются до выполнения + проверки аутентификации, что означает, что связь + уязвима к атаке даже в случае включения аутентификации.</p> + + <p>Для исправления этой проблемы сохраняйте начальные и локальные временные метки только в том случае, когда + проверка аутентификации (test5) завершается успешно.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1821">CVE-2015-1821</a>: + + <p>Исправление настройки доступа с размером подсети, который не делится на 4.</p> + + <p>При настройке доступа NTP или cmdmon (в chrony.conf или с помощью + аутентифицированного cmdmon) с размером подсети, который не делится на 4, и + адресом, которые содержит ненулевые биты в 4-битном остатке подсети (например, + 192.168.15.0/22 или f000::/3), новые опции записываются в + неправильное место, которое может находится за пределами выделенного массива.</p> + + <p>Злоумышленник, имеющий командный ключ и доступ к cmdmon + (по умолчанию доступ имеется только с локальной машины), может использовать эту уязвимость для + аварийной остановки chronyd или потенциального выполнения произвольного кода с правами + процесса chronyd.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1822">CVE-2015-1822</a>: + + <p>Исправление инициализации слотов ответов для аутентифицированных команд.</p> + + <p>При выделении памяти для сохранения неподтверждённых ответов на аутентифицированные + командные запросы последний указатель <q>next</q> не инициализируется со значением NULL. + Когда все выделенные слоты ответов уже использованы, следующий ответ может + быть записан в неверную область памяти вместо выделения для него нового слота.</p> + + <p>Злоумышленник, имеющий командный ключ и доступ к cmdmon + (по умолчанию доступ имеется только с локальной машины), может использоваться эту уязвимость для + аварийной остановки chronyd или потенциального выполнения произвольного кода с правами + процесса chronyd.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-193.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-194.wml b/russian/lts/security/2015/dla-194.wml new file mode 100644 index 00000000000..e080cbe461c --- /dev/null +++ b/russian/lts/security/2015/dla-194.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Адам Сэмпсон обнаружил переполнение буфера в коде обработки +переменной окружения XAUTHORITY в das-watchdog, службе watchdog для +проверки того, чтобы процессы реального времени не приводили к зависанию машины. Локальный пользователь может +использовать эту уязвимость для повышения привилегий и выполнения произвольного +кода от лица суперпользователя.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-194.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-195.wml b/russian/lts/security/2015/dla-195.wml new file mode 100644 index 00000000000..af169b02bff --- /dev/null +++ b/russian/lts/security/2015/dla-195.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Ханно Бёк обнаружил переполнение буфера в функции +asn1_der_decoding в Libtasn1, библиотеке для работы со структурами +ASN.1. Удалённый злоумышленник может использовать эту уязвимость для +аварийной остановки приложения, использующего библиотеку Libtasn1, или для +потенциального выполнения произвольного кода.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-195.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-196.wml b/russian/lts/security/2015/dla-196.wml new file mode 100644 index 00000000000..518e7bed4c3 --- /dev/null +++ b/russian/lts/security/2015/dla-196.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Пакеты ia32-libs и ia32-libs-gtk содержат 32-битные версии различных +библиотек, предназначенные для использования в 64-битных системах. Данное обновление содержит все +исправления безопасности, которые были выпущены для этих библиотек с момента предыдущего обновления пакетов ia32-libs +и ia32-libs-gtk в Squeeze LTS.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-196.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-197.wml b/russian/lts/security/2015/dla-197.wml new file mode 100644 index 00000000000..cbb3c5113ff --- /dev/null +++ b/russian/lts/security/2015/dla-197.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В libvncserver, библиотеке, реализующей функциональность сервера VNC, было +обнаружено несколько уязвимостей. Эти уязвимости могут приводить к +выполнению произвольного кода или отказу в обслуживании и на стороне клиента, +и на стороне сервера.</p> + +<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в +версии 0.9.7-2+deb6u1.</p> + +<p>Данное обновление было подготовлено Нгуеном Конгом.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-197.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-198.wml b/russian/lts/security/2015/dla-198.wml new file mode 100644 index 00000000000..d041bec2b47 --- /dev/null +++ b/russian/lts/security/2015/dla-198.wml @@ -0,0 +1,38 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В версии Wireshark из Squeeze были обнаружены следующие +уязвимости:</p> + +<ul> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2188">CVE-2015-2188</a> Диссектор WCP может аварийно завершить свою работу</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0564">CVE-2015-0564</a> Wireshark может аварийно завершить работу при расшифровке сессий TLS/SSL</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0562">CVE-2015-0562</a> Диссектор DEC DNA Routing Protocol может аварийно завершить свою работу</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8714">CVE-2014-8714</a> Бесконечные циклы в TN5250</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8713">CVE-2014-8713</a> Аварийная остановка NCP</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8712">CVE-2014-8712</a> Аварийная остановка NCP</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8711">CVE-2014-8711</a> Аварийная остановка AMQP</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8710">CVE-2014-8710</a> Переполнение буфера в SigComp UDVM</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6432">CVE-2014-6432</a> Аварийная остановка кода для грамматического разбора файлов в анализаторе</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6431">CVE-2014-6431</a> Аварийная остановка кода для грамматического разбора файлов в анализаторе</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6430">CVE-2014-6430</a> Аварийная остановка кода для грамматического разбора файлов в анализаторе</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6429">CVE-2014-6429</a> Аварийная остановка кода для грамматического разбора файлов в анализаторе</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6428">CVE-2014-6428</a> Аварийная остановка диссектора SES</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6423">CVE-2014-6423</a> Бесконечный цикл в диссекторе MEGACO</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6422">CVE-2014-6422</a> Аварийная остановка диссектора RTP</li> +</ul> + +<p>С момента адаптации заплат из основной ветки разработки к версии 1.2.11-6+squeeze15 были исправлены +не все серьёзные проблемы, а некоторые проблемы даже не отслеживались публично, +поэтому команда долгосрочной поддержки решила синхронизировать пакет в squeeze-lts с +пакетов в wheezy-security с целью предоставления лучшей поддержки безопасности.</p> + +<p>Заметьте, что обновление Wireshark с версии 1.2.x до версии 1.8.x вносит +несколько несовместимых изменений, относящихся к структуре пакета, API/ABI разделяемой +библиотеки, доступности диссекторов, а также синтаксису параметров +командной строки.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-198.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-199.wml b/russian/lts/security/2015/dla-199.wml new file mode 100644 index 00000000000..939afaf10af --- /dev/null +++ b/russian/lts/security/2015/dla-199.wml @@ -0,0 +1,23 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Абхишек Арья обнаружил переполнение буфера в макросе MakeBigReq, +предоставляемом libx11, которое может приводить к отказу в обслуживании или +выполнению произвольного кода.</p> + +<p>Несколько других пакетов xorg (напр., libxrender) после данного обновления +должны быть собраны заново с использованием исправленного пакета. Подробную +информацию о статусе скомпилированных заново пакетов см. в +службе отслеживания безопасности Debian по адресу +<a href="https://security-tracker.debian.org/tracker/CVE-2013-7439">CVE-2013-7439</a></p> + +<p>В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена +в версии 2:1.3.3-4+squeeze2.</p> + +<p>В стабильном выпуске (wheezy) эта проблема была исправлена в +версии 2:1.5.0-1+deb7u2.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-199.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-200.wml b/russian/lts/security/2015/dla-200.wml new file mode 100644 index 00000000000..d7c79569ef6 --- /dev/null +++ b/russian/lts/security/2015/dla-200.wml @@ -0,0 +1,26 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4975">CVE-2014-4975</a> + + <p>Функция encodes() в pack.c содержит ошибку на единицу, которая может + приводить к переполнению буфера. Это позволяет удалённым + злоумышленникам вызывать отказ в обслуживании (аварийная остановка) или выполнение + произвольного кода.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8080">CVE-2014-8080</a>, + <a href="https://security-tracker.debian.org/tracker/CVE-2014-8090">CVE-2014-8090</a> + + <p>Код для грамматического разбора REXML может выделить строковые объекты + большого размера, что приводит к потреблению всей доступной памяти системы. Это + может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка).</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-200.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-202.wml b/russian/lts/security/2015/dla-202.wml new file mode 100644 index 00000000000..5c6e790a790 --- /dev/null +++ b/russian/lts/security/2015/dla-202.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Игнасио Моралле обнаружил, что отсутствие ограничений на пути в +игре <q>Battle of Wesnoth</q> может приводить к раскрытию произвольных +файлов в домашнем каталоге пользователя в случае загрузки специально сформированных +кампаний/карт.</p> + +<p>В предыдущем стабильном выпуске (squeeze) эта проблема была +исправлена в версии 1:1.8.5-1+deb6u1. Версии для других выпусков см. в +<a href="./dsa-3218">DSA-3218-1</a>.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-202.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-203.wml b/russian/lts/security/2015/dla-203.wml new file mode 100644 index 00000000000..66000dc0fe3 --- /dev/null +++ b/russian/lts/security/2015/dla-203.wml @@ -0,0 +1,55 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В OpenLDAP, свободной реализации протокола LDAP, были обнаружены +многочисленные уязвимости.</p> + +<p>Внимательно проверьте, подвержены ли ваши системы <a href="https://security-tracker.debian.org/tracker/CVE-2014-9713">CVE-2014-9713</a>: если +да, то вам следует вручную обновить ваши настройки! Подробности по этому поводу +см. ниже. Обычного обновления пакетов недостаточно!</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-1164">CVE-2012-1164</a> + + <p>Исправление аварийной остановки при выполнении поиска attrsOnly из базы данных, настроенной + с оверлеями rwm и translucent.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4449">CVE-2013-4449</a> + + <p>Михаэль Фишерс из Seven Principles AG обнаружил отказ в + обслуживании в slapd, реализации сервера каталогов. + Если сервер настроен на использование оверлея RWM, то злоумышленник + может аварийно завершить его работу путём отмены соединения, что происходит из-за + проблемы с подсчётом ссылок.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9713">CVE-2014-9713</a> + + <p>Настройки базы данных каталогов в Debian по умолчанию позволяют + каждому пользователю редактировать собственные атрибуты. Если каталоги LDAP + используются для управления доступом, и это сделано через пользовательские атрибуты, + то аутентифицированный пользователь может использовать это для получения доступа к неавторизованным + ресурсам.</p> + + <p>Заметьте, что эта уязвимость касается конкретно Debian.</p> + + <p>В новом пакете не используется небезопасное правило управления доступом для новых + баз данных, но существующие настройки не будут изменены + автоматически. Администраторам рекомендуется ознакомиться с файлом README.Debian, + содержащимся в обновлённом пакете в том случае, если им следует исправить правило + управления доступом.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1545">CVE-2015-1545</a> + + <p>Райан Тэнди обнаружил отказ в обслуживании в slapd. + При использовании оверлея deref передача пустого списка атрибутов в + запросе приводит к аварийной остановке службы.</p></li> + +</ul> + +<p>Выражаем благодарность Райану Тэнди за подготовку данного обновления.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-203.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-204.wml b/russian/lts/security/2015/dla-204.wml new file mode 100644 index 00000000000..d77e013843f --- /dev/null +++ b/russian/lts/security/2015/dla-204.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет следующую проблему в пакете file:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9653">CVE-2014-9653</a> + + <p>readelf.c не определяет, что pread иногда вызывает подмножество доступных + данных в режиме только для чтения, что позволяет удалённым злоумышленникам + вызывать отказ в обслуживании (обращение к неинициализированной области памяти) или + оказывать какое-либо другое влияние на безопасность системы с помощью специально сформированного файла ELF.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-204.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-205.wml b/russian/lts/security/2015/dla-205.wml new file mode 100644 index 00000000000..784e3c2d18d --- /dev/null +++ b/russian/lts/security/2015/dla-205.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Эммануэль Рокка обнаружил, что ppp, служба, реализующая +двухточечный протокол, содержит переполнение буфера, которое возникает +при взаимодействии с сервером RADIUS. Это позволяет неаутентифицированным +пользователям вызывать отказ в обслуживании путём аварийного завершения работы службы.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-205.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-206.wml b/russian/lts/security/2015/dla-206.wml new file mode 100644 index 00000000000..daf5ff25816 --- /dev/null +++ b/russian/lts/security/2015/dla-206.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Джеймс Тёрк обнаружил, что код отрисовки ReST в django-markupfield, +специальном поле Django для облегчения использования разметки в текстовых полях, не +отключает директиву ..raw, что позволяет удалённым злоумышленникам добавлять +произвольные файлы.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-206.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-207.wml b/russian/lts/security/2015/dla-207.wml new file mode 100644 index 00000000000..1a354d99e3e --- /dev/null +++ b/russian/lts/security/2015/dla-207.wml @@ -0,0 +1,39 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Subversion, системе управления версиями, было обнаружено несколько +уязвимостей. Проект Common Vulnerabilities and Exposures определяет +следующие проблемы:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0248">CVE-2015-0248</a> + + <p>Subversion mod_dav_svn и svnserve уязвимы к вызываемой удалённо + ошибке утверждения, приводящей к отказу в обслуживании при определённых запросах с + динамически оцениваемыми номерами ревизии.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0251">CVE-2015-0251</a> + + <p>HTTP-серверы Subversion позволяют подделывать значения свойства svn:author для + новых ревизий с помощью специально сформированных последовательностей запросов по + протоколу HTTP v1.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1845">CVE-2013-1845</a> + + <p>Subversion mod_dav_svn уязвим к отказу в обслуживании + через вызываемое удалённо чрезмерное потребление памяти.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1846">CVE-2013-1846</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2013-1847">CVE-2013-1847</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2013-1849">CVE-2013-1849</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2014-0032">CVE-2014-0032</a> + + <p>Subversion mod_dav_svn уязвим к многочисленным вызываемым удалённо + аварийным установкам.</p></li> + +</ul> + +<p>Данное обновление было подготовлено Джеймсом Маккоем.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-207.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-209.wml b/russian/lts/security/2015/dla-209.wml new file mode 100644 index 00000000000..83ef0a2ee09 --- /dev/null +++ b/russian/lts/security/2015/dla-209.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>JRuby до версии 1.6.5.1 вычисляет хеш-значения без ограничения возможности +предсказуемо вызывать столкновения хешей, что в зависимости от контекста позволяет злоумышленникам +вызывать отказ в обслуживании (чрезмерное потребление ресурсов ЦП) при помощи специально сформированных +входных данных приложения, работающего с таблицей хешей. Внимание: данное обновление включает в себя +исправления оригинального исправления для более поздних выпусков Debian с целью избежать проблемы, +определяемые в <a href="https://security-tracker.debian.org/tracker/CVE-2012-5370">CVE-2012-5370</a>.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-209.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-210.wml b/russian/lts/security/2015/dla-210.wml new file mode 100644 index 00000000000..4aba21c9bb7 --- /dev/null +++ b/russian/lts/security/2015/dla-210.wml @@ -0,0 +1,25 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет многочисленные уязвимости в библиотеке Qt.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0254">CVE-2013-0254</a> + + <p>Класс QSharedMemory использует слабые права доступа (доступ для чтения и записи + для всех пользователей) для сегментов разделяемой памяти, что позволяет локальным пользователям + считывать чувствительную информацию или изменять критические данные программы, что + демонстрируется чтением пиксельных изображений, отправляемых X-серверу.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0295">CVE-2015-0295</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2015-1858">CVE-2015-1858</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2015-1859">CVE-2015-1859</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2015-1860">CVE-2015-1860</a> + + <p>Отказ в обслуживании (через ошибки сегментирования) при помощи специально + сформированных изображений (BMP, GIF, ICO).</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-210.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-211.wml b/russian/lts/security/2015/dla-211.wml new file mode 100644 index 00000000000..0172d021241 --- /dev/null +++ b/russian/lts/security/2015/dla-211.wml @@ -0,0 +1,27 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В cURL, библиотеке передачи URL, было обнаружено несколько уязвимостей:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3143">CVE-2015-3143</a> + + <p>Соединения, аутентифицированные с помощью NTLM, могут ошибочно повторно использоваться для запросов + без каких-либо данных учётной записи, что приводит к тому, что HTTP-запросы отправляются + по соединению, аутентифицированному от другого пользователя. Эта проблема + схожа с проблемой, исправленной в DSA-2849-1.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3148">CVE-2015-3148</a> + + <p>При выполнении HTTP-запросов, использующих метод аутентификации Negotiate + наряду с NTLM, используемое соединение не отмечается как + аутентифицированное, что позволяет его повторно использовать и отправлять запросы + одного пользователя по соединению, аутентифицированному от другого пользователя.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-211.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-212.wml b/russian/lts/security/2015/dla-212.wml new file mode 100644 index 00000000000..39bf06619dc --- /dev/null +++ b/russian/lts/security/2015/dla-212.wml @@ -0,0 +1,71 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9705">CVE-2014-9705</a> + + <p>Переполнение динамической памяти в функции enchant_broker_request_dict + в ext/enchant/enchant.c в PHP до версии 5.4.38, 5.5.x + до версии 5.5.22 и 5.6.x до версии 5.6.6 позволяет удалённым злоумышленникам + выполнять произвольный код через векторы, выполняющие создание + нескольких словарей.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0232">CVE-2015-0232</a> + + <p>Функция exif_process_unicode в ext/exif/exif.c в PHP + до версии 5.4.37, 5.5.x до версии 5.5.21 и 5.6.x до версии 5.6.5 + позволяет удалённым злоумышленникам выполнять произвольный код или вызывать + отказ в обслуживании (освобождение неинициализированного указателя и аварийная + остановка приложения) через специально сформированные данные EXIF в изображениях в формате JPEG.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2301">CVE-2015-2301</a> + + <p>Использование указателей после освобождения в функции phar_rename_archive + в phar_object.c в PHP до версии 5.5.22 и 5.6.x до версии 5.6.6 + позволяет удалённым злоумышленникам вызывать отказ в обслуживании или потенциально + оказывать другое влияние на безопасность через векторы, выполняющие попытку + переименования архива Phar в имя существующего файла.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2331">CVE-2015-2331</a> + + <p>Переполнение целых чисел в функции _zip_cdir_new в zip_dirent.c + в libzip 0.11.2 и более ранних версиях, используемой в расширении ZIP в PHP + до версии 5.4.39, 5.5.x до версии 5.5.23 и 5.6.x до версии 5.6.7 + и других продуктах позволяет удалённым злоумышленникам вызывать отказ в + обслуживании (аварийная остановка приложения) или потенциально выполнять произвольный код + с помощью ZIP-архива, содержащего много записей, что приводит + к переполнению динамической памяти.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2783">CVE-2015-2783</a> + + <p>Чтение за пределами выделенного буфера памяти в коде десериализации при выполнении грамматического разбора Phar</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2787">CVE-2015-2787</a> + + <p>Использование указателей после освобождения памяти в функции process_nested_data + в ext/standard/var_unserializer.re в PHP до версии 5.4.39, 5.5.x + до версии 5.5.23 и 5.6.x до версии 5.6.7 позволяет удалённым злоумышленникам + выполнять произвольный код через специально сформированный десериализованный вызов, + использующий функцию unset в функции __wakeup. + Эта проблема связана с <a href="https://security-tracker.debian.org/tracker/CVE-2015-0231">CVE-2015-0231</a>.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3329">CVE-2015-3329</a> + + <p>Переполнение буфера при выполнении грамматического разбора tar/zip/phar в phar_set_inode</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3330">CVE-2015-3330</a> + + <p>Потенциально удалённое выполнение кода PHP с apache 2.4 apache2handler</p> + +<li>CVE-2015-temp-68819 + + <p>Отказ в обслуживании при обработке специально сформированного файла с Fileinfo</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-212.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-213.wml b/russian/lts/security/2015/dla-213.wml new file mode 100644 index 00000000000..b5e2126a3b0 --- /dev/null +++ b/russian/lts/security/2015/dla-213.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В OpenJDK, реализации платформы Oracle Java, было обнаружено несколько +уязвимостей, приводящих к выполнению произвольного кода, +выходу за пределы песочницы Java, раскрытию информации +или отказу в обслуживании.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии +6b35-1.13.7-1~deb6u1.</p> + +<p>Рекомендуется обновить пакеты openjdk-6.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-213.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-214.wml b/russian/lts/security/2015/dla-214.wml new file mode 100644 index 00000000000..113754cf28c --- /dev/null +++ b/russian/lts/security/2015/dla-214.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В некоторых ситуациях функция XML::LibXML не выполняет запрос на отключение раскрытия +сущностей. Приложения, обрабатывающие недоверенные документы XML, могут +раскрывать содержимое локальных файлов.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в libxml-libxml-perl +версии 1.70.ds-1+deb6u1.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-214.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-215.wml b/russian/lts/security/2015/dla-215.wml new file mode 100644 index 00000000000..39676046dbe --- /dev/null +++ b/russian/lts/security/2015/dla-215.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Модуль JSON для Ruby позволяет удалённым злоумышленникам вызывать отказ +в обслуживании (чрезмерное потребление ресурсов) или обходить механизм защиты от массового +присваивания при помощи специально сформированного документа в формате JSON, который вызывает создание +произвольных символов Ruby или определённых внутренних объектов, что демонстрируется +выполнением SQL-инъекции в Ruby on Rails и также известно как <q>Небезопасное +создание объекта</q>.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в libjson-ruby +версии 1.1.9-1+deb6u1.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-215.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-216.wml b/russian/lts/security/2015/dla-216.wml new file mode 100644 index 00000000000..813d7108d7d --- /dev/null +++ b/russian/lts/security/2015/dla-216.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3609">CVE-2014-3609</a>: + +<p>Отказ в обслуживании в коде обработки заголовка Range.</p> + +<p>Игнорируются заголовки Range с неопределёнными байтовыми значениями. Если squid +не может определить байтовое значение для отрезков, то такой заголовок считается +неправильным.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-216.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-218.wml b/russian/lts/security/2015/dla-218.wml new file mode 100644 index 00000000000..dc41324dd6b --- /dev/null +++ b/russian/lts/security/2015/dla-218.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Оливье Фурдан обнаружил, что отсутствие проверки входных данных в коде Xserver +для обработки запросов XkbSetGeometry может приводить к утечке информации или +отказу в обслуживании.</p> + +<p>Данное обновление Debian squeeze-lts исправляет указанную проблему путём запрета перемещения +данных XkbSetGeometry в буфер входных данных и выполнения обязательной проверки длины строк +и соответствия их длины размеру запроса.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-218.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-219.wml b/russian/lts/security/2015/dla-219.wml new file mode 100644 index 00000000000..3e34f39adde --- /dev/null +++ b/russian/lts/security/2015/dla-219.wml @@ -0,0 +1,57 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В библиотеке International Components for Unicode (ICU) было обнаружено +несколько уязвимостей:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1569">CVE-2013-1569</a> + + <p>Проблема с таблицей глифов.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2383">CVE-2013-2383</a> + + <p>Проблема с таблицей глифов.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2384">CVE-2013-2384</a> + + <p>Проблема с разметкой шрифтов.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2419">CVE-2013-2419</a> + + <p>Проблема с обработкой шрифтов.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6585">CVE-2014-6585</a> + + <p>Чтение за пределами выделенного буфера.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6591">CVE-2014-6591</a> + + <p>Ещё чтения за пределами выделенного буфера.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7923">CVE-2014-7923</a> + + <p>Повреждение содержимого памяти при сравнении регулярных выражений.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7926">CVE-2014-7926</a> + + <p>Повреждение содержимого памяти при сравнении регулярных выражений.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7940">CVE-2014-7940</a> + + <p>Неинициализированная память.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9654">CVE-2014-9654</a> + + <p>Ещё проблемы с регулярными выражениями.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в icu версии +4.4.1-8+squeeze3.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-219.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-220.wml b/russian/lts/security/2015/dla-220.wml new file mode 100644 index 00000000000..f119b7c3246 --- /dev/null +++ b/russian/lts/security/2015/dla-220.wml @@ -0,0 +1,24 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Янн Хорн обнаружил, что проверку целостности пакетов с исходным кодом в +dpkg-source можно обойти с помощью специально сформированных управляющих файлов +Debian (.dsc). Заметьте, что данная уязвимость касается только распаковки +локальных пакетов Debian с исходным кодом с помощью dpkg-source, а не установки +пакетов из архива Debian.</p> + +<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была +исправлена в версии 1.15.12. Кроме того, данное обновление исправляет схожую ошибку, обнаруженную +Ансгаром Бурхардтом, и ошибку в той же области, обнаруженную Роджером +Лигом.</p> + +<p>В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в +версии 1.16.16.</p> + +<p>Стабильный выпуск (jessie) не подвержен данной проблеме, поскольку +она была исправлена до выхода этого выпуска.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-220.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-221.wml b/russian/lts/security/2015/dla-221.wml new file mode 100644 index 00000000000..58e6bd89594 --- /dev/null +++ b/russian/lts/security/2015/dla-221.wml @@ -0,0 +1,48 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В LibTIFF, библиотеке и утилитах для работы с изображениями в формате TIFF, было +обнаружено несколько уязвимостей. Эти проблемы приводят к +отказу в обслуживании, раскрытию информации или повышению привилегий.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8128">CVE-2014-8128</a> + + <p>Уильям Робине обнаружил, что в нескольких утилитах LibTIFF может возникать + запись за пределами выделенного буфера при обработке специально сформированных файлов + TIFF. Другие приложения, использующие LibTIFF, скорее всего тоже + подвержены этой проблеме.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8129">CVE-2014-8129</a> + + <p>Уильям Робине обнаружил, что чтение и запись за пределами выделенного буфера + могут возникать в tiff2pdf при обработке специально сформированных файлов TIFF. Другие + приложения, использующие LibTIFF, скорее всего тоже подвержены этой + проблеме.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9330">CVE-2014-9330</a> + + <p>Парис Зумпоулоглу обнаружил, что в bmp2tiff при обработке специально сформированных файлов + BMP может возникать чтение и запись за пределами выделенного буфера.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9655">CVE-2014-9655</a> + + <p>Михал Залевски обнаружил, что в LibTIFF при обработке файлов TIFF могут возникать + чтения и запись за пределами выделенного буфера.</p></li> + +</ul> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были +исправлены в версии 3.9.4-5+squeeze12.</p> + +<p>В предыдущем стабильном выпуске (wheezy) эти проблемы будут исправлены +позже.</p> + +<p>Стабильный выпуск (jessie) не подвержен этим проблемам, так как они были +исправлены до момента выпуска jessie.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-221.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-222.wml b/russian/lts/security/2015/dla-222.wml new file mode 100644 index 00000000000..20cf5fa1799 --- /dev/null +++ b/russian/lts/security/2015/dla-222.wml @@ -0,0 +1,33 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-5783">CVE-2012-5783</a> + +<p>и <a href="https://security-tracker.debian.org/tracker/CVE-2012-6153">CVE-2012-6153</a> + Apache Commons HttpClient 3.1 не выполняет проверку того, что имя сервера + совпадает с именем домена в поле Common Name (CN) или subjectAltName + сертификата X.509, что позволяет злоумышленникам выполнять атаку по принципу человек-в-середине для + подделки SSL серверов с помощью произвольного корректного сертификата. + Выражаем благодарность Алберто Фернандезу Мартинезу за эту заплату.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3577">CVE-2014-3577</a> + + <p>Было обнаружено, что исправление <a href="https://security-tracker.debian.org/tracker/CVE-2012-6153">CVE-2012-6153</a> неполно: код, добавленный + для проверки того, что имя сервера совпадает с именем домена в поле + Common Name (CN) сертификатов X.509, оказался уязвим. Злоумышленник, используя принцип человек-в-середине, может + использовать эту уязвимость для подделки SSL сервера, используя специально сформированный + сертификат X.509. Исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2012-6153">CVE-2012-6153</a> должно было исправить + неполную заплату для <a href="https://security-tracker.debian.org/tracker/CVE-2012-5783">CVE-2012-5783</a>. Данная проблема теперь полностью решена + путём применения указанной заплаты и заплаты для предыдущей проблемы CVE.</p></li> + +</ul> + +<p>Данная загрузка была подготовлена Маркусом Кошани.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-222.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-223.wml b/russian/lts/security/2015/dla-223.wml new file mode 100644 index 00000000000..e0b51e36a31 --- /dev/null +++ b/russian/lts/security/2015/dla-223.wml @@ -0,0 +1,28 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В nbd-server, сервере для сетевых блочных устройств Linux, была +обнаружена уязвимость.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0847">CVE-2015-0847</a> + + <p>Туомас Рясянен обнаружил, что в nbd-server имеется небезопасная обработка + сигналов. Данная уязвимость может использоваться удалённым клиентом + для вызова отказа в обслуживании.</p></li> + +</ul> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были +исправлены в версии 1:2.9.16-8+squeeze2.</p> + +<p>В предыдущем стабильном, стабильном и тестируемом выпусках эти проблемы +будут исправлены позже.</p> + +<p>Рекомендуется обновить пакеты nbd-server.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-223.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-224.wml b/russian/lts/security/2015/dla-224.wml new file mode 100644 index 00000000000..8fbb5a17892 --- /dev/null +++ b/russian/lts/security/2015/dla-224.wml @@ -0,0 +1,18 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что расширение OpenSSL для Ruby, часть +интерпретатора языка Ruby, неправильно реализует сравнение имён +узлов, что нарушает RFC 6125. Это позволяет удалённым злоумышленникам +выполнять атаки по принципу человек-в-середине при помощи специально сформированных сертификатов SSL.</p> + +<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была +исправлена в версии 1.8.7.302-2squeeze4.</p> + +<p>В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в +версии 1.8.7.358-7.1+deb7u3.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-224.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-225.wml b/russian/lts/security/2015/dla-225.wml new file mode 100644 index 00000000000..c1ed01c6a6d --- /dev/null +++ b/russian/lts/security/2015/dla-225.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В dnsmasq была обнаружена следующая уязвимость:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3294">CVE-2015-3294</a> + + <p>Удалённые злоумышленники могут считывать память процесса и вызывать отказ в обслуживании + с помощью специально сформированных запросов DNS.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в dnsmasq версии +2.55-2+deb6u1.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-225.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-226.wml b/russian/lts/security/2015/dla-226.wml new file mode 100644 index 00000000000..9e401804c2f --- /dev/null +++ b/russian/lts/security/2015/dla-226.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Тэвис Орманди обнаружил, что NTFS-3G, драйвер NTFS для FUSE с возможностью +чтения и записи, не выполняет очистку окружения перед выполнением команд mount и umount +с повышенными привилегиями. Локальный пользователь может использовать эту уязвимость +для перезаписи произвольных файлов и получать повышенные права доступа путём обращения +к функциям отладки через окружение, которое не считается безопасным +для непривилегированных пользователей.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-226.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-227.wml b/russian/lts/security/2015/dla-227.wml new file mode 100644 index 00000000000..88856831447 --- /dev/null +++ b/russian/lts/security/2015/dla-227.wml @@ -0,0 +1,44 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В PostgreSQL, серверной системе реляционных баз данных, было обнаружено +несколько уязвимостей. Поддержка ветки 8.4 в основной ветке разработки была прекращена, но +эта версия всё ещё присутствует в Debian squeeze. Данная новая младшая версия LTS содержит +исправления, который были применены в основной ветке к версии 9.0.20 и адаптированы +для 8.4.22, которая была последней версией, официально выпущенной разработчиками +PostgreSQL. Данная работа для squeeze-lts является проектом сообщества +и спонсируется credativ GmbH.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3165">CVE-2015-3165</a>: + +<p>Удалённая аварийная остановка. +Клиенты SSL, отключающиеся до завершения периода аутентификации, могут +вызывать аварийную остановку сервера.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3166">CVE-2015-3166</a>: + +<p>Раскрытие информации. +Замена реализации snprintf() не выполняет проверку на ошибки, +о которых сообщают вызовы низлежащей системной библиотеки; в основном +могут быть пропущены ситуации с доступом за пределы выделенного буфера памяти. В худших случаях это +может приводить к раскрытию информации.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3167">CVE-2015-3167</a>: + +<p>Возможное раскрытие ключа через сторонний канал. +В contrib/pgcrypto в некоторых случаях расшифровка с неправильным ключом +может приводить к выводу какого-то другого сообщения об ошибке. Исправлено с помощью +сообщения one-size-fits-all.</p> + +<p>Заметьте, что следующий этап выпуска младших версий PostgreSQL уже +запланирован на начало июня 2015 года. В то же время будет выпущено +обновление 8.4.22lts3.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-227.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-228.wml b/russian/lts/security/2015/dla-228.wml new file mode 100644 index 00000000000..f98c5930f1d --- /dev/null +++ b/russian/lts/security/2015/dla-228.wml @@ -0,0 +1,26 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В программах работы с изображениями ExactImage была обнаружена +уязвимость.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3885">CVE-2015-3885</a> + + <p>Эдуардо Кастелланос обнаружил переполнение динамической памяти в версии dcraw, + входящей в состав ExactImage. Эта уязвимость позволяет удалённым злоумышленникам + вызывать отказ в обслуживании (аварийная остановка) с помощью специально сформированного изображения.</p></li> + +</ul> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены в +версии 0.8.1-3+deb6u4.</p> + +<p>В предыдущем стабильном, стабильном и тестируемом выпусках эти проблемы будут +исправлены позже.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-228.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-229.wml b/russian/lts/security/2015/dla-229.wml new file mode 100644 index 00000000000..568ba619f41 --- /dev/null +++ b/russian/lts/security/2015/dla-229.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Nokogiri, пакете Ruby для выполнения грамматического разбора HTML, XML и SAX, была +обнаружена уязвимость XML eXternal Entity (XXE). Используя внешние сущности XML, удалённый злоумышленник +может указать URL в специально сформированном документе XML, который при его грамматическом разборе +попытается открыть подключение к указанному URL.</p> + +<p>Данное обновление по умолчанию включает опцию <q>nonet</q> (и предоставляет при необходимости +новые методы отключения опций по умолчанию).</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-229.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-230.wml b/russian/lts/security/2015/dla-230.wml new file mode 100644 index 00000000000..56c3d382643 --- /dev/null +++ b/russian/lts/security/2015/dla-230.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Арджун Шанкар из Red Hat обнаружил, что gethostbyname_r и связанные +с ней функции неправильно вычисляют размер входного буфера в случае, если передаваемый +буфер выровнен неправильно. Это приводит к переполнению буфера.</p> + +<p>В предыдущем стабильном выпуске (squeeze) эта проблема была +исправлена в версии 2.11.3-4+deb6u6.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-230.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-231.wml b/russian/lts/security/2015/dla-231.wml new file mode 100644 index 00000000000..eba748fdf6c --- /dev/null +++ b/russian/lts/security/2015/dla-231.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Айван Фратрик из команды безопасности Google обнаружил переполнение буфера в +реализации на C функции apply_delta(), используемой при обращении +к объектам Git в упакованных файлах. Злоумышленник может использовать эту уязвимость +для выполнения произвольного кода с правами пользователя, +запустившего сервер или клиент Git на основе Dulwich.</p> + +<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была +исправлена в версии 0.6.1-1+deb6u1.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-231.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-232.wml b/russian/lts/security/2015/dla-232.wml new file mode 100644 index 00000000000..782226256aa --- /dev/null +++ b/russian/lts/security/2015/dla-232.wml @@ -0,0 +1,32 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Apache Tomcat 6 были обнаружены следующие уязвимости:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0227">CVE-2014-0227</a> + + <p>Команда безопасности Tomcat определила, что можно выполнить атаку по подделке + запроса HTTP или вызвать отказ в обслуживании путём передачи потока специально сформированных данных.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0230">CVE-2014-0230</a> + + <p>AntBean@secdig из команды безопасности Baidu обнаружил, что имеется возможность + выполнения ограниченной атаки для вызова отказа в обслуживании путём передачи данных + через отмену загрузки.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7810">CVE-2014-7810</a> + + <p>Команда безопасности Tomcat определила, что веб-приложения злоумышленников могут + обходить ограничения менеджера безопасности путём использования языка выражений.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в tomcat6 версии +6.0.41-2+squeeze7.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-232.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-233.wml b/russian/lts/security/2015/dla-233.wml new file mode 100644 index 00000000000..67c140ecf39 --- /dev/null +++ b/russian/lts/security/2015/dla-233.wml @@ -0,0 +1,23 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Авторы основной ветки разработки опубликовали версию 0.98.7. Данное обновление обновляет sqeeze-lts до +последнего выпуска основной ветки разработки, что соответствует подходу, используемому в других +выпусках Debian.</p> + +<p>Эти изменения не требуются для работы, но пользователи предыдущей +версии в Squeeze могут оказать неспособны использовать все текущие сигнатуры вирусов +и могут получить предупреждения об этом.</p> + +<p>Частью этого выпуска являются и исправления ошибок, включая исправления безопасности, связанные +с запакованными или зашифрованными файлами (<a href="https://security-tracker.debian.org/tracker/CVE-2014-9328">CVE-2014-9328</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-1461">CVE-2015-1461</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-1462">CVE-2015-1462</a>, +<a href="https://security-tracker.debian.org/tracker/CVE-2015-1463">CVE-2015-1463</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-2170">CVE-2015-2170</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-2221">CVE-2015-2221</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-2222">CVE-2015-2222</a> и <a href="https://security-tracker.debian.org/tracker/CVE-2015-2668">CVE-2015-2668</a>), +а также несколько исправления встроенной библиотеки libmspack, включая потенциальный +бесконечный цикл в декодере Quantum (<a href="https://security-tracker.debian.org/tracker/CVE-2014-9556">CVE-2014-9556</a>).</p> + +<p>Если вы используете clamav, то вам настоятельно рекомендуется выполнить обновление до этой версии.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-233.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-234.wml b/russian/lts/security/2015/dla-234.wml new file mode 100644 index 00000000000..6970dd44067 --- /dev/null +++ b/russian/lts/security/2015/dla-234.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Javantea обнаружил разыменование NULL-указателя в racoon, службе +обмена ключей из ipsec-tools. Удалённый злоумышленник может использовать +эту уязвимость для того, чтобы при помощи специально сформированных UDP-пакетов +аварийно завершить работу службы IKE, что приводит к отказу в обслуживании.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-234.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-235.wml b/russian/lts/security/2015/dla-235.wml new file mode 100644 index 00000000000..bf8621f70a9 --- /dev/null +++ b/russian/lts/security/2015/dla-235.wml @@ -0,0 +1,53 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-0188">CVE-2011-0188</a> + + <p>Функция VpMemAlloc в bigdecimal.c в классе BigDecimal в + Ruby версии 1.9.2-p136 или более ранних, которые используются в Apple Mac OS X до версии 10.6.7 + и на других платформах, неправильно выделяет память, что позволяет + злоумышленникам в зависимости от контекста выполнять произвольный код или вызывать + отказ в обслуживании (аварийная остановка приложения) через векторы, включающие в себя создание + большого значения BigDecimal в 64-битном процессе, связанные с + <q>проблемой обрезания целых чисел</q>.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2705">CVE-2011-2705</a> + + <p>Использование SVN-ревизии r32050 для изменения состояния PRNG с целью предотвращения построения + последовательности случайных чисел в дочернем процессе с тем же идентификатором. + О проблеме сообщил Эрик Вонг.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4522">CVE-2012-4522</a> + + <p>Функция rb_get_path_check в file.c в Ruby 1.9.3 до + обновления 286 и Ruby 2.0.0 до r37163 позволяет злоумышленникам в зависимости + от контекста создавать файлы в неожиданных местах или с неожиданными + именами при помощи NUL-байта в пути к файлу.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0256">CVE-2013-0256</a> + + <p>darkfish.js в RDoc версиях с 2.3.0 до 3.12 и ветке 4.x до + версии 4.0.0.preview2.1, используемых в Ruby, неправильно создаёт + документы, что позволяет удалённым злоумышленникам выполнять атаки по принципу межсайтового + скриптинга (XSS) с помощью специально сформированных URL.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2065">CVE-2013-2065</a> + + <p>(1) DL и (2) Fiddle в Ruby в 1.9 до версии 1.9.3 уровня обновления 426, + и 2.0 до версии 2.0.0 уровня обновления 195 не выполняют проверку заражения для + родных функций, что позволяет злоумышленникам в зависимости от контекста обходить + специальные ограничения уровней $SAFE.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1855">CVE-2015-1855</a> + + <p>Реализация проверки совпадения имён узлов в расширении OpenSSL нарушает RFC 6125</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-235.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-236.wml b/russian/lts/security/2015/dla-236.wml new file mode 100644 index 00000000000..b44e5cf2909 --- /dev/null +++ b/russian/lts/security/2015/dla-236.wml @@ -0,0 +1,88 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В версии Wordpress в Debian squeeze-lts были исправлены многочисленные проблемы +безопасности:</p> + + <p>Удалённые злоумышленники могут...</p> + <ul> + <li> ... загружать файлы с некорректными или небезопасными именами</li> + <li> ... выполнять атаки по принципу социальной инженерии</li> + <li> ... компрометировать сайт через межсайтовый скриптинг</li> + <li> ... вводить команды SQL</li> + <li> ... вызывать отказ в обслуживании или раскрытие информации</li> + </ul> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9031">CVE-2014-9031</a> + + <p>Йоуко Пюннёнен обнаружил неавторизованный межсайтовый скриптинг + (XSS) в wptexturize(), который можно использовать через комментарии или + сообщения.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9033">CVE-2014-9033</a> + + <p>Подделка межсайтовых запросов (CSRF) в процессе смены + пароля, которая может использоваться злоумышленником для того, чтобы обманным образом заставить пользователя + сменить пароль.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9034">CVE-2014-9034</a> + + <p>Хавьер Нието Аревало и Андрес Рохас Гуерреро сообщили о потенциальном + отказе в обслуживании в способе, используемом библиотекой phpass для обработки + паролей, поскольку не установлена максимальная длина пароля.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9035">CVE-2014-9035</a> + + <p>Джон Блэкберн сообщил об XSS в функции <q>Нажмите здесь</q> (используется + для быстрой публикации, используя <q>bookmarklet</q> браузера).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9036">CVE-2014-9036</a> + + <p>Роберт Чапин сообщил об XSS в фильтрации CSS в сообщениях.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9037">CVE-2014-9037</a> + + <p>Дэвид Андерсон сообщил об уязвимости сравнения хешей для паролей, + сохранённых по старой схеме MD5. Хотя это и маловероятно, это может + использоваться для компрометации учётной записи в том случае, если пользователь не выполнял вход + после обновления Wordpress 2.5 (обновление в Debian произведено 2 апреля 2008 года), + столкновение MD5-хешей паролей может произойти из-за динамического сравнения + в PHP.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9038">CVE-2014-9038</a> + + <p>Бен Биднер сообщил о подделке запросов на стороне сервера (SSRF) в базовой + прослойке HTTP, которая недостаточно блокирует пространство IP адреса + петлевого интерфейса.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9039">CVE-2014-9039</a> + + <p>Момент Бассель, Таной Босе и Бойан Славкович сообщили об + уязвимости в процессе сброса пароля: изменение адреса электронной почты + не приводит к отмене работоспособности предыдущего сообщения о сбросе пароля.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3438">CVE-2015-3438</a> + + <p>Седрик Ван Бокхэйвен сообщил, а Гэри Пендергаст, Майк Адамс и Эндрю Накин из + команды безопасности WordPress исправили межсайтовый скриптинг, который позволяет анонимным пользователям + компрометировать сайт.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3439">CVE-2015-3439</a> + + <p>Якуб Зожек обнаружил очень ограниченный межсайтовый скриптинг, + которые может использоваться в качестве части атаки по принципу + социальной инженерии.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3440">CVE-2015-3440</a> + + <p>Йоуко Пюннёнен обнаружил межсайтовый скриптинг, + который может позволить комментаторам компрометировать сайт.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-236.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-237.wml b/russian/lts/security/2015/dla-237.wml new file mode 100644 index 00000000000..93150f0de3c --- /dev/null +++ b/russian/lts/security/2015/dla-237.wml @@ -0,0 +1,26 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9462">CVE-2014-9462</a> + + <p>Джесси Герц из Matasano Security обнаружил, что Mercurial, распределённая + система управления версиями, уязвима к инъекции команд + через специально сформированное имя репозитория в команде clone.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9390">CVE-2014-9390</a> + + <p>Имеется уязвимость, касающаяся репозиториев mercurial, расположенных на + файловых системах, нечувствительных к регистру (напр., VFAT или HFS+). Она позволяет + удалённо выполнять код при работе со специально сформированным репозиторием. Эта уязвимость + менее серьёзна для обычной системы Debian, поскольку в них, как правило, используются + файловые системы, чувствительные к регистру.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-237.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-238.wml b/russian/lts/security/2015/dla-238.wml new file mode 100644 index 00000000000..820e73039c6 --- /dev/null +++ b/russian/lts/security/2015/dla-238.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Тэвис Орманди обнаружил, что FUSE, файловая система в пространстве пользователя, не +выполняет очистку окружения до запуска mount или umount с повышенными +правами доступа. Локальный пользователь может использовать эту уязвимость для перезаписи +произвольных файлов и получения повышенных привилегий путём обращения к функциям отладки +через окружение, которое в обычной ситуации не считалось бы безопасным +для непривилегированных пользователей.</p> + +<p>В предыдущем старом стабильном выпуске (squeeze-lts) эта проблема была +исправлена в версии 2.8.4-1.1+deb6u1.</p> + +<p>Рекомендуется обновить пакеты fuse.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-238.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-239.wml b/russian/lts/security/2015/dla-239.wml new file mode 100644 index 00000000000..5ad59bbf858 --- /dev/null +++ b/russian/lts/security/2015/dla-239.wml @@ -0,0 +1,38 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В системе печати CUPS было обнаружено две критических +уязвимости:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1158">CVE-2015-1158</a> + +<p>- Неправильное обновление счётчика загрузок + Cupsd использует строки для подсчёта загрузок в глобальном контексте. При выполнении грамматического + разбора запроса о задаче печати cupsd слишком уменьшает счётчик загрузок для + строки из запроса. В результате злоумышленник может преждевременно + освободить произвольную строку в глобальном контексте. Это может использоваться + для снятия защиты ACL для привилегированных операций, для загрузки + замены файла настроек, а также последующего запуска произвольного кода + на целевой машине.</p> + + <p>Данная ошибка может использоваться при настройках по умолчанию, для этого не + требуются какие-либо специальные права доступа, отличные от обычной возможности + печатать.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1159">CVE-2015-1159</a> + +<p>- Межсайтовый скриптинг + Межсайтовый скриптинг в движке шаблонов CUPS позволяет использовать + указанную выше ошибку в том случае, когда пользователь просматривает веб. Этот XSS + может использоваться при настройках по умолчанию для CUPS в Linux, + он позволяет злоумышленнику обходить настройки по умолчанию, привязывающие + планировщик CUPS к ‘localhost’ или петлевому интерфейсу.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-239.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-240.wml b/russian/lts/security/2015/dla-240.wml new file mode 100644 index 00000000000..705791b5f91 --- /dev/null +++ b/russian/lts/security/2015/dla-240.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В mod_jk для Apache, модуле для перенаправления запросов от веб-сервера Apache +к Tomcat, было обнаружено раскрытие информации из-за некорректной обработки директив +JkMount/JkUnmount. Правило JkUnmount для поддерева +предыдущего правила JkMount может игнорироваться. Это позволяет удалённому злоумышленнику +потенциально получать доступ к закрытому артефакту в дереве, к которому в обычном случае +он не имел бы доступа.</p> + +<p>В выпуске squeeze эта проблема была исправлена в версии +1:1.2.30-1squeeze2.</p> + +<p>Рекомендуется обновить пакеты libapache-mod-jk.</p> + +<p>Данное обновление была подготовлено Маркусом Кошани.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-240.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-241.wml b/russian/lts/security/2015/dla-241.wml new file mode 100644 index 00000000000..777f1db6203 --- /dev/null +++ b/russian/lts/security/2015/dla-241.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p>В версии Wireshark из Squeeze LTS были обнаружены и исправлены +следующие уязвимости:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3811">CVE-2015-3811</a> + +<p>Диссектор WCP может аварийно завершить работу при распаковке данных.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-241.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-242.wml b/russian/lts/security/2015/dla-242.wml new file mode 100644 index 00000000000..91ca61ef553 --- /dev/null +++ b/russian/lts/security/2015/dla-242.wml @@ -0,0 +1,38 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет большое количество потенциальных проблем безопасности из-за +недостаточной проверки данных при выполнении грамматического разбора различных входных +форматов. Большинство этих потенциальных проблем не имеют идентификатора +CVE.</p> + +<p>Хотя влияние на безопасность всех этих проблем полностью не известно, +настоятельно рекомендуется выполнить обновление.</p> + +<p>Данное обновление исправляет следующие уязвимости, имеющие идентификаторы CVE:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3437">CVE-2012-3437</a> + + <p>Неправильная проверка размера буфера PNG, приводящая к отказам в обслуживании при +использовании специально сформированных файлов в формате PNG.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8354">CVE-2014-8354</a> + + <p>Доступ к памяти за пределами выделенного буфера в функции изменения размера</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8355">CVE-2014-8355</a> + + <p>Переполнение буфера в коде для чтения PCX</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8562">CVE-2014-8562</a> + + <p>Переполнение буфера в коде для чтения DCM</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-242.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-243.wml b/russian/lts/security/2015/dla-243.wml new file mode 100644 index 00000000000..26ea72a4cc3 --- /dev/null +++ b/russian/lts/security/2015/dla-243.wml @@ -0,0 +1,22 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>[Данная рекомендация DLA заменяет ошибочную рекомендацию DLA 241-1]</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3885">CVE-2015-3885</a>: + + <p>Переполнение целых чисел в функции ljpeg_start function в dcraw 7.00 и более ранних + версиях позволяет удалённым злоумышленникам вызывать отказ в обслуживании (аварийная остановка) с помощью + специально сформированного изображения, которое вызывает переполнение буфера, связанное с переменной + len.</p></li> + +</ul> + +<p>Рекомендуется обновить пакеты libraw.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-243.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-244.wml b/russian/lts/security/2015/dla-244.wml new file mode 100644 index 00000000000..bb8e804c154 --- /dev/null +++ b/russian/lts/security/2015/dla-244.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Александр Патраков обнаружил проблему в strongSwan, наборе IKE/IPsec, +используемом для установления IPsec-защищённых соединений.</p> + +<p>Если клиент аутентифицирует сервер с помощью сертификатов, а сервер — клиента +по открытому ключу или EAP, то ограничения серверного +сертификата используются клиентом только после успешного и полного выполнения всех +шагов аутентификации. Злоумышленник, владеющий сервером, которые может быть аутентифицирован +клиентом с помощью корректного сертификата, выданного доверенным авторитетом, может +обманом вынудить пользователя продолжить аутентификацию, раскрывая +имя пользователя и хеш-сумму пароля (для EAP), либо даже пароль в виде открытого текста +(если принят EAP-GTC).</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-244.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-245.wml b/russian/lts/security/2015/dla-245.wml new file mode 100644 index 00000000000..4c3d8dc4ed8 --- /dev/null +++ b/russian/lts/security/2015/dla-245.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Александр Черепанов обнаружил, что p7zip может содержать +уязвимость, приводящую к обходу каталога. Во время распаковки архива программа +распаковывает символьные ссылки и переходит по ним в том случае, если они используются +в последующих записях. Это может использоваться специально сформированным архивом для записи +файлов за пределами текущего каталога.</p> + +<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была +исправлена в версии 9.04~dfsg.1-1+deb6u1.</p> + +<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках +эта проблема будет исправлена позже.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-245.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-246.wml b/russian/lts/security/2015/dla-246.wml new file mode 100644 index 00000000000..225ed069268 --- /dev/null +++ b/russian/lts/security/2015/dla-246.wml @@ -0,0 +1,127 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Обновление linux-2.6, выпущенное как DLA-246-1, вызвало регрессию. Данное +обновление исправляет дефектные заплаты, которые были применены в указанном обновлении, +вызвавшем проблемы. Ниже приводится оригинальный текст рекомендации.</p> + +<p>Данное обновление исправляет описанные ниже CVE.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-5321">CVE-2011-5321</a> + + <p>Иржи Слаби обнаружил, что в функции tty_driver_lookup_tty() может происходить утечка + указания на драйвер tty. Локальный пользователь может использовать эту уязвимость + для аварийной остановки системы.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6689">CVE-2012-6689</a> + + <p>Пабло Нейра Аусо обнаружил, что процессы из пользовательского пространства, не принадлежащие + суперпользователю, могут отправлять поддельные уведомления Netlink другим процессам. Локальный + пользователь может использовать эту уязвимость для вызова отказа в обслуживании или повышения + привилегий.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3184">CVE-2014-3184</a> + + <p>Бен Хокс обнаружил, что различные драйверы HID могут выполнять чтение буфера + отчётного дескриптора слишком много раз, что может приводить к аварийной остановке в том случае, если + подключается HID-устройство, имеющее специально сформированный дескриптор.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8159">CVE-2014-8159</a> + + <p>Было обнаружено, что подсистема InfiniBand/RDMA ядра Linux + неправильно выполняет очистку входных параметров в ходе регистрации регионов + памяти из пользовательского пространства через API (u)verbs. Локальный пользователь, + имеющий доступ к устройству /dev/infiniband/uverbsX, может использовать эту уязвимость + для аварийной остановки системы или потенциального повышения своих привилегий в + этой системе.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9683">CVE-2014-9683</a> + + <p>Дмитрий Черненков обнаружил, что eCryptfs выполняет запись за пределами + выделенного буфера в ходе декодирования закодированного имени файла, что приводит + к локальному отказу в обслуживании.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9728">CVE-2014-9728</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2014-9729">CVE-2014-9729</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2014-9730">CVE-2014-9730</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2014-9731">CVE-2014-9731</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2015-4167">CVE-2015-4167</a> + + <p>Карл Хенрик Лунде обнаружил, что в реализации UDF + отсутствуют некоторые необходимые проверки длин. Локальный пользователь, способный + монтировать устройства, может использовать эти различные уязвимости для аварийной остановки системы, + утечки информации из ядра или потенциального повышения + привилегий.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1805">CVE-2015-1805</a> + + <p>Сотрудники Red Hat обнаружили, что реализации чтения и записи для + канала iovec могут дважды проходить iovec, но изменяют + iovec таким образом, что при втором проходе они обращаются к неправильному + буферу памяти. Локальный пользователь может использовать эту уязвимость для аварийной остановки системы или + потенциального повышения привилегий. Кроме того, это может приводить к повреждению + данных и утечкам информации в каналах между правильно работающими + процессами.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2041">CVE-2015-2041</a> + + <p>Саша Левин обнаружил, что подсистема LLC раскрывает некоторые + переменные в качестве sysctl с неправильным типом. На 64-битных ядрах это + может позволить повысить привилегии из процесса, имеющего + CAP_NET_ADMIN; кроме того, это приводит к тривиальной утечке + информации.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2042">CVE-2015-2042</a> + + <p>Саша Левин обнаружил, что подсистема RDS раскрывает некоторые + переменные в качестве sysctl с неправильным типом. На 64-битных ядрах это + приводит к тривиальной утечке информации.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2830">CVE-2015-2830</a> + + <p>Эндрю Лутомирски обнаружил, что когда 64-битная задача на ядре amd64 + выполняет системный вызов fork(2) или clone(2), используя $0x80, + то флаг 32-битной совместимости (правильно) устанавливается, но не + очищается при возврате. В результате и seccomp, и audit + неправильно интерпретируют следующий системный вызов задачи/задач, что может + приводить к нарушению правил безопасности.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2922">CVE-2015-2922</a> + + <p>Сотрудники Modio AB обнаружили, что подсистема IPv6 обрабатывает объявления + маршрутизатора, не определяющие пути, а только ограничение пересылок, что + затем может применяться к интерфейсу, получившему такое объявление. Это может + приводить к потере соединения по IPv6 за пределами локальной сети.</p> + + <p>Это можно обойти путём отключения обработки объявлений маршрутизаторов + IPv6 в том случае, если они не нужны:</p> +<pre> + sysctl net.ipv6.conf.default.accept_ra=0 + sysctl net.ipv6.conf.<interface>.accept_ra=0 +</pre></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3339">CVE-2015-3339</a> + + <p>Было обнаружено, что системный вызов execve(2) может переходить в состояние гонки + с изменением атрибута индексного дескриптора, выполняемом chown(2). Хотя chown(2) очищает + биты, позволяющие запускать программу от лица другого пользователя или группы, в том случае, если изменяется идентификатор владельца, + данное состояние гонки может приводить к тому, что execve(2) может установить + соответствующий бит прав доступа для нового идентификатора владельца, что повышает привилегии.</p></li> + +</ul> + +<p>В старом предыдущем стабильном выпуске (squeeze) эти проблемы были +исправлены в версии 2.6.32-48squeeze12.</p> + +<p>В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в +пакете linux версии 3.2.68-1+deb7u1 или более ранних за исключением <a href="https://security-tracker.debian.org/tracker/CVE-2015-1805">CVE-2015-1805</a> и +<a href="https://security-tracker.debian.org/tracker/CVE-2015-4167">CVE-2015-4167</a>, которые будут исправлены позже.</p> + +<p>В стабильном выпуске (jessie) эти проблемы были исправлены в +пакете linux версии 3.16.7-ckt11-1 или более ранних за исключением <a href="https://security-tracker.debian.org/tracker/CVE-2015-4167">CVE-2015-4167</a>, которая +будет исправлена позже.</p> + +<p>Рекомендуется обновить пакеты linux-2.6.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-246.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-247.wml b/russian/lts/security/2015/dla-247.wml new file mode 100644 index 00000000000..855e0221821 --- /dev/null +++ b/russian/lts/security/2015/dla-247.wml @@ -0,0 +1,54 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружены +многочисленные уязвимости.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8176">CVE-2014-8176</a> + + <p>Правеен Кариянахалли, Айван Фратрик и Феликс Грёберт обнаружили, + что может происходить некорректное освобождение памяти при буферизации + данных DTLS. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании + (аварийная остановка) или потенциально выполнить произвольный код. Эта проблема касается + только предыдущего стабильного выпуска (wheezy).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1789">CVE-2015-1789</a> + + <p>Роберт Свики и Ханно Бёк обнаружил, что функция X509_cmp_time может считывать + несколько байт за границами выделенного буфера памяти. Это может позволить удалённым + злоумышленникам вызвать отказ в обслуживании (аварийная остановка) с помощью специально + сформированных сертификатов и CRL.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1790">CVE-2015-1790</a> + + <p>Михал Залевски обнаружил, что код для выполнения грамматического разбора PKCS#7 + неправильно обрабатывает отсутствующее содержимое, что приводит к разыменованию + NULL-указателя. Это может позволить удалённым злоумышленникам вызвать отказ в + обслуживании (аварийная остановка) при помощи специально сформированных закодированных с помощью ASN.1 двоичных данных PKCS#7.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1791">CVE-2015-1791</a> + + <p>Эмилия Кэспер обнаружила, что из-за некорректной обработки NewSessionTicket в многопоточном + клиенте может возникать состояние гонки, которое + приводит к двойному освобождению памяти. Это может позволить удалённым злоумышленникам вызвать + отказ в обслуживании (аварийная остановка).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1792">CVE-2015-1792</a> + + <p>Йоханнес Бауер обнаружил, что код CMS может войти в бесконечный + цикл при проверке сообщения signedData в том случае, если ему попадается + неизвестный OID хеш-функции. Это может позволить удалённым злоумышленникам вызвать + отказ в обслуживании.</p></li> + +</ul> + +<p>Кроме того, OpenSSL теперь отклоняет рукопожатия, использующие параметры DH +короче 768 бит, что является контрмерой атаке Logjam +(<a href="https://security-tracker.debian.org/tracker/CVE-2015-4000">CVE-2015-4000</a>).</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-247.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-248.wml b/russian/lts/security/2015/dla-248.wml new file mode 100644 index 00000000000..25dd80da9d2 --- /dev/null +++ b/russian/lts/security/2015/dla-248.wml @@ -0,0 +1,29 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В qemu, решении для виртуализации, было обнаружено несколько уязвимостей:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3456">CVE-2015-3456</a> + + <p>Джейсон Геффнер обнаружил переполнение буфера в эмуляции привода гибких + магнитных дисков, которое приводит к выполнению произвольного кода.</p> + +<p>Несмотря на окончание жизненного цикла qemu в предыдущем старом стабильном +выпуске (squeeze-lts), данная проблема была исправлена в версии +0.12.5+dfsg-3squeeze4 пакета с исходным кодом qemu в связи с серьёзностью этой проблемы +(так называемся уязвимость VENOM).</p> + +<p>В пакете qemu в предыдущем старом стабильном выпуске (squeeze-lts) могут +присутствовать и другие проблемы, пользователям, использующим +qemu, настоятельно рекомендуется выполнить обновление до более свежей версии Debian.</p> + +<p>Рекомендуется обновить пакеты qemu.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-248.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-249.wml b/russian/lts/security/2015/dla-249.wml new file mode 100644 index 00000000000..3bff8ece1ac --- /dev/null +++ b/russian/lts/security/2015/dla-249.wml @@ -0,0 +1,29 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В qemu, решении для виртуализации, было обнаружено несколько уязвимостей:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3456">CVE-2015-3456</a> + + <p>Джейсон Геффнер обнаружил переполнение буфера в эмуляции привода гибких + магнитных дисков, которое приводит к выполнению произвольного кода.</p> + +<p>Несмотря на окончание жизненного цикла qemu-kvm в предыдущем старом стабильном +выпуске (squeeze-lts), данная проблема была исправлена в версии +0.12.5+dfsg-5squeeze11 пакета с исходным кодом qemu в связи с серьёзностью этой проблемы +(так называемся уязвимость VENOM).</p> + +<p>В пакете qemu-kvm в предыдущем старом стабильном выпуске (squeeze-lts) могут +присутствовать и другие проблемы, пользователям, использующим +qemu-kvm, настоятельно рекомендуется выполнить обновление до более свежей версии Debian.</p> + +<p>Рекомендуется обновить пакеты qemu-kvm.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-249.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-250.wml b/russian/lts/security/2015/dla-250.wml new file mode 100644 index 00000000000..c0312e1b788 --- /dev/null +++ b/russian/lts/security/2015/dla-250.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Авторы основной ветки разработки выпустили версию 0.98.5. Данное обновление обновляет sqeeze-lts +до наиболее свежего выпуска из основной ветки разработки, что согласуется с общим подходом, используемом +для других выпусков Debian.</p> + +<p>Данное обновление исправляет ошибку с двойным освобождением памяти, которая присутствует в +функции "unrar_extract_next_prepare()" (libclamunrar_iface/unrar_iface.c) и возникает +при грамматическом разборе файлов RAR. Хотя идентификатор CVE этой проблеме не был назначен, данная уязвимость +потенциально может повлиять на безопасность.</p> + +<p>Если вы используете libclamunrar, настоятельно рекомендуем выполнить обновление до +указанной версии.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-250.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-251.wml b/russian/lts/security/2015/dla-251.wml new file mode 100644 index 00000000000..d66613dfe59 --- /dev/null +++ b/russian/lts/security/2015/dla-251.wml @@ -0,0 +1,81 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В предыдущей загрузке zendframework содержалось неправильное исправление <a href="https://security-tracker.debian.org/tracker/CVE-2015-3154">CVE-2015-3154</a>, +вызывающее регресс. Данное обновление исправляет эту проблему. Благодарим +Евгения Смолина.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6531">CVE-2012-6531</a> + + <p>Пэдрэк Брэйди обнаружил уязвимость в обработке класса SimpleXMLElement, + позволяющую удалённым злоумышленникам считывать произвольные + файлы или создавать TCP-соединения через инъекцию внешней + сущности XML (XXE).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6532">CVE-2012-6532</a> + + <p>Пэдрэк Брэйди обнаружил, что удалённые злоумышленники могут вызвать отказ в + обслуживании из-за чрезмерного потребления ресурсов ЦП с помощью рекурсивных или круговых ссылок + через раскрытие сущности XML (XEE).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2681">CVE-2014-2681</a> + + <p>Лукас Решке сообщил об отсутствии защиты от инъекции внешних + сущностей XML в некоторых функциях. Данное исправление дополняет + неполное исправление <a href="https://security-tracker.debian.org/tracker/CVE-2012-5657">CVE-2012-5657</a>.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2682">CVE-2014-2682</a> + + <p>Лукас Решке сообщил об ошибке проверки того, что + опция libxml_disable_entity_loader разделяется несколькими потоками в + случае использования PHP-FPM. Данное исправление дополняет неполное исправление + <a href="https://security-tracker.debian.org/tracker/CVE-2012-5657">CVE-2012-5657</a>.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2683">CVE-2014-2683</a> + + <p>Лукас Решке сообщил об отсутствии защиты от раскрытия сущностей XML + в некоторых функциях. Данное исправление дополняет неполное + исправление <a href="https://security-tracker.debian.org/tracker/CVE-2012-6532">CVE-2012-6532</a>.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2684">CVE-2014-2684</a> + + <p>Кристиан Маинка и Владислав Младенов из Рурского университета + сообщили об ошибке в методе проверки покупателя, которая приводит + к принятию токенов от неправильных источников.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2685">CVE-2014-2685</a> + + <p>Кристиан Маинка и Владислав Младенов из Рурского университета + сообщили о нарушении спецификации, в котором подпись + единственного параметра ошибочно считается достаточной.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4914">CVE-2014-4914</a> + + <p>Кассиано Дал Пиццол обнаружил, что реализация SQL-утверждения ORDER + BY в Zend_Db_Select содержит потенциальную SQL-инъекцию в случае + передачи строки запроса, содержащей скобки.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8088">CVE-2014-8088</a> + + <p>Юрий Дьяченко из Positive Research Center обнаружил потенциальную инъекцию + внешней сущности XML из-за небезопасного использования расширения DOM + для PHP.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8089">CVE-2014-8089</a> + + <p>Йонас Сандстрём обнаружил SQL-инъекцию при ручном закавычивании + значения для расширения sqlsrv, используя null-байт.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3154">CVE-2015-3154</a> + + <p>Филиппо Тессаротто и Maks3w сообщили о потенциальной инъекции CRLF + в сообщениях электронной почты и заголовках HTTP.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-251.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-253.wml b/russian/lts/security/2015/dla-253.wml new file mode 100644 index 00000000000..cf0831c1486 --- /dev/null +++ b/russian/lts/security/2015/dla-253.wml @@ -0,0 +1,25 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В библиотеке для преобразования метафайлов Windows были обнаружены следующие уязвимости, возникающие +при чтении изображений в формате BMP, встроенных в файлы WMF:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0848">CVE-2015-0848</a> + + <p>Переполнение динамической памяти при декодировании встроенных изображений в формате BMP, которые не используют + 8 бит на пиксель.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4588">CVE-2015-4588</a> + + <p>Отсутствие проверки в RLE-декодировании встроенных изображений в формате BMP.</p></li> + +</ul> + +<p>Рекомендуется обновить пакеты libwmf.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-253.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-254.wml b/russian/lts/security/2015/dla-254.wml new file mode 100644 index 00000000000..6f08efe9821 --- /dev/null +++ b/russian/lts/security/2015/dla-254.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Rack, модульном интерфейсе веб-сервера на Ruby, имеется потенциальная +проблема, приводящая к отказу в обслуживании.</p> + +<p>Специально сформированные запросы могут вызвать ошибку `SystemStackError`, +а отсутствие проверки глубины при нормализации параметров может приводить +к отказу в обслуживании.</p> + +<p>Рекомендуется обновить пакеты librack-ruby.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-254.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-255.wml b/russian/lts/security/2015/dla-255.wml new file mode 100644 index 00000000000..982f1f7a558 --- /dev/null +++ b/russian/lts/security/2015/dla-255.wml @@ -0,0 +1,38 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Cacti, веб-интерфейсе для мониторинга систем и построения +графиков, было обнаружено несколько уязвимостей (межсайтовый +скриптинг и SQL-инъекции).</p> + +<p>Рекомендуется обновить пакеты cacti.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2665">CVE-2015-2665</a> + + <p>Межсайтовый скриптинг (XSS) в Cacti до версии 0.8.8d + позволяет удалённым злоумышленникам вводить произвольный сценарий или код HTML через + неопределённые векторы.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4342">CVE-2015-4342</a> + + <p>SQL-инъекция и инъекция заголовка Location из идентификатора cdef</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4454">CVE-2015-4454</a> + + <p>SQL-инъекция в функции get_hash_graph_template в + lib/functions.php в Cacti до версии 0.8.8d позволяет удалённым злоумышленникам + выполнять произвольные команды SQL через параметр graph_template_id + для graph_templates.php</p> + +<li>SQL-инъекция, не имеющая номера CVE VN:JVN#78187936 / TN:JPCERT#98968540 + + <p>SQL-инъекция на странице настроек</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-255.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-256.wml b/russian/lts/security/2015/dla-256.wml new file mode 100644 index 00000000000..262886567c3 --- /dev/null +++ b/russian/lts/security/2015/dla-256.wml @@ -0,0 +1,23 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Якуб Вилк обнаружил уязвимость в программах работы со шрифтами Type 1, +t1utils:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3905">CVE-2015-3905</a> + + <p>Переполнения буфера в функции set_cs_start в t1disasm.c из t1utils + до версии 1.39 позволяют удалённых злоумышленникам вызывать отказ в обслуживании (аварийная остановка) + и потенциально выполнять произвольный код при помощи специально сформированного файла шрифтов.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в t1utils версии +1.36-1+deb6u1.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-256.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-257.wml b/russian/lts/security/2015/dla-257.wml new file mode 100644 index 00000000000..9eee7f37610 --- /dev/null +++ b/russian/lts/security/2015/dla-257.wml @@ -0,0 +1,25 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>libwmf уязвима к двум отказам в обслуживании из-за неправильных операций +чтения в ходе обработки специально сформированных файлов в формате WMF.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4695">CVE-2015-4695</a> + + <p>Переполнение динамической памяти в libwmf</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4696">CVE-2015-4696</a> + + <p>Чтение после выполнения функции free() в wmf2gd/wmf2eps</p></li> + +</ul> + +<p>В выпуске squeeze эти проблемы были исправлены в libwmf версии +0.2.8.4-6.2+deb6u2. Рекомендуется обновить пакеты libwmf.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-257.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-258.wml b/russian/lts/security/2015/dla-258.wml new file mode 100644 index 00000000000..25ca5578a5d --- /dev/null +++ b/russian/lts/security/2015/dla-258.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Shadowman131 обнаружил, что jqueryui, библиотека пользовательского интерфейса JavaScript +для динамических веб-приложений, неправильно выполняет очистку опции +<q>title</q>. Это позволяет удалённому злоумышленнику вводить произвольный код +с помощью межсайтового скриптинга.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-258.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-259.wml b/russian/lts/security/2015/dla-259.wml new file mode 100644 index 00000000000..edbde43611d --- /dev/null +++ b/russian/lts/security/2015/dla-259.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Shibboleth (интегрированной инфраструктуре учётных записей) был обнаружен +отказ в обслуживании. Обработка определённого специально +сформированного сообщения SAML, созданного аутентифицированным злоумышленником, может +приводить к аварийной остановке службы.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в +версии 2.3.1+dfsg-5+deb6u1.</p> + +<p>Рекомендуется обновить пакеты shibboleth-sp2.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-259.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-260.wml b/russian/lts/security/2015/dla-260.wml new file mode 100644 index 00000000000..44fa1c99788 --- /dev/null +++ b/russian/lts/security/2015/dla-260.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В коде обработки WMM Action в случае использования hostapd для реализации функциональности MLME/SME +режима точки доступа (напр., в случае драйвера Host AP для драйвера на основе mac80211 на Linux) была +обнаружена уязвимость.</p> + +<p>Эта уязвимость может использоваться злоумышленником, находящимся в пределах доступности +радиосигнала точки доступа, использующей hostapd для операций MLME/SME, +для вызова отказа в обслуживании.</p> + +<p>В Debian 6 <q>Squeeze</q> эта уязвимость была исправлена в версии +1:0.6.10-2+squeeze2 пакета hostapd. Рекомендуется обновить пакет +hostapd.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-260.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-261.wml b/russian/lts/security/2015/dla-261.wml new file mode 100644 index 00000000000..7d04260e381 --- /dev/null +++ b/russian/lts/security/2015/dla-261.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Сообщено, что версия 0.31+bzr413-1.1+deb6u1 пакета aptdaemon (в которой +исправлена <a href="https://security-tracker.debian.org/tracker/CVE-2015-1323">CVE-2015-1323</a>) не может быть установлена в том случае, если установлен Python 2.5.</p> + +<p>Эта проблема была исправлена в версии 0.31+bzr413-1.1+deb6u2.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-261.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-262.wml b/russian/lts/security/2015/dla-262.wml new file mode 100644 index 00000000000..e974071a7cc --- /dev/null +++ b/russian/lts/security/2015/dla-262.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Евгений Сидоров обнаружил, что libcrypto++, криптографическая библиотека C++ +общего назначения, неправильно реализует блокировку для маскирования +операций с закрытыми ключами для алгоритма цифровой подписи +Рабина-Уильямса. Это может позволить удалённым злоумышленникам вызывать атаку по таймингам +и получить закрытые ключи пользователей.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-262.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-263.wml b/russian/lts/security/2015/dla-263.wml new file mode 100644 index 00000000000..1b3473aed3d --- /dev/null +++ b/russian/lts/security/2015/dla-263.wml @@ -0,0 +1,34 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В интерпретаторе языка Ruby версии 1.9.1 было обнаружено +две уязвимости.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-5371">CVE-2012-5371</a> + + <p>Жан=Филипп Омассон определил, что Ruby вычисляет хеш-значения без + соответствующего ограничения возможности предсказать столкновения + хешей, что позволяет злоумышленникам в зависимости от контекста вызывать отказ + в обслуживании (чрезмерное потребление ресурсов ЦП). Это уязвимость отличается от + <a href="https://security-tracker.debian.org/tracker/CVE-2011-4815">CVE-2011-4815</a>.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0269">CVE-2013-0269</a> + + <p>Томас Холлстеге и Бен Мёрфи обнаружили, что модуль JSON для Ruby + позволяет удалённым злоумышленникам вызывать отказ в обслуживании (чрезмерное потребление + ресурсов) или обходить механизм защиты массовых назначений с помощью + специально сформированного документа JSON, приводящего к созданию произвольных символов + Ruby или определённых внутренних объектов.</p></li> + +</ul> + +<p>В выпуске squeeze эти уязвимости были исправлены в +версии 1.9.2.0-2+deb6u5 пакета ruby1.9.1. Рекомендуется обновить +пакет ruby1.9.1.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-263.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-264.wml b/russian/lts/security/2015/dla-264.wml new file mode 100644 index 00000000000..9d082ff057a --- /dev/null +++ b/russian/lts/security/2015/dla-264.wml @@ -0,0 +1,49 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Джон Лайтси обнаружил многочисленные уязвимости в Module::Signature, +модуле Perl для работы с файлами CPAN SIGNATURE. Проект Common +Vulnerabilities and Exposures определяет следующие проблемы:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3406">CVE-2015-3406</a> + + <p>Module::Signature может выполнять грамматический разбор неподписанной части файла + SIGNATURE как подписанной части из-за неправильной обработки границ + PGP-подписи.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3407">CVE-2015-3407</a> + + <p>Module::Signature неправильно обрабатывает файлы, которые не указаны в + файле SIGNATURE. Это включает в себя некоторые файлы в каталоге t/, + которые будут выполнены при запуске тестов.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3408">CVE-2015-3408</a> + + <p>Module::Signature использует вызовы open() с двумя аргументами для чтения файлов + при создании контрольных сумм из подписанных деклараций. Это позволяет + встраивать произвольные команды командной оболочки в файл SIGNATURE, которые будут + выполнены в процессе проверки подписи.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3409">CVE-2015-3409</a> + + <p>Module::Signature неправильно обрабатывает загрузку модулей, позволяя + загружать модули по относительным путям в @INC. Удалённый злоумышленник, + предоставивший специально сформированный модуль, может использовать данную проблему + для выполнения произвольного кода в процессе проверки подписи.</p></li> + +</ul> + +<p>В выпуске squeeze эти проблемы были исправлены в версии +0.63-1+squeeze2 пакет libmodule-signature-perl. Заметьте, что +пакет libtest-signature-perl тоже был обновлён с целью обеспечения совместимости с +исправлением <a href="https://security-tracker.debian.org/tracker/CVE-2015-3407">CVE-2015-3407</a>.</p> + +<p>Рекомендуется обновить пакеты libmodule-signature-perl и +libtest-signature-perl.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-264.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-265.wml b/russian/lts/security/2015/dla-265.wml new file mode 100644 index 00000000000..27405d88a11 --- /dev/null +++ b/russian/lts/security/2015/dla-265.wml @@ -0,0 +1,48 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Мартин Прпик сообщил в Red Hat Bugzilla (системе отслеживания ошибок Fedora) +о возможности осуществления атак по принципу человек-в-середине в коде pykerberos. Ранее +о проблеме было <a href="https://www.calendarserver.org/ticket/833">сообщено автором основной ветки разработки</a>. Ниже +приводится сообщение об ошибке из основной ветки разработки:</p> + +<p>Метод checkPassword() в python-kerberos в предыдущем выпуске +оказался небезопасным. Он использовался для выполнения (и по умолчанию используется до сих пор) kinit +(AS-REQ) для запроса TGT у KDC для данной учётной записи, а также +интерпретирует успешное выполнение этой операции или ошибку, указывая то, верен +пароль или нет. Тем не менее, этот метод не выполняет проверку того, чтобы +взаимодействие осуществлялось с доверенной KDC: злоумышленник может ответить вместо KDC сообщением с AS-REP, +совпадающим с переданным им паролем.</p> + +<p>Представьте, что вы проверяете пароль, используя аутентификацию LDAP, а не +Kerberos: конечно, вы будете использовать TLS с LDAP для того, чтоб +убедиться, что вы взаимодействуете с настоящим доверенным сервером LDAP. Тут применяется +то же требование. kinit не является службой проверки паролей.</p> + +<p>Обычно, вы используете TGT, полученный вместе с паролем пользователя, +затем получаете билет для учётной записи, для которой у проверяющего +имеются ключи (например, веб-сервер, проверяющий имя пользователя и пароль в форме +аутентификации, может получить билет для своей собственной учётной записи HTTP/host@REALM), которые +он затем может проверить. Заметьте, что это требует того, чтобы проверяющий имел свою +собственную учётную запись Kerberos, что требуется из-за симметричной природы +Kerberos (а в случае с LDAP использование шифрования с открытыми ключами +позволяет осуществлять анонимную проверку).</p> + +<p>В этой версии пакета pykerberos добавлена новая опция для +метода checkPassword(). Установка опции verify в значение True при использовании +метода checkPassword() приведёт к выполнению проверки KDC. Это этого вам +следует предоставить файл krb5.keytab, содержащий ключи учётных записей для +службы, которую вы намерены использовать.</p> + +<p>Поскольку по умолчанию файл krb5.keytab в /etc не доступен +пользователям и процессам, не имеющим права суперпользователя, вам следует убедиться, что ваш собственный файл +krb5.keytab, содержащий правильные ключи учётных записей, передаётся вашему +приложению через переменную окружения KRB5_KTNAME.</p> + +<p><b>Внимание</b>: в Debian squeeze(-lts) поддержка проверки KDC по умолчанию отключена +для того, чтобы не нарушалась работа уже настроенных систем.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-265.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-266.wml b/russian/lts/security/2015/dla-266.wml new file mode 100644 index 00000000000..91f1ace8c44 --- /dev/null +++ b/russian/lts/security/2015/dla-266.wml @@ -0,0 +1,34 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данная загрузка в Debian squeeze-lts исправляет три проблемы, обнаруженные в пакете +libxml2.</p> + +<p>(1) <a href="https://security-tracker.debian.org/tracker/CVE-2015-1819">CVE-2015-1819</a> / #782782</p> + +<p>Флориан Ваймер из Red Hat сообщил о проблеме в libxml2, при которой код +для выполнения грамматического разбора, использующий фильтры libxml2 для работы со специально сформированным документом XML, выделяет +несколько гигабайт данных. Эта проблема представляет собой тонкую грань между неправильным использованием API и ошибкой +в libxml2. Проблема решена в основной ветке разработки libxml2, заплата +была адаптирована для libxml2 в squeeze-lts.</p> + +<p>(2) #782985</p> + +<p>Джун Кокатсу сообщил о доступе за пределами выделенного буфера памяти в libxml2. Получая +незакрытый комментарий html, код грамматического разбора libxml2 не останавливается +в конце буфера, что приводит к доступу к случайному региону памяти, содержимое которого +включается в комментарий, передаваемый приложению.</p> + +<p>В приложении Shopify (в котором эта проблема была изначально обнаружена) +это приводит к тому, что объекты ruby из предыдущих запросов http раскрываются в +отрисовываемой странице.</p> + +<p>(3) #783010</p> + +<p>Михал Залевски сообщил о чтении за пределами выделенного буфера памяти в libxml2, которое +не приводит к аварийным остановкам, но может быть определёно с помощью ASAN и Valgrind.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-266.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-268.wml b/russian/lts/security/2015/dla-268.wml new file mode 100644 index 00000000000..046d0e50942 --- /dev/null +++ b/russian/lts/security/2015/dla-268.wml @@ -0,0 +1,35 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В версии VirtualBox (пакет: virtualbox-ose), решении для виртуализации для архитектуры x86, +входящей в состав Debian squeeze-lts, было обнаружено три уязвимости.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0377">CVE-2015-0377</a> + + <p>Не допускается позволять локальным пользователям влиять на доступность через + неизвестные векторы, связанные с Core, что может приводить к отказу в + обслуживании. (Это отличная от <a href="https://security-tracker.debian.org/tracker/CVE-2015-0418">CVE-2015-0418</a> проблема).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0418">CVE-2015-0418</a> + + <p>Не допускается позволять локальным пользователям влиять на доступность через + неизвестные векторы, связанные с Core, что может приводить к отказу в + обслуживании. (Это отличная от <a href="https://security-tracker.debian.org/tracker/CVE-2015-0377">CVE-2015-0377</a> проблема).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3456">CVE-2015-3456</a> + + <p>Контроллер гибких магнитных дисков (FDC) в QEMU, используемый в VirtualBox и + в других продуктах для виртуализации, позволяет локальным пользователям гостевой системы вызывать + отказ в обслуживании (запись за пределами выделенного буфера памяти и аварийная остановка гостевой системы) или + потенциально выполнять произвольный код с помощью (1) FD_CMD_READ_ID, (2) + FD_CMD_DRIVE_SPECIFICATION_COMMAND, либо выполнять другие неопределённые команды, + aka VENOM.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-268.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-269.wml b/russian/lts/security/2015/dla-269.wml new file mode 100644 index 00000000000..5bc50e7a555 --- /dev/null +++ b/russian/lts/security/2015/dla-269.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Из-за отсутствия скобок в заплате '500-ssl.diff' +возникла проблема, которая приводит к выполнению +'fclose(NULL)' и, таким образом, к ошибке сегментирования. +Эта ошибка возникает во время превращения 'linux-ftpd' в +'linux-ftpd-ssl'.</p> + +<p>Этой проблеме идентификатор CVE не был назначен.</p> + +<p>Заплата была подготовлена Мэтсом Эриком Андерсоном.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-269.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-270.wml b/russian/lts/security/2015/dla-270.wml new file mode 100644 index 00000000000..df0ec32ca4d --- /dev/null +++ b/russian/lts/security/2015/dla-270.wml @@ -0,0 +1,27 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В DNS-сервере bind9 была обнаружена уязвимость:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4620">CVE-2015-4620</a> + + <p>Брено Сильвейра из Servico Federal de Processamento de Dados (SERPRO) + обнаружил, что DNS-сервер BIND содержит отказ в + обслуживании. Удалённый злоумышленник, который может заставить службу проверяющего разрешения + имён выполнить запрос зоны, содержащей специально сформированное содержимое, может + вызвать аварийную остановку службы разрешения имён из-за ошибки утверждения, что приводит + к отказу в обслуживании по отношению к клиентам, обращающимся к этой службе.</p></li> + +</ul> + +<p>В выпуске squeeze эти проблемы были исправлены в версии +9.7.3.dfsg-1~squeeze15 пакета bind9.</p> + +<p>Рекомендуется обновить пакеты bind9.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-270.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-271.wml b/russian/lts/security/2015/dla-271.wml new file mode 100644 index 00000000000..c26f3606a2b --- /dev/null +++ b/russian/lts/security/2015/dla-271.wml @@ -0,0 +1,9 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Неправильные коды операций dwarf могут вызывать обращения за пределы массива.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-271.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-272.wml b/russian/lts/security/2015/dla-272.wml new file mode 100644 index 00000000000..48d98cfac25 --- /dev/null +++ b/russian/lts/security/2015/dla-272.wml @@ -0,0 +1,38 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Django, высокоуровневой инфраструктуре веб-разработки на языке Python, было +обнаружено несколько уязвимостей:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2317">CVE-2015-2317</a> + + <p>Дэниель Чатфилд обнаружил, что python-django, высокоуровневая инфраструктура веб-разработки + на языке Python, неправильно обрабатывает передаваемые пользователем перенаправления + URL. Удалённый злоумышленник может использовать эту проблему для выполнения межсайтового + скриптинга.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5143">CVE-2015-5143</a> + + <p>Эрик Петерсон и Линь Хуа Чэн обнаружили, что новые пустые записи + используются для создания сессионного хранилища каждый раз, когда происходит + обращение к сессии и предоставляется неизвестный ключ сессии в запросе + куки. Это позволяет удалённым злоумышленникам заполнять сессионное хранилище + или удалять сессионные записи других пользователей.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5144">CVE-2015-5144</a> + + <p>Съёрд Йоб Постмус обнаружил, что некоторые встроенные механизмы проверки неправильно + отклоняют новые строки во входных значениях. Это может позволить удалённым + злоумышленникам вводить заголовки в сообщения электронной почты и запросы HTTP.</p></li> + +</ul> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены в +версии 1.2.3-3+squeeze13.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-272.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-273.wml b/russian/lts/security/2015/dla-273.wml new file mode 100644 index 00000000000..5549d5a8a5d --- /dev/null +++ b/russian/lts/security/2015/dla-273.wml @@ -0,0 +1,29 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Фернандо Муноз обнаружил проблему безопасности в tidy, программе проверки синтаксиса и +переформатирования HTML. Программа tidy неправильно обрабатывает определённые последовательности символов, +а удалённый злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании или потенциального +выполнения произвольного кода. Этой проблеме назначено два идентификатора CVE.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5522">CVE-2015-5522</a> + + <p>Неправильно сформированные документы HTML могут приводить к переполнению динамической памяти.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5523">CVE-2015-5523</a> + + <p>Неправильно сформированные документы HTML могут приводить к выделению 4ГБ памяти.</p></li> + +</ul> + +<p>В выпуске Squeeze эта проблема была исправлена в +версии 20091223cvs-1+deb6u1 пакета tidy.</p> + +<p>Рекомендуется обновить пакеты tidy.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-273.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-274.wml b/russian/lts/security/2015/dla-274.wml new file mode 100644 index 00000000000..e2dc86cfe4a --- /dev/null +++ b/russian/lts/security/2015/dla-274.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>cpnrodzc7, работающий в HP Zero Day Initiative, обнаружил, что +приложения на Java, использующие стандартные механизмы сериализации Java для +декодирования недоверенных данных и имеющие Groovy в classpath, могут +получить сериализованный объект, который приведёт к тому, что такое приложение +выполнит произвольный код.</p> + +<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была +исправлена в версии 1.7.0-4+deb6u1.</p> + +<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках +эта проблема будет исправлена позже.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-274.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-275.wml b/russian/lts/security/2015/dla-275.wml new file mode 100644 index 00000000000..c792c4e4b4a --- /dev/null +++ b/russian/lts/security/2015/dla-275.wml @@ -0,0 +1,18 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что пакет uri из стандартной библиотеки Ruby +использует регулярные выражения, которые могут приводить к чрезмерному перебору с возвратом. +Приложения на Ruby, выполняющие грамматический разбор недоверенных URI и использующие эту библиотеку, +подвержены атакам, вызывающим отказ в обслуживании, путём передачи специально сформированных URI.</p> + +<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была +исправлена в версии 1.9.2.0-2+deb6u6.</p> + +<p>Предыдущий стабильный (wheezy) и стабильный (jessie) выпуски +не подвержены этой проблеме, поскольку она была исправлена до момента выпуска указанных версий.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-275.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-276.wml b/russian/lts/security/2015/dla-276.wml new file mode 100644 index 00000000000..88a0bea0ef4 --- /dev/null +++ b/russian/lts/security/2015/dla-276.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Адам, автор основной ветки разработки inspircd, обнаружил, что заплата для Debian, +исправляющая <a href="https://security-tracker.debian.org/tracker/CVE-2012-1836">CVE-2012-1836</a>, неполна. Более того, она +вносит проблему, поскольку неправильные DNS-пакеты вызывают возникновение бесконечного цикла. +Данная загрузка исправляет эти проблемы.</p> + +<p>В настоящее время идентификатор CVE указанным проблем не назначен.</p> + +<p>В выпуске Squeeze эти проблемы были исправлены в версии +1.1.22+dfsg-4+squeeze2 пакета inspircd.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-276.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-277.wml b/russian/lts/security/2015/dla-277.wml new file mode 100644 index 00000000000..c42d09a4491 --- /dev/null +++ b/russian/lts/security/2015/dla-277.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Тийс Алкемад обнаружил, что сервер Jabber может передавать libidn, библиотеке +GNU для поддержки интернационализированных доменных имён (IDN), некорректную +строку в кодировке UTF-8. В случае сервера Jabber это приводит к +раскрытию информации, скорее всего другие приложения, использующие libidn, имеют +те же уязвимости. Данное обновление изменяет libidn так, чтобы +выполнялась проверка для исключения некорректных строк вместо того, чтобы +это делало само приложение.</p> + +<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была +исправлена в версии 1.15-2+deb6u1.</p> + +<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках +эта проблема будет исправлена позже.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-277.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-278.wml b/russian/lts/security/2015/dla-278.wml new file mode 100644 index 00000000000..6bc582f5234 --- /dev/null +++ b/russian/lts/security/2015/dla-278.wml @@ -0,0 +1,31 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В cacti, интерфейсе для rrdtool для отслеживания систем и служб, было обнаружено +несколько возможностей выполнения SQL-инъекций:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4634">CVE-2015-4634</a> + + <p>SQL-инъекция в Cacti до версии 0.8.8e позволяет удалённым + злоумышленникам выполнять произвольные команды SQL в graphs.php</p> + +<p>В настоящее время идентификаторы CVE не назначены или не известны. + SQL-инъекция в Cacti до версии 0.8.8e позволяет удалённым + злоумышленникам выполнять произвольные команды SQL в cdef.php, color.php, + data_input.php, data_queries.php, data_sources.php, + data_templates.php, gprint_presets.php, graph_templates.php, + graph_templates_items.php, graphs_items.php, host.php, + host_templates.php, lib/functions.php, rra.php, tree.php и + user_admin.php</p></li> + +</ul> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были +исправлены в версии 0.8.7g-1+squeeze7.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-278.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-279.wml b/russian/lts/security/2015/dla-279.wml new file mode 100644 index 00000000000..3103a39487e --- /dev/null +++ b/russian/lts/security/2015/dla-279.wml @@ -0,0 +1,26 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В python-tornado, масштабируемом неблокирующем веб-сервере на языке Python, была обнаружена уязвимость.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9720">CVE-2014-9720</a> + +<p>CSRF-куки позволяет выполнять атаку через сторонний канал на TLS (BREACH)</p> + +<p>Исправление безопасности</p> + +<p>Токен XSRF теперь кодируется с помощью случайной маски при каждом запросе. Это позволяет +безопасно включать его в сжатые страницы и делает неуязвимым к атаке по принципу +BREACH.</p></li> + +</ul> + +<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была исправлена в +версии 1.0.1-1+deb6u1.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-279.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-280.wml b/russian/lts/security/2015/dla-280.wml new file mode 100644 index 00000000000..fa48d6cf8c5 --- /dev/null +++ b/russian/lts/security/2015/dla-280.wml @@ -0,0 +1,11 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + <p>В функции gs_heap_alloc_bytes() добавлена проверка, чтобы не допускать + переполнения переменной, содержащей фактическое число выделенных + байтов.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-280.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-281.wml b/russian/lts/security/2015/dla-281.wml new file mode 100644 index 00000000000..4f12dde5e4b --- /dev/null +++ b/russian/lts/security/2015/dla-281.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + <p>Многочисленные переполнения динамической памяти в функции XML_GetBuffer в Expat + вплоть до версии 2.1.0, используемой в Google Chrome до версии 44.0.2403.89 и + других продуктах, позволяют удалённым злоумышленникам вызывать отказ в обслуживании + (переполнение динамической памяти) или оказывать другое влияние на безопасность системы + через специально сформированных данные XML, что связано с <a href="https://security-tracker.debian.org/tracker/CVE-2015-2716">CVE-2015-2716</a>.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-281.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-282.wml b/russian/lts/security/2015/dla-282.wml new file mode 100644 index 00000000000..24953f8b750 --- /dev/null +++ b/russian/lts/security/2015/dla-282.wml @@ -0,0 +1,11 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление позволяет отключить SSLv3 в lighttpd для обеспечения защиты +от атаки POODLE. Протокол SSLv3 в настоящее время по умолчанию отключен, но +его при необходимости можно включить, используя опцию ssl.use-sslv3.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-282.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-283.wml b/russian/lts/security/2015/dla-283.wml new file mode 100644 index 00000000000..bf3a1a4b6ae --- /dev/null +++ b/russian/lts/security/2015/dla-283.wml @@ -0,0 +1,27 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В библиотеке международных компонентов для юникода (ICU) была обнаружена +уязвимость:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4760">CVE-2015-4760</a> + + <p>Было обнаружено, что в движке вёрстки ICU отсутствуют многочисленные + проверки границ массивов. Это может приводить к переполнениям буфера и повреждению содержимого + памяти. Специально сформированный файл может приводить к тому, что приложение, + использующее ICU для выполнения грамматического разбора недоверенных файлов шрифтов, аварийно завершит свою работу или + потенциально выполнит произвольный код.</p></li> + +</ul> + +<p>В выпуске squeeze эти проблемы были исправлены в версии +4.4.1-8+squeeze4 пакет icu.</p> + +<p>Рекомендуется обновить пакеты icu.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-283.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-284.wml b/russian/lts/security/2015/dla-284.wml new file mode 100644 index 00000000000..05df025046a --- /dev/null +++ b/russian/lts/security/2015/dla-284.wml @@ -0,0 +1,26 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В HTTP-сервере Apache была обнаружена уязвимость.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3183">CVE-2015-3183</a> + + <p>Http-сервер Apache неправильно выполняет грамматической разбор заголовков порции данных, что + позволяет удалённым злоумышленникам выполнять подделку HTTP-запросов с помощью + специально сформированных запросов. Эта уязвимость связана с неправильной обработкой больших значений, + имеющих размер порции данных, и некорректных символов расширения порций в + modules/http/http_filters.c.</p></li> + +</ul> + +<p>В выпуске squeeze эти проблемы были исправлены в верси +2.2.16-6+squeeze15 пакета apache2.</p> + +<p>Рекомендуется обновить пакеты apache2.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-284.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-285.wml b/russian/lts/security/2015/dla-285.wml new file mode 100644 index 00000000000..88985b699e8 --- /dev/null +++ b/russian/lts/security/2015/dla-285.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Джонатан Фьют обнаружил, что DNS-сервер BIND неправильно обрабатывает +запросы TKEY. Удалённый злоумышленник может использовать эту уязвимость +для вызова отказа в обслуживании при помощи специально сформированного запроса, приводящего +к ошибке утверждения и завершению работы BIND.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-285.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-286.wml b/russian/lts/security/2015/dla-286.wml new file mode 100644 index 00000000000..3f3fda1c753 --- /dev/null +++ b/russian/lts/security/2015/dla-286.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Алекс Руссков обнаружил, что Squid, использующий опцию cache_peer и +работающих в качестве явного прокси, неправильно обрабатывает метод CONNECT +в ответах одноранговых узлов. При некоторых настройках это позволяет удалённым клиентам +обходить ограничения безопасности явного прокси-шлюза.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в squid3 версии +3.1.6-1.2+squeeze5. Рекомендуется обновить пакеты squid3.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-286.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-287.wml b/russian/lts/security/2015/dla-287.wml new file mode 100644 index 00000000000..953352772d9 --- /dev/null +++ b/russian/lts/security/2015/dla-287.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Пакеты ia32-libs и ia32-libs-gtk содержат 32-битные версии различных +библиотек, предназначенные для использования в 64-битных системах. Данное обновление содержит все +исправления безопасности, которые были выпущены для этих библиотек с момента предыдущего обновления пакетов ia32-libs +и ia32-libs-gtk в Squeeze LTS.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-287.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-288.wml b/russian/lts/security/2015/dla-288.wml new file mode 100644 index 00000000000..f5187f286a7 --- /dev/null +++ b/russian/lts/security/2015/dla-288.wml @@ -0,0 +1,26 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Debian LTS (squeeze) исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2015-5600">CVE-2015-5600</a> в openssh +версии 1:5.5p1-6+squeeze7 ломает механизмы аутентификации, полагающиеся на метод +интерактивной работы с клавиатурой. Благодарим Колина Уотсона за обнаружение +этой проблемы.</p> + +<p>Заплата, исправляющая <a href="https://security-tracker.debian.org/tracker/CVE-2015-5600">CVE-2015-5600</a> добавляет поле <q>devices_done</q> в +структуру KbdintAuthctxt, но не инициализирует это поле в +функции kbdint_alloc(). В Linux эти проводит к заполнению поля +ненужными данными. В результате это приводит к случайным ошибкам при вводе данных учётной записи +при использовании интерактивной аутентификации с помощью клавиатуры.</p> + +<p>Данная загрузка openssh 1:5.5p1-6+squeeze7 в Debian LTS (squeeze) добавляет +инициализацию поля `devices_done` в существующий код +инициализации.</p> + +<p>Тем, кто полагается на интерактивные механизмы аутентификации с помощью клавиатуры в +OpenSSH в системах Debian squeeze(-lts), рекомендуется обновить +OpenSSH до версии 1:5.5p1-6+squeeze7.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-288.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-289.wml b/russian/lts/security/2015/dla-289.wml new file mode 100644 index 00000000000..2bb640cd8b5 --- /dev/null +++ b/russian/lts/security/2015/dla-289.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Александр Келлер обнаружил переполнение буфера в remind, инструменте для +продвинутого уведомления о грядущих событиях.</p> + +<p>Если вы используете Debian squeeze LTS, то рекомендуется обновить remind до последней +версии.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-289.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-290.wml b/russian/lts/security/2015/dla-290.wml new file mode 100644 index 00000000000..0fd4441ce37 --- /dev/null +++ b/russian/lts/security/2015/dla-290.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Shibboleth SP аварийно завершает свою работу при получении правильно сформированного, но некорректного XML</p> + +<p>Для исправления этой ошибки требуется обновить +opensaml2. Такое обновление будет выпущено в скором времени.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-290.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-291.wml b/russian/lts/security/2015/dla-291.wml new file mode 100644 index 00000000000..9d5e6bbdfe7 --- /dev/null +++ b/russian/lts/security/2015/dla-291.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Адам Сэмпсон обнаружил уязвимость в GNU Libidn, библиотеке, реализующей +спецификации IETF IDN. Libdin неправильно обрабатывает +некорректные входные данные в кодировке UTF-8, что приводит к неправильному использованию функции free(). Данная проблема +появилась из-за исправления <a href="https://security-tracker.debian.org/tracker/CVE-2015-2059">CVE-2015-2059</a>.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в версии 1.15-2+deb6u2 +пакета libidn.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-291.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-292.wml b/russian/lts/security/2015/dla-292.wml new file mode 100644 index 00000000000..4dad3015493 --- /dev/null +++ b/russian/lts/security/2015/dla-292.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Validator в Apache Struts 1.1 и более поздних версиях содержит функцию для +эффективного определения правил проверки входных данных на нескольких страницах во +время смены экрана. Эта функция содержит уязвимость, благодаря которой проверку +входных данных можно обойти. При использовании Apache Struts 1 Validator +веб-приложение может оказаться уязвимым даже в том случае, когда указанная функция +не используется явным образом.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-292.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-293.wml b/russian/lts/security/2015/dla-293.wml new file mode 100644 index 00000000000..a69dc9cd0a7 --- /dev/null +++ b/russian/lts/security/2015/dla-293.wml @@ -0,0 +1,25 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Майкл Пилато из CollabNet сообщил о проблеме в Subversion, системе +управления версиями.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3187">CVE-2015-3187</a> + + <p>Серверы Subversion раскрывают некоторые чувствительные пути, скрытые механизмом авторизации + на основе путей. Удалённые аутентифицированные пользователи могут получить + информацию о путях, читая историю ноды, которая была + перемещена из скрытого пути. Эта уязвимость раскрывает только путь, + не раскрывая его содержимого.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в subversion +версии 1.6.12dfsg-7+deb6u3. Рекомендуется обновить пакеты subversion.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-293.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-294.wml b/russian/lts/security/2015/dla-294.wml new file mode 100644 index 00000000000..f1012883407 --- /dev/null +++ b/russian/lts/security/2015/dla-294.wml @@ -0,0 +1,44 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Wordpress, популярном движке ведения блога, было обнаружено +несколько уязвимостей.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2213">CVE-2015-2213</a> + + <p>SQL-инъекция позволяет удалённому злоумышленнику компрометировать сайт.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5622">CVE-2015-5622</a> + + <p>Была улучшена надёжность фильтра кратких тегов + HTML. Грамматический разбор стал более строгим, что может повлиять + на ваши настройки. Это исправленная версия заплаты, + которую нужно было отменить в DSA 3328-2.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5731">CVE-2015-5731</a> + + <p>Злоумышленник может закрыть редактируемое сообщение.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5732">CVE-2015-5732</a> + + <p>Межсайтовый скриптинг в заголовке виджета позволяет злоумышленнику + красть чувствительную информацию.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5734">CVE-2015-5734</a> + + <p>Исправление нескольких сломанных ссылок в предварительном просмотре темы legacy.</p></li> + +</ul> + +<p>Эти проблемы были обнаружены Марком-Александром Монпасом из Sucuri, Хелен +Хоу-Санди из команды безопасности WordPress, Нэтанелем Рабином из Check Point, +Иваном Григоровым, Йоханнесом Шмиттом из Scrutinizer и Мохамедом Басе.</p> + +<p>Рекомендуется обновить пакеты wordpress.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-294.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-295.wml b/russian/lts/security/2015/dla-295.wml new file mode 100644 index 00000000000..3f4a4aea44f --- /dev/null +++ b/russian/lts/security/2015/dla-295.wml @@ -0,0 +1,18 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>"jann" обнаружил, что при определённых настройках, когда не запущен соответствующий +модуль ядра conntrack, conntrackd аварийно завершает работу при +обработке пакетов DCCP, SCTP или ICMPv6. В версии, входящей в состав Debian +6.0 <q>squeeze</q>, данная уязвимость касается только ICMPv6.</p> + +<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была +исправлена в версии 1:0.9.14-2+deb6u1.</p> + +<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках +эта проблема будет исправлена позже.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-295.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-296.wml b/russian/lts/security/2015/dla-296.wml new file mode 100644 index 00000000000..aecb72b6875 --- /dev/null +++ b/russian/lts/security/2015/dla-296.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p>Многочисленные проблемы с межсайтовым скриптингом (XSS) в eXtplorer до версии 2.1.7 +позволяют удалённым злоумышленникам вводить произвольные веб-сценарии или код HTML, используя +неуказанные векторы.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-296.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-297.wml b/russian/lts/security/2015/dla-297.wml new file mode 100644 index 00000000000..b714810c89e --- /dev/null +++ b/russian/lts/security/2015/dla-297.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + <p>Wesnoth реализует язык предварительной обработки текста, использующийся вместе + с собственным языком игровых сценариев. Также в игре имеется + встроенный интерпретатор Lua и соответствующий API. + И Lua API, и препроцессор используют одну и ту же функцию + (filesystem::get_wml_location()) для разрешения путей к файлам, чтобы считывалось + только содержимое пользовательского каталога с данными.</p> + + <p>Тем не менее, эта функция явным образом не запрещает файлы с расширением + .pbl. Таким образом, содержимое этих файлов может сохраняться в файлах + сохранений или даже передано напрямую другим пользователям в ходе сетевой + игры. Информация, содержащаяся в этих файлах, включает в себя пользовательский + пароль, используемый для аутентификации загрузок на сервер данных игры.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-297.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-298.wml b/russian/lts/security/2015/dla-298.wml new file mode 100644 index 00000000000..92a3b0c63bf --- /dev/null +++ b/russian/lts/security/2015/dla-298.wml @@ -0,0 +1,28 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<ul> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6130">CVE-2012-6130</a> + <p>Межсайтовый скриптинг (XSS) в отображении истории + в Roundup до версии 1.4.20 позволяет удалённым злоумышленникам + вводить произвольный веб-сценарий или код HTML с помощью имени пользователя, + связанного с создаваемой ссылкой.</p></li> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6131">CVE-2012-6131</a> + <p>Межсайтовый скриптинг (XSS) в cgi/client.py + в Roundup до версии 1.4.20 позволяет удалённым злоумышленникам вводить + произвольный веб-сценарий или код HTML с помощью параметра @action в + support/issue1.</p></li> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6132">CVE-2012-6132</a> + <p>Межсайтовый скриптинг (XSS) в Roundup до версии + 1.4.20 позволяет удалённым злоумышленникам вводить произвольный веб-сценарий + или код HTML с помощью параметра otk.</p></li> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6133">CVE-2012-6133</a> + <p>Уязвимости XSS в сообщениях ok и error. + Указанные проблемы исправлены другим способом, не тем, который был предложен в сообщении об ошибке. + Ошибки исправлены путём запрета *любых* html-тегов в сообщениях ok/error.</p></li> +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-298.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-299.wml b/russian/lts/security/2015/dla-299.wml new file mode 100644 index 00000000000..c566348b67c --- /dev/null +++ b/russian/lts/security/2015/dla-299.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>"sheepman" исправил уязвимость в Ruby 1.8: DL::dlopen может открыть библиотеку +с поддельным именем в случае, если $SAFE > 0.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в ruby1.8 +версии 1.8.7.302-2squeeze5.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-299.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-300.wml b/russian/lts/security/2015/dla-300.wml new file mode 100644 index 00000000000..c05abef57e5 --- /dev/null +++ b/russian/lts/security/2015/dla-300.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>"sheepman" исправил уязвимость в Ruby 1.9.1: DL::dlopen может открыть +библиотеку с поддельным именем в случае, если $SAFE > 0.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в ruby1.9.1 +версии 1.9.2.0-2+deb6u7</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-300.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-301.wml b/russian/lts/security/2015/dla-301.wml new file mode 100644 index 00000000000..f5ba652cec5 --- /dev/null +++ b/russian/lts/security/2015/dla-301.wml @@ -0,0 +1,31 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Возможный отказ в обслуживании в виде logout() из-за заполнения хранилища сессии.</p> + +<p>Ранее сессия создавалась при анонимном обращении к +виду django.contrib.auth.views.logout (учитывая, что этот вид не декорировался +django.contrib.auth.decorators.login_required как на странице администратора). Это +позволяло злоумышленнику легко создавать много новых записей сессии путём +отправки повторных запросов, что потенциально заполняет хранилище сессии или +приводит к удалению сессионных записей других пользователей.</p> + +<p>django.contrib.sessions.middleware.SessionMiddleware был изменён +так, чтобы пустые сессионные записи более не создавались.</p> + +<p>Данная часть исправления получила идентификатор <a href="https://security-tracker.debian.org/tracker/CVE-2015-5963">CVE-2015-5963</a>.</p> + +<p>Кроме того, методы contrib.sessions.backends.base.SessionBase.flush() и +cache_db.SessionStore.flush() были изменены так, чтобы создание новой пустой сессии +не происходило. Сопровождающим сторонних сессионных движков следует +проверить наличие такой же уязвимости в их движке, а при её наличии исправить +проблему.</p> + +<p>Данная часть исправления получила идентификатор <a href="https://security-tracker.debian.org/tracker/CVE-2015-5964">CVE-2015-5964</a>.</p> + +<p>Рекомендуется обновить пакеты python-django.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-301.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-302.wml b/russian/lts/security/2015/dla-302.wml new file mode 100644 index 00000000000..791361e4397 --- /dev/null +++ b/russian/lts/security/2015/dla-302.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Давид Голунски обнаружил, что при запуске Zend Framework, инфрастуктуры PHP, под PHP-FPM +в многопоточном окружении последняя неправильно обрабатывает данные XML +в многобайтовых кодировках. Указанная проблема может использоваться удалёнными злоумышленниками для выполнения +атаки по принципу XML External Entity путём специально сформированных данных XML.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в zendframework +версии 1.10.6-1squeeze5.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-302.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-303.wml b/russian/lts/security/2015/dla-303.wml new file mode 100644 index 00000000000..f995eb55adf --- /dev/null +++ b/russian/lts/security/2015/dla-303.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В OpenJDK, реализации платформы Oracle Java, было обнаружено несколько +уязвимостей, приводящих к выполнению произвольного +кода, выходу за пределы песочницы Java, раскрытию +информации, отказам в обслуживании или небезопасному шифрованию.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в openjdk-6 +версии 6b36-1.13.8-1~deb6u1.</p> + +<p>Рекомендуется обновить пакеты openjdk-6.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-303.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-304.wml b/russian/lts/security/2015/dla-304.wml new file mode 100644 index 00000000000..445f3c83411 --- /dev/null +++ b/russian/lts/security/2015/dla-304.wml @@ -0,0 +1,34 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В OpenSLP, реализующем стандарты протокола Internet Engineering Task Force (IETF) +Service Location Protocol, было обнаружено несколько уязвимостей.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-3609">CVE-2010-3609</a> + + <p>Удалённые злоумышленники могут вызывать отказ в обслуживании в службе Service Location + Protocol (SLPD) при помощи специально сформированного пакета с <q>отступом следующего расширения</q>.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4428">CVE-2012-4428</a> + + <p>Георгий Гешев обнаружил, что чтение за пределами выделенного буфера памяти в + функции SLPIntersectStringList() может использоваться для вызова отказа в обслуживании.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5177">CVE-2015-5177</a> + + <p>Двойное освобождение в функции SLPDProcessMessage() может использоваться для вызова + аварийной остановки openslp.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в openslp-dfsg +версии 1.2.1-7.8+deb6u1.</p> + +<p>Рекомендуется обновить пакеты openslp-dfsg.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-304.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-305.wml b/russian/lts/security/2015/dla-305.wml new file mode 100644 index 00000000000..2b758bd6b29 --- /dev/null +++ b/russian/lts/security/2015/dla-305.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + <p>В screen была обнаружена уязвимость, приводящая к переполнению стека, что приводит +к аварийной остановке серверного процесса screen и отказу в обслуживании.</p> + + <p>См. <a href="./dsa-3352">DSA-3352-1</a> для получения дополнительной информации о других выпусках Debian.</p> + + <p>Рекомендуется обновить пакеты screen.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-305.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-306.wml b/russian/lts/security/2015/dla-306.wml new file mode 100644 index 00000000000..55fe83d47a9 --- /dev/null +++ b/russian/lts/security/2015/dla-306.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Флориан Ваймер из Red Hat Product Security обнаружил, что libvdpau, +обёрточная библиотека VDPAU, неправильно выполняет проверку переменных окружения, +позволяя локальным злоумышленникам получать дополнительные права доступа.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в libvdpau +версии 0.4.1-2+deb6u1. Информацию о других выпусках Debian см. в +<a href="./dsa-3355">DSA 3355-1</a>.</p> + +<p>Рекомендуется обновить пакеты libvdpau.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-306.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-307.wml b/russian/lts/security/2015/dla-307.wml new file mode 100644 index 00000000000..8e0550aa5ab --- /dev/null +++ b/russian/lts/security/2015/dla-307.wml @@ -0,0 +1,94 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<ul> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3307">CVE-2015-3307</a> + <p>Функция phar_parse_metadata в ext/phar/phar.c в PHP до версии + 5.4.40, 5.5.x до версии 5.5.24 и 5.6.x до версии 5.6.8 позволяет удалённым + злоумышленникам вызывать отказ в обслуживании (повреждение метаданных динамической памяти) + или оказывать какое-то другое влияние на безопасность с помощью специально сформированного архива tar.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3411">CVE-2015-3411</a> + <a href="https://security-tracker.debian.org/tracker/CVE-2015-3412">CVE-2015-3412</a> + <p>Исправлена ошибка #69353 (отсутствие проверки null-байтов для путей в различных + расширениях PHP).</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4021">CVE-2015-4021</a> + <p>Функция phar_parse_tarfile в ext/phar/tar.c в PHP + до версии 5.4.41, 5.5.x до версии 5.5.25 и 5.6.x до версии 5.6.9 + не выполняет проверку того, что первый символ имени файла отличается + от символа \0, что позволяет удалённым злоумышленникам + вызывать отказ в обслуживании (отрицательное переполнение целых чисел и повреждение + содержимого памяти) с помощью специально сформированной записи в архиве tar.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4022">CVE-2015-4022</a> + <p>Переполнение целых чисел в функции ftp_genlist в ext/ftp/ftp.c в PHP + до версии 5.4.41, 5.5.x до версии 5.5.25 и 5.6.x до версии 5.6.9 позволяет + удалённым FTP-серверам выполнять произвольный код с помощью длинного ответа на + команду LIST, что приводит к переполнению динамической памяти.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4025">CVE-2015-4025</a> + <p>PHP до версии 5.4.41, 5.5.x до версии 5.5.25 и 5.6.x до версии 5.6.9 + в определённых ситуациях обрезает путь в том случае, если в нём встречается + символ \x00, что позволяет удалённым злоумышленникам обходить специальные + ограничения расширений и получать доступ к файлам и каталогам с + неожиданными именами с помощью специально сформированного аргумента (1) set_include_path, + (2) tempnam, (3) rmdir или (4) readlink. ВНИМАНИЕ: эта уязвимость + присутствует в PHP из-за неполного исправления для <a href="https://security-tracker.debian.org/tracker/CVE-2006-7243">CVE-2006-7243</a>.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4026">CVE-2015-4026</a> + <p>Реализация pcntl_exec в PHP до версии 5.4.41, 5.5.x до версии + 5.5.25 и 5.6.x до версии 5.6.9 обрезает путь в том случае, если в нём встречается + символ \x00, что может позволить удалённым злоумышленникам обходить + специальные ограничения расширений и выполнять файлы с неожиданными + именами с помощью специально сформированного первого аргумента. ВНИМАНИЕ: эта уязвимость присутствует + в PHP из-за неполного исправления для <a href="https://security-tracker.debian.org/tracker/CVE-2006-7243">CVE-2006-7243</a>.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4147">CVE-2015-4147</a> + <p>Метод SoapClient::__call в ext/soap/soap.c в PHP до версии + 5.4.39, 5.5.x до версии 5.5.23 и 5.6.x до версии 5.6.7 не выполняет + проверку того, что __default_headers является массивом, что позволяет удалённым + злоумышленникам выполнять произвольный код, передавая специально сформированные + сериализованные данные с неожиданным типом данных. Эта проблема связана с проблемой + <q>смешения типов</q>.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4148">CVE-2015-4148</a> + <p>Функция do_soap_call в ext/soap/soap.c в PHP до версии 5.4.39, + 5.5.x до версии 5.5.23 и 5.6.x до версии 5.6.7 не выполняет проверку того, что + свойство URI является строкой, что позволяет удалённым злоумышленникам + получать чувствительную информацию, передавая специально сформированные сериализованные данные + с типом данных int. Эта проблема связана с проблемой <q>смешения типов</q>.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4598">CVE-2015-4598</a> + <p>Неправильная обработка путей, содержащих NUL.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4599">CVE-2015-4599</a> + <p>Смешение типов в exception::getTraceAsString.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4600">CVE-2015-4600</a> + <a href="https://security-tracker.debian.org/tracker/CVE-2015-4601">CVE-2015-4601</a> + <p>Добавлены проверки типов.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4602">CVE-2015-4602</a> + <p>Смешение типов в unserialize() с SoapFault.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4604">CVE-2015-4604</a> + <a href="https://security-tracker.debian.org/tracker/CVE-2015-4605">CVE-2015-4605</a> + <p>Отказ в обслуживании при обработке специально сформированного файла с Fileinfo + (уже исправлено в CVE-2015-temp-68819.patch).</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4643">CVE-2015-4643</a> + <p>Улучшено исправление ошибки #69545 (переполнение целых чисел в ftp_genlist(), + приводящее к переполнению динамической памяти).</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4644">CVE-2015-4644</a> + <p>Исправлена ошибка #69667 (ошибка сегментирования в php_pgsql_meta_data).</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5589">CVE-2015-5589</a> + <p>Ошибка сегментирования в Phar::convertToData при работе с некорректным файлом.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5590">CVE-2015-5590</a> + <p>Переполнение буфера и разбиение стека в phar_fix_filepath.</p></li> +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-307.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-308.wml b/russian/lts/security/2015/dla-308.wml new file mode 100644 index 00000000000..f48a3429d28 --- /dev/null +++ b/russian/lts/security/2015/dla-308.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Ханно Бёк из Fuzzing Project обнаружил, что неправильная проверка +подписанных с помощью DNSSEC записей в DNS-сервере Bind может приводить к отказу в обслуживании.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в bind9 версии +1:9.7.3.dfsg-1~squeeze17. Рекомендуется обновить пакеты bind9.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-308.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-309.wml b/russian/lts/security/2015/dla-309.wml new file mode 100644 index 00000000000..1e2b8275bf6 --- /dev/null +++ b/russian/lts/security/2015/dla-309.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Дэнис Анджакович обнаружил, что OpenLDAP, свободная реализация +Lightweight Directory Access Protocol, неправильно обрабатывает данные +BER. Неаутентифицированный удалённый злоумышленник может использовать эту уязвимость для +вызова отказа в обслуживании (аварийная остановка службы slapd) при помощи специально сформированного пакета.</p> + +<p>Пакет для Squeeze-LTS был подготовлен Райаном Танди.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-309.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-310.wml b/russian/lts/security/2015/dla-310.wml new file mode 100644 index 00000000000..6432b195814 --- /dev/null +++ b/russian/lts/security/2015/dla-310.wml @@ -0,0 +1,72 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В данном обновлении исправлены описанные ниже CVE.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0272">CVE-2015-0272</a> + + <p>Было обнаружено, что NetworkManager устанавливает MTU для IPv6 на основе + значений, полученных в RA (объявление маршрутизатора) IPv6, без + выполнения достаточной проверки этих значений. Удалённый злоумышленник может + использовать эту уязвимость для отключения соединения IPv6. Эта проблема + была решена путём добавления в ядро кода проверки.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5156">CVE-2015-5156</a> + + <p>Джейсон Ванг обнаружил, что когда устройство virtio_net подключается + к мосту в той же виртуальной машине, ряд пакетов TCP, перенаправленные + через этот мост, могут вызвать переполнение динамической памяти. Удалённый + злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании (аварийная остановка) или + потенциального повышения привилегий.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5364">CVE-2015-5364</a> + + <p>Было обнаружено, что ядро Linux неправильно выполняет обработку + некорректных контрольных сумм UDP. Удалённый злоумышленник может использовать эту уязвимость для + вызова отказа в обслуживании путём переполнения пакетами UDP с некорректными + контрольными суммами.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5366">CVE-2015-5366</a> + + <p>Было обнаружено, что ядро Linux неправильно выполняет обработку + некорректных контрольных сумм UDP. Удалённый злоумышленник может вызвать отказ в + обслуживании в приложениях, использующих epoll, путём отправки одного + пакета с некорректной контрольной суммой.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5697">CVE-2015-5697</a> + + <p>В драйвере md ядра Linux была обнаружена уязвимость, приводящая + к утечке информации.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5707">CVE-2015-5707</a> + + <p>Было обнаружено переполнение целых чисел в родовом драйвере SCSI в + ядре Linux. Локальный пользователь с правами на запись на родовое устройство + SCSI потенциально может использовать эту уязвимость для повышения привилегий.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6937">CVE-2015-6937</a> + + <p>Было обнаружено, что реализация протокола Reliable Datagram Sockets (RDS) + не производит проверку существования низлежащего транспорта при + создании соединения. В зависимости от того, как локальное приложение RDS + инициализирует свои сокеты, удалённый злоумышленник может оказаться + способен вызвать отказ в обслуживании (аварийная остановка) путём отправки специально + сформированного пакета.</p></li> + +</ul> + +<p>В старом предыдущем выпуске (squeeze) эти проблемы были +исправлены в версии 2.6.32-48squeeze14.</p> + +<p>В предыдущем стабильном выпуске (wheezy) эти проблемы были +исправлены в версии 3.2.68-1+deb7u4 или более ранних версиях.</p> + +<p>В стабильном выпуске (jessie) эти проблемы были исправлены +в версии 3.16.7-ckt11-1+deb8u4 или более ранних версиях.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-310.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-311.wml b/russian/lts/security/2015/dla-311.wml new file mode 100644 index 00000000000..ae0dc262ec1 --- /dev/null +++ b/russian/lts/security/2015/dla-311.wml @@ -0,0 +1,11 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Использование указателей после освобождения памяти в rpcbind приводит к аварийным остановкам, +вызываемым удалённо. Rpcbind аварийно завершает свою работу в svc_dodestroy при попытке освободить повреждённый +указатель xprt->xp_netid, содержащий sockaddr_in.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-311.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-312.wml b/russian/lts/security/2015/dla-312.wml new file mode 100644 index 00000000000..47accf00490 --- /dev/null +++ b/russian/lts/security/2015/dla-312.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p>Функция lazy_bdecode в сервере инициализации BitTorrent DHT (bootstrap-dht ) +позволяет удалённым злоумышленникам выполнять произвольный код при помощи специально сформированного пакета, +проблема связана с <q>неправильным индексированием</q>.</p> + + +<p>Заметьте, что данная CVE касается сервера BitTorrent DHT Bootstrap, +но тот же самый код с указанной уязвимостью имеется и в libtorrent-rasterbar.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-312.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-313.wml b/russian/lts/security/2015/dla-313.wml new file mode 100644 index 00000000000..764f0c1d118 --- /dev/null +++ b/russian/lts/security/2015/dla-313.wml @@ -0,0 +1,71 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Debian LTS (squeeze) был загружен последний сопровождающий +выпуск VirtualBox (OSE) серии 3.2.x (то есть, версия 3.2.28). Благодарим +Джанфранко Костаманья за подготовку пакетов для проверки и загрузки +командой Debian LTS.</p> + +<p>К сожалению, Oracle более не предоставляет информацию о конкретных уязвимостях +в VirtualBox, поэтому мы просто предоставляем их последнюю версию 3.2.28 +в Debian LTS (squeeze).</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3792">CVE-2013-3792</a> + + <p>Сотрудники Oracle сообщили о неопределённой уязвимости в компоненте Oracle VM + VirtualBox в Oracle Virtualization VirtualBox, которая имеет место в версиях до + 3.2.18, 4.0.20, 4.1.28 и 4.2.18 и позволяет локальным пользователям влиять на + доступность через неизвестные векторы, связанные с Core.</p> + + <p>Исправление <a href="https://security-tracker.debian.org/tracker/CVE-2013-3792">CVE-2013-3792</a> предотвращает отказ в обслуживании + на узле virtio-net путём добавления поддержки больших фреймов в IntNet, VirtioNet и + NetFilter, а также отбрасывания слишком больших фреймов.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2486">CVE-2014-2486</a> + + <p>Неопределённая уязвимость в компоненте Oracle VM VirtualBox + в Oracle Virtualization VirtualBox в версиях до 3.2.24, 4.0.26, + 4.1.34, 4.2.26 и 4.3.12 позволяет локальным пользователям оказывать влияние на целостность + и доступность через неизвестные векторы, связанные с Core.</p> + + <p>Подробности отсутствуют, уязвимость описывается как локальная + и имеющая низкую степень опасности.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2488">CVE-2014-2488</a> + + <p>Неопределённая уязвимость в компоненте Oracle VM VirtualBox в + Oracle Virtualization VirtualBox в версиях до 3.2.24, 4.0.26, 4.1.34, + 4.2.26 и 4.3.12 позволяет локальным пользователям оказывать влияние на конфиденциальность через + неизвестные векторы, связанные с Core.</p> + + <p>Подробности отсутствуют, уязвимость описывается как локальная и + имеющая низкую степень опасности.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2489">CVE-2014-2489</a> + + <p>Неопределённая уязвимость в компоненте Oracle VM VirtualBox в + Oracle Virtualization VirtualBox в версиях до 3.2.24, 4.0.26, 4.1.34, + 4.2.26 и 4.3.12 позволяет локальным пользователям оказывать влияние на конфиденциальность, + целостность и доступность через неизвестные векторы, связанные с Core.</p> + + <p>Подробности отсутствуют, уязвимость описывается как локальная и + имеющая среднюю степень опасности.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2594">CVE-2015-2594</a> + + <p>Неопределённая уязвимость в компоненте Oracle VM VirtualBox + в Oracle Virtualization VirtualBox в версиях до 4.0.32, 4.1.40, + 4.2.32 и 4.3.30 позволяет локальным пользователям оказывать влияние на конфиденциальность, + целостность и доступность через неизвестные векторы, связанные с Core.</p> + + <p>Данное обновление исправляет проблему, связанную с гостевыми системами, использующими мосты + через WiFi.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-313.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-314.wml b/russian/lts/security/2015/dla-314.wml new file mode 100644 index 00000000000..8dabc88d203 --- /dev/null +++ b/russian/lts/security/2015/dla-314.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Петр Скленар из Red Hat обнаружил, что инструмент texttopdf, часть фильтров +cups, возможно содержит многочисленные переполнения динамической памяти и целых +чисел в связи с неправильной обработкой задач печати. Это позволяет удалённым злоумышленникам +аварийно завершать работу texttopdf или потенциально выполнять произвольный код.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в cups версии +1.4.4-7+squeeze10. В Wheezy и Jessie эта проблема была исправлена в +пакете cups-filter. Рекомендуется обновить пакеты cups.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-314.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-315.wml b/russian/lts/security/2015/dla-315.wml new file mode 100644 index 00000000000..ee655f9c6cd --- /dev/null +++ b/russian/lts/security/2015/dla-315.wml @@ -0,0 +1,33 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В nss, библиотеке Mozilla Network Security Service, было обнаружено +несколько уязвимостей. Проект Common Vulnerabilities and Exposures +определяет следующие проблемы:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2721">CVE-2015-2721</a> + + <p>Картикеян Бхагаван обнаружил, что NSS неправильно обрабатывает переходы + состояний для машины состояний TLS. Злоумышленник, использующий принцип + человек-в-середине, может использовать данную проблему для того, чтобы пропустить сообщение ServerKeyExchange и + удалить свойство forward-secrecy.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2730">CVE-2015-2730</a> + + <p>Уотсон Лэдд обнаружил, что NSS неправильно выполняет умножение в шифровании + с использованием эллиптических кривых (ECC), что позволяет удалённому злоумышленнику + потенциально подделать подписи ECDSA.</p></li> + +</ul> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены +в версии 3.12.8-1+squeeze12.</p> + +<p>Рекомендуется обновить пакеты nss.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-315.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-316.wml b/russian/lts/security/2015/dla-316.wml new file mode 100644 index 00000000000..5263482c3ee --- /dev/null +++ b/russian/lts/security/2015/dla-316.wml @@ -0,0 +1,47 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В eglibc было обнаружено несколько уязвимостей, которые +могут приводить к повышению привилегий или отказу в обслуживании.</p> + +<ul> + +<li>Слабая защиты указателей в glibc. + + <p>Сначала эта проблема была обнаружена в динамическом загрузчике. Проблема + состоит в том, что LD_POINTER_GUARD в окружении не очищается, + что позволяет локальным злоумышленникам легко обходить защиту + указателей в программах set-user-ID и set-group-ID.</p></li> + +<li>Потенциальная аварийная остановка приложения из-за чтения за пределами ограничения в fnmatch. + + <p>При обработке определённых неправильно сформированных шаблонов fnmatch может пропустить + NUL-байт, завершающий шаблон. Потенциально это может приводить к + аварийной остановке приложения в том случае, если fnmatch встречает неназначенную страницу до + обнаружения NUL-байта.</p></li> + +<li>Переполнение динамической памяти в _IO_wstr_overflow + + <p>Неправильное вычисление в _IO_wstr_overflow потенциально может использоваться + для переполнения буфера.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8121">CVE-2014-8121</a> + + <p>DB_LOOKUP в nss_files/files-XXX.c в Name Service Switch (NSS) + в библиотеке GNU C (также известной как glibc или libc6) версии 2.21 и более ранних + неправильно выполняет проверку того, что файл открыт, что позволяет удалённым злоумышленникам + вызывать отказ в обслуживании (бесконечный цикл) путём выполнения поиска + в то время, когда база данных выполняет итерацию по базе данных, что приводит + к сбросу указателя на файл.</p></li> + +</ul> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены +в версии 2.11.3-4+deb6u7.</p> + +<p>Рекомендуется обновить пакеты.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-316.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-317.wml b/russian/lts/security/2015/dla-317.wml new file mode 100644 index 00000000000..7d64bad2228 --- /dev/null +++ b/russian/lts/security/2015/dla-317.wml @@ -0,0 +1,49 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В пакете vorbis-tools в Debian LTS (squeeze) были исправлены различные +проблемы.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9638">CVE-2014-9638</a> + + <p>Специально сформированный файл WAV с рядом каналов, выставленных в значение 0, приводит к аварийной + остановке oggenc из-за проблемы с делением на ноль. Эта проблема была исправлена + в основной ветке разработки путём подготовки заплаты для <a href="https://security-tracker.debian.org/tracker/CVE-2014-9639">CVE-2014-9639</a>. Авторам основной + ветки о проблеме сообщил <q>zuBux</q>.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9639">CVE-2014-9639</a> + + <p>В oggenc было обнаружено переполнение целых чисел, связанное с + числом каналов во входном файле WAV. Проблема возникает при + обращении за пределы выделенного буфера памяти, которое приводит к аварийной остановке oggenc + (audio.c). Авторам основной ветки о проблеме сообщил <q>zuBux</q>.</p> + + <p>Исправление из основной ветки разработки было адаптировано для vorbis-tools в + Debian LTS (squeeze).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9640">CVE-2014-9640</a> + + <p>Исправление аварийной остановки при закрытии необработанных входных данных (dd if=/dev/zero bs=1 count=1 | + oggenc -r - -o out.ogg). Авторам основной ветки о проблеме сообщил <q>hanno</q>.</p> + + <p>Исправление из основной ветки разработки было адаптировано для vorbis-tools в + Debian LTS (squeeze).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6749">CVE-2015-6749</a> + + <p>Переполнение буфера в функции aiff_open в oggenc/audio.c в + vorbis-tools версии 1.4.0 или более ранних позволяет удалённым злоумышленникам вызвать + отказ в обслуживании (аварийная остановка) с помощью специально сформированного файла AIFF. Авторам основной ветки + о проблеме сообщил <q>pengsu</q>.</p> + + <p>Исправление из основной ветки разработки было адаптировано для vorbis-tools в + Debian LTS (squeeze).</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-317.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-318.wml b/russian/lts/security/2015/dla-318.wml new file mode 100644 index 00000000000..ba2cc2db1f1 --- /dev/null +++ b/russian/lts/security/2015/dla-318.wml @@ -0,0 +1,11 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что flightgear, игра Flight Gear Flight Simulator, +не выполняет проверки файловой системы в +функции fgValidatePath.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-318.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-319.wml b/russian/lts/security/2015/dla-319.wml new file mode 100644 index 00000000000..ff1ad8219e8 --- /dev/null +++ b/russian/lts/security/2015/dla-319.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Сергей Горбатый сообщил о проблемах, связанных с движком шрифтов FreeType. +FreeType неправильно обрабатывает некоторые неправильные файлы шрифтов, что позволяет +удалённым злоумышленникам вызывать отказ в обслуживании в случае использования +специально сформированных файлов шрифтов.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в freetype версии +2.4.2-2.1+squeeze6. Рекомендуется обновить пакеты freetype.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-319.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-320.wml b/russian/lts/security/2015/dla-320.wml new file mode 100644 index 00000000000..93b2c9b8988 --- /dev/null +++ b/russian/lts/security/2015/dla-320.wml @@ -0,0 +1,28 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Пали Рохар <a href="http://www.openwall.com/lists/oss-security/2015/09/27/1">обнаружил</a> потенциальную атаку с целью вызова отказа в обслуживании на любое ПО, использующее +модуль Email::Address для Perl для выполнения грамматического разбора входных строк списка +адресов электронной почты.</p> + +<p>По умолчанию модуль Email::Address версии v1.907 (и более ранних) пытается +определить вложенные комментарии во входной строке с уровнем глубины 2.</p> + +<p>С помощью специально сформированных входных данных грамматический разбор вложенных комментариев может стать +слишком медленным и может приводить к высокой нагрузке на ЦП, что приводит к зависанию приложения и +отказу в обслуживании.</p> + +<p>Поскольку входные строки для модуля Email::Address происходят из внешнего +источника (например, из сообщения электронной почты, отправленного злоумышленником), постольку эта проблема +безопасности влияет на все приложения, выполняющие грамматический разбор сообщений электронной почты с помощью +модуля Email::Address для Perl.</p> + +<p>В данной загрузке libemail-address-perl по умолчанию значение вложенных +комментариев установлено в уровень глубины 1 (что было предложено авторами основной ветки разработки). Заметьте, +что это не полноценное исправление, а только временное обходное решение для патологичных +входных данных с вложенными комментариями.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-320.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-321.wml b/russian/lts/security/2015/dla-321.wml new file mode 100644 index 00000000000..1a313043ef6 --- /dev/null +++ b/russian/lts/security/2015/dla-321.wml @@ -0,0 +1,38 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В версии Wordpress, системы управления содержимым, из +Debian LTS (squeeze) были обнаружены различные проблемы безопасности.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5714">CVE-2015-5714</a> + + <p>Был обнаружен межсайтовый скриптинг при обработке + сокращённых тегов.</p> + + <p>Проблема была исправлена путём запрета незакрытых элементов HTML в + атрибутах.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5715">CVE-2015-5715</a> + + <p>Была обнаружена уязвимость, позволяющая пользователям без соответствующих + прав доступа публиковать закрытые сообщения и прикреплять их.</p> + + <p>Проблема была исправлена в коде XMLRPC Wordpress путём запрета + прикрепления закрытых сообщений.</p></li> + +<li>Другие проблемы + + <p>Был обнаружен межсайтовый скриптинг в таблицах списков + пользователей.</p> + + <p>Проблема была исправлена путём экранирования URL адресов электронной почты в + списках пользователей.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-321.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-322.wml b/russian/lts/security/2015/dla-322.wml new file mode 100644 index 00000000000..98e34678d5b --- /dev/null +++ b/russian/lts/security/2015/dla-322.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Травин Битти [1] <a href="https://bugzilla.redhat.com/show_bug.cgi?id=1259892">обнаружил</a> проблему, при которой можно наблюдать +за зависшими потоками в многопоточных приложениях на Java. После отладки этой проблемы стало +очевидно, что зависание потоков вызвано кодом инициализации SSL +в commons-httpclient.</p> + +<p>Данное обновление исправляет указанную проблему путём учёта настроек SO_TIMEOUT +во время SSL-рукопожатий с сервером.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-322.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-323.wml b/russian/lts/security/2015/dla-323.wml new file mode 100644 index 00000000000..eeded76da93 --- /dev/null +++ b/russian/lts/security/2015/dla-323.wml @@ -0,0 +1,43 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В пакете fuseiso в Debian LTS (squeeze) недавно были исправлены +две проблемы.</p> + +<p>Проблема 1</p> + + <p>В способе, используемом FuseISO, модуле FUSE для монтирования + образов файловых систем ISO, было обнаружено переполнение целых + чисел, проводящее к переполнению буфера и возникающее при чтении + определённых блоков ZF определённых индексных дескрипторов. + Удалённый злоумышленник может передать специально сформированный файл ISO, который при + его монтировании через инструмент fuseiso приведёт к аварийной остановке двоичного файла fuseiso.</p> + + <p>Данная проблема была обнаружена Флорианом Ваймером из Red Hat Product + Security Team.</p> + + <p>Проблема была решена путём остановки до того момента, как блоки ZF, превышающие + поддерживаемый размер блока в 2^17, будут прочитаны.</p> + +<p>Проблема 2</p> + + <p>В способе, используемом FuseISO, модуле FUSE для монтирования + образов файловых систем ISO, было обнаружено переполнение буфера, + возникающее при раскрытии частей каталога для абсолютных путей имён + файлов. Удалённый злоумышленник может передать + специально сформированный файл ISO, который при его + монтировании через инструмент fuseiso приведёт к аварийной остановке двоичного файла fuseiso или + потенциальному выполнению произвольного кода с правами пользователя, + запустившего исполняемый файл fuseiso.</p> + + <p>Эта проблема была обнаружена Флорианом Ваймером из Red Hat Product + Security Team.</p> + + <p>Проблема была решена путём выполнения проверки окончательной длины + абсолютного пути и остановки в том случае, если значение PATH_MAX + данной платформы уже превышено.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-323.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-324.wml b/russian/lts/security/2015/dla-324.wml new file mode 100644 index 00000000000..219c2ef0c62 --- /dev/null +++ b/russian/lts/security/2015/dla-324.wml @@ -0,0 +1,46 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопаснсти LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет несколько проблем, описанных ниже.</p> + +<ul> + +<li>PR ld/12613 (идентификатор CVE не присвоен) + + <p>Ниранджан Хасабнис обнаружил, что передача некорректного сценария + компоновщика GNU ld, части binutils, может приводить к переполнению + буфера. Если компоновщик используется с недоверенными объектными файлами, то это + может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) + или повышение привилегий.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3509">CVE-2012-3509</a>, #688951 + + <p>Санг Кил Ча обнаружил, что вычисление размера буфера в + libiberty, части binutils, может приводить к переполнению целых чисел и + переполнению динамической памяти. Если libiberty или команды из + binutils используются для чтения недоверенных двоичных файлов, то это может позволить + удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) или + потенциальное повышение привилегий.</p></li> + +<li>>PR binutils/18750 (идентификатор CVE не присвоен) + + <p>Джошуа Роджерс сообщил, что передача некорректного файла ihex (шестнадцатеричный + формат Intel) различным командам из binutils может приводить к + переполнению буфера. Схожая проблема была обнаружена в readelf. + Если эти команды используются для чтения недоверенных двоичных файлов, то это может + позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) или + потенциальное повышение привилегий.</p></li> + +</ul> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были +исправлены в версии 2.20.1-16+deb6u2.</p> + +<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках +PR ld/12613 и <a href="https://security-tracker.debian.org/tracker/CVE-2012-3509">CVE-2012-3509</a> были исправлены до момента выпуска, а +PR binutils/18750 будет исправлена позже.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-324.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-325.wml b/russian/lts/security/2015/dla-325.wml new file mode 100644 index 00000000000..5d6cd085530 --- /dev/null +++ b/russian/lts/security/2015/dla-325.wml @@ -0,0 +1,52 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет описанные ниже CVE.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2925">CVE-2015-2925</a> + + <p>Янн Хорн обнаружил, что если подкаталог файловой системы смонтирован с опцией bind в + окружение chroot или пространство имён монтирования, то пользователь, который должен быть + ограничен этим окружением chroot или пространством имён, может получить доступ ко всей + файловой системе в том случае, если он имеет права на запись в родительский каталог + указанного подкаталога. Это не является общей настройкой для данной + версии ядра.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5257">CVE-2015-5257</a> + + <p>Моэин Гасемзаде из Istuary Innovation Labs сообщил, что USB-устройство + может вызвать отказ в обслуживании (аварийная остановка) путём имитации + последовательного USB-устройства Whiteheat, но представляет меньшее число + конечных точек.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7613">CVE-2015-7613</a> + + <p>Дмитрий Вьюков обнаружил, что IPC-объекты System V (очереди сообщений + и сегменты разделяемой памяти) становятся доступными до полной инициализации + их принадлежности и других атрибутов. Если локальный пользователь + может вступить в гонку с другим пользователем или службой, создавая новый + IPC-объект, то это может приводить к неавторизованному раскрытию информации, + неавторизованному изменению информации, отказу в обслуживании и/или + повышению привилегий.</p> + + <p>Сходная проблема имеет место с массивами семафоров System V, но она + менее серьёзна, так как эти массивы всегда очищаются до их полной + инициализации.</p></li> + +</ul> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были +исправлены в версии 2.6.32-48squeeze16.</p> + +<p>В предыдущем стабильном выпуске (wheezy) эти проблемы будут исправлены +в версии 3.2.68-1+deb7u5.</p> + +<p>В стабильном выпуске (jessie) эти проблемы будут исправлены +в версии 3.16.7-ckt11-1+deb8u5, либо уже были исправлены ранее.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-325.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-326.wml b/russian/lts/security/2015/dla-326.wml new file mode 100644 index 00000000000..2f58cddad9d --- /dev/null +++ b/russian/lts/security/2015/dla-326.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Адаптеры PDO из Zend Framework 1 не выполняют фильтрацию null-байтовых значений в +утверждениях SQL. Адаптер PDO может рассматривать null-байты в запросе как +символы ограничения строки, что позволяет злоумышленнику добавлять произвольный код SQL за +null-байтом, что приводит к SQL-инъекции.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в zendframework +версии 1.10.6-1squeeze6.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-326.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-327.wml b/russian/lts/security/2015/dla-327.wml new file mode 100644 index 00000000000..1723ac2d760 --- /dev/null +++ b/russian/lts/security/2015/dla-327.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p>Многочисленные отрицательные переполнения целых чисел в PluginPCX.cpp в FreeImage 3.17.0 и более +ранних версиях позволяют удалённым злоумышленникам вызывать отказ в обслуживании (повреждение +содержимого динамической памяти) с помощью векторов, связанных с высотой и шириной окна.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-327.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-329.wml b/russian/lts/security/2015/dla-329.wml new file mode 100644 index 00000000000..7177209dcb3 --- /dev/null +++ b/russian/lts/security/2015/dla-329.wml @@ -0,0 +1,29 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В PostgreSQL, серверной системе реляционных баз данных, было обнаружено +несколько ошибок. Поддержка ветки 8.4 в основной ветке разработки была прекращена, но она всё ещё имеется в Debian squeeze. +Данная новая минорная версия для LTS содержит исправления, которые применены авторами основной ветки разработки к +версии 9.0.22. Указанные исправления были адаптированы для версии 8.4.22, которая является последней версией, официально +выпущенной разработчиками PostgreSQL. Данная работа над долгосрочной поддержкой для squeeze-lts +является проектом сообщества и была поддержана credativ GmbH.</p> + +<h3>Переход на версию 8.4.22lts5</h3> + +<p>Тем, кто использует версию 8.4.X делать dump/restore не требуется. Тем не менее, если вы +выполняете обновление с версии ниже 8.4.22, то обратитесь к соответствующей информации о выпуске.</p> + +<h3>Исправления безопасности</h3> + +<p>Исправления contrib/pgcrypto с целью обнаружения и сообщения о слишком короткой соли для шифрования (Джош +Каперсмит)</p> + +<p>Определённые неправильные аргументы соли приводят к аварийной остановке сервера или раскрытию нескольких +байт серверной памяти. Возможность атак с целью выявления конфиденциальной информации в +раскрытых байтах не исключается, но подобные ситуации кажутся +маловероятными. (<a href="https://security-tracker.debian.org/tracker/CVE-2015-5288">CVE-2015-5288</a>)</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-329.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-330.wml b/russian/lts/security/2015/dla-330.wml new file mode 100644 index 00000000000..a2b0b95721e --- /dev/null +++ b/russian/lts/security/2015/dla-330.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Густаво Грико обнаружил с помощью fuzzer, что unzip уязвим к +переполнению динамической памяти и отказу в обслуживании при обработке специально сформированных +ZIP архивов, защищённых паролем.</p> + +<p>В the Debian 6 squeeze эти проблемы были исправлены в unzip +версии 6.0-4+deb6u3.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-330.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-331.wml b/russian/lts/security/2015/dla-331.wml new file mode 100644 index 00000000000..e3d6c12b528 --- /dev/null +++ b/russian/lts/security/2015/dla-331.wml @@ -0,0 +1,18 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В PolarSSl и mbed TLS была обнаружена уязвимость:</p> + +<p>Когда клиент создаёт своё сообщение ClientHello, то из-за недостаточной проверки +границ массива, оно может переполнить буфер динамической памяти, содержащий это сообщение, во время +записи некоторых расширений. В частности, удалённым злоумышленником для вызова переполнения могут +использоваться два расширения: расширение билета сессии и расширение +индикации имени сервера (SNI).</p> + +<p>Хотя большая часть уязвимого кода в Squeeze отсутствует, +данная загрузка по меньшей мере добавляет проверку длины входящих данных.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-331.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-332.wml b/russian/lts/security/2015/dla-332.wml new file mode 100644 index 00000000000..317c4c8b6cf --- /dev/null +++ b/russian/lts/security/2015/dla-332.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Густаво Грико обнаружил использование указателей после освобождения памяти, вызывающее неправильное +или двойное освобождение памяти в optipng 0.6.4.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в optipng версии +0.6.4-1+deb6u11.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-332.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-333.wml b/russian/lts/security/2015/dla-333.wml new file mode 100644 index 00000000000..f4934a4509d --- /dev/null +++ b/russian/lts/security/2015/dla-333.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>CakePHP, инфраструктура веб-приложений для PHP с открытым исходным кодом, +уязвима к атакам по принципу SSRF (подделка запросов на стороне +сервера). Удалённый злоумышленник может использовать эту уязвимость для +вызова отказа в обслуживании в том случае, если целевое приложение принимает +в качестве входных данных XML. Проблема вызвана небезопасной реализацией класса Xml в Cake.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в cakephp версии +1.3.2-1.1+deb6u11.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-333.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-334.wml b/russian/lts/security/2015/dla-334.wml new file mode 100644 index 00000000000..b1848581645 --- /dev/null +++ b/russian/lts/security/2015/dla-334.wml @@ -0,0 +1,11 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p>Специально сформированный документ xml приводит к доступу за пределами выделенного буфера памяти. Переполнение динамической памяти +в xmlParseConditionalSections.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-334.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-335.wml b/russian/lts/security/2015/dla-335.wml new file mode 100644 index 00000000000..7a684309fe7 --- /dev/null +++ b/russian/lts/security/2015/dla-335.wml @@ -0,0 +1,154 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В ntp было обнаружено несколько проблем безопасности:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5146">CVE-2015-5146</a> + + <p>Была обнаружена уязвимость в способе, используемом ntpd для обработки определённых + пакетов удалённой настройки. Злоумышленник может использовать специально сформированный + пакет для вызова аварийной остановки ntpd в случае, если выполнены следующие условия:</p> + <ul> + <li>в ntpd включена удалённая настройка,</li> + <li>злоумышленник знает пароль для настройки,</li> + <li>злоумышленник имеет доступ к компьютеру, входящему в список доверенных компьютеров, с которых + можно выполнять удалённую настройку.</li> + </ul> + + <p>Заметьте, что удалённая настройка по умолчанию отключена в NTP.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5194">CVE-2015-5194</a> + + <p>Было обнаружено, что ntpd аварийно завершает свою работу из-за неинициализированной переменной + при обработке некорректных команд настройки logconfig.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5195">CVE-2015-5195</a> + + <p>Было обнаружено, что ntpd завершается с ошибкой сегментирования в том случае, + если тип статистики, который не был включен в ходе компиляции (например, + timingstats) указывается к команде настройки statistics или + filegen</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5219">CVE-2015-5219</a> + + <p>Было обнаружено, что программа sntp входит в бесконечный цикл при + получении специально сформированного пакета NTP. Эта проблема связана с преобразованием + точного значения в пакете в вещественное число двойной точности.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5300">CVE-2015-5300</a> + + <p>Было обнаружено, что в ntpd неправильно реализована опция -g:</p> + + <p>Обычно ntpd завершается с сообщением в системный журнал в том случае, если + разница по времени превышает пороговое значение <q>паники</q>, которое по умолчанию равна 1000 секунд. Эта + опция позволяет устанавливать время в любое значение без ограничений. + Тем не менее, это происходит только один раз. Если порог будет превышен + после этого, то ntpd завершится с сообщением в системный журнал. Эта + опция может использоваться с опциями -q и -x.</p> + + <p>Фактически, служба ntpd должена изменять время несколько раз на более, чем + пороговое значение <q> паники</q> в том случае, если порядок обслуживания часов не имеет достаточного + количества времени для достижения состояния синхронизации и остаётся + в таком состоянии по меньшей мере одно обновление. Если + злоумышленник может управлять трафиком NTP с момента запуска ntpd + (или вплоть до 15-30 минут после), то он может + не дать клиенту достичь состояния синхронизации и заставить его перевести + часы на любое количество времени любое количество раз, что может использоваться + злоумышленниками для искусственного окончания действия сертификатов и т. д.</p> + + <p>Это поведение не соответствует тому, что написано в документации. Обычно + допущение заключается в том, что MITM-злоумышленник может перевести часы на большее количество + времени за предел <q> паники</q> только один раз в момент запуска ntpd, и для того, чтобы изменить + время на какое-либо большое значение, злоумышленнику следует разделить это действие на несколько небольших + шагов, каждый из которых занимает 15 минут, что довольно медленно.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7691">CVE-2015-7691</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-7692">CVE-2015-7692</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-7702">CVE-2015-7702</a> + + <p>Было обнаружено, что исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2014-9750">CVE-2014-9750</a> неполно: были + обнаружены проблемы в проверке длины значения в ntp_crypto.c, где + пакет с определёнными автоключевыми операциями, содержащими некорректные + данные, не всегда проверялся полностью. Получение этих + пакетов приводит к аварийной остановке ntpd.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7701">CVE-2015-7701</a> + + <p>В CRYPTO_ASSOC в ntpd была обнаружена утечка памяти. Если ntpd + настроен на использование автоключевой аутентификации, то злоумышленник может отправлять + пакеты ntpd, которые в результате продолжительной многодневной атаки + приведут к исчерпанию памяти.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7703">CVE-2015-7703</a> + + <p>Мирослав Личвар из Red Hat обнаружил, что команда :config может + использоваться для установки путей к pid-файлу и drift-файлу без + каких-либо ограничений. Удалённый злоумышленник может использовать эту уязвимость для перезаписи + файла в файловой системе файлом, содержащим pid процесса ntpd + или текущее оцениваемое смещение системных + часов (в часовых интервалах). Например:</p> +<pre> + ntpq -c ':config pidfile /tmp/ntp.pid' + ntpq -c ':config driftfile /tmp/ntp.drift' +</pre> + <p>В Debian ntpd настроен так, чтобы сбрасывать привилегии суперпользователя, что ограничивает + влияние этой проблемы.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7704">CVE-2015-7704</a> + + <p>Когда ntpd в качестве NTP-клиента получает KoD-пакет (поцелуй смерти) + от сервера для снижения частоты опроса, он не выполняет проверку того, совпадает + ли инициированная временная отметка в ответе с временной отметкой передачи из + запроса. Злоумышленник может отправить специально сформированный KoD-пакет + клиенту, который увеличит интервал опроса клиента + до большого значения и приведёт к отключению синхронизации с сервером.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7850">CVE-2015-7850</a> + + <p>В удалённой настройке NTP имеется отказ в обслуживании, который + может использоваться злоумышленниками. Специально + сформированный файл настройки может вызвать бесконечный цикл, + приводящий к отказу в обслуживании. Злоумышленник может передать + некорректный файл настройки с целью вызова указанной уязвимости.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7851">CVE-2015-7851</a> + + <p>В коде сохранения файла настройки ntpd на VMS имеется потенциальная + возможность подмены пути. Специально сформированный путь может приводить к обходу + пути, что потенциально приводит к перезаписи файлов. Злоумышленник + может передать некорректный путь с целью вызова указанной + уязвимости.</p> + + <p>Данная уязвимость не касается Debian.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7852">CVE-2015-7852</a> + + <p>В cookedprint в ntpq имеется потенциальная ошибка на + единицу. Специально сформированный буфер может вызвать + переполнение буфера, потенциально приводящее к записи null-байта за + пределами выделенного буфера памяти.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7855">CVE-2015-7855</a> + + <p>Было обнаружено, что функция decodenetnum() в NTP прерывает работу с + ошибкой утверждения в ходе обработки пакета режима 6 или режима 7, содержащего + необычно длинное значение данных в месте, где ожидается сетевой адрес. Это + может позволить аутентифицированному злоумышленнику аварийно завершить ntpd.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7871">CVE-2015-7871</a> + + <p>В ntpd имеется ошибка в логике обработки ошибок, которая проявляется из-за + некорректной обработки состояния ошибки, связанного с определёнными + crypto-NAK пакетами. Неаутентифицированный злоумышленник может заставить + процесс ntpd на целевых серверах обратиться к источникам времени, + выбранным злоумышленникам, путём передачи ntpd симметричных активных crypto-NAK + пакетов. Данная атака позволяет обойти аутентификацию, которая обычно + требуется для установления соединения, что позволяет злоумышленнику + произвольно менять системное время.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-335.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-336.wml b/russian/lts/security/2015/dla-336.wml new file mode 100644 index 00000000000..e3f746b3fb6 --- /dev/null +++ b/russian/lts/security/2015/dla-336.wml @@ -0,0 +1,30 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В phpMyAdmin, веб-инструменте для администрирования MySQL, было обнаружено +несколько уязвимостей.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8958">CVE-2014-8958</a> + + <p>Многочисленный уязвимости, приводящие к межсайтовому скриптингу (XSS).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9218">CVE-2014-9218</a> + + <p>Отказ в обслуживании (чрезмерное потребление ресурсов) с помощью длинного пароля.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2206">CVE-2015-2206</a> + + <p>Риск атаки по принципу BREACH из-за отражённого параметра.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3902">CVE-2015-3902</a> + + <p>Уязвимость XSRF/CSRF в настройке phpMyAdmin.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-336.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-337.wml b/russian/lts/security/2015/dla-337.wml new file mode 100644 index 00000000000..b1db7ecf198 --- /dev/null +++ b/russian/lts/security/2015/dla-337.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>busybox, набор небольших утилит для встраиваемых систем, содержит +уязвимость, приводящую к аварийной остановке при обработке специально сформированного файла zip. +Эта проблема была обнаружена Густаво Грико.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в busybox версии +1.17.1-8+deb6u11.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-337.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-338.wml b/russian/lts/security/2015/dla-338.wml new file mode 100644 index 00000000000..6acd317acd7 --- /dev/null +++ b/russian/lts/security/2015/dla-338.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>xscreensaver, служба хранителя экрана и интерфейс для X11, аварийно +завершает свою работу при горячем подключении мониторов.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в xscreensaver версии +5.11-1+deb6u11.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-338.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-339.wml b/russian/lts/security/2015/dla-339.wml new file mode 100644 index 00000000000..48ad1b7abae --- /dev/null +++ b/russian/lts/security/2015/dla-339.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Функция HTML::Scrubber уязвима к межсайтовому скриптингу (XSS), +если включены комментарии. Это позволяет удалённым злоумышленникам вводить +произвольный веб-сценарий или код HTML при помощи специально сформированного комментария.</p> + +<p>В Debian 6 squeeze эта проблема была исправлена в libhtml-scrubber-perl версии +0.08-4+deb6u1.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-339.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-340.wml b/russian/lts/security/2015/dla-340.wml new file mode 100644 index 00000000000..0def152b40c --- /dev/null +++ b/russian/lts/security/2015/dla-340.wml @@ -0,0 +1,34 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В krb5, реализации Kerberos от MIT, было обнаружено несколько +уязвимостей. Проект Common Vulnerabilities and Exposures определяет +следующие проблемы:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2695">CVE-2015-2695</a> + + <p>Было обнаружено, что приложения, вызывающие gss_inquire_context() на + частично установленном контексте SPNEGO, могут приводить к тому, что библиотека GSS-API + может выполнить чтение из указателя, используя неправильный тип, что приводит + к аварийной остановке процесса.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2697">CVE-2015-2697</a> + + <p>Было обнаружено, что функция build_principal_va() неправильно + обрабатывает входные строки. Аутентифицированный злоумышленник может использовать + эту уязвимость для вызова аварийной остановки KDC, используя запрос TGS с + большим полем realm, начинающимся с null-байта.</p></li> + +</ul> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были +исправлены в версии 1.8.3+dfsg-4squeeze10.</p> + +<p>Рекомендуется обновить пакеты krb5.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-340.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-341.wml b/russian/lts/security/2015/dla-341.wml new file mode 100644 index 00000000000..0ce48e3075c --- /dev/null +++ b/russian/lts/security/2015/dla-341.wml @@ -0,0 +1,61 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<ul> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6831">CVE-2015-6831</a> + <p>В функции unserialize() было обнаружено использование указателей после освобождения памяти. + Можно создать ZVAL и освободить её через Serializable::unserialize. + Тем не менее, unserialize() всё ещё будет позволять использовать R: или r: для того, чтобы + установить указатели на эту уже освобождённую память. Можно провести атаку по использованию + указателей после освобождения памяти и удалённо выполнить произвольный код.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6832">CVE-2015-6832</a> + <p>Ссылка на несуществующий объект в десериализации записей ArrayObject.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6833">CVE-2015-6833</a> + <p>Извлечённые из архива файлы могут быть помещены за пределы целевого + каталога.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6834">CVE-2015-6834</a> + <p>В функции unserialize() было обнаружено использование указателей после освобождения памяти. + Можно создать ZVAL и освободить её через Serializable::unserialize. + Тем не менее, unserialize() всё ещё будет позволять использовать R: или r: для того, чтобы + установить указатели на эту уже освобождённую память. Можно провести атаку по использованию + указателей после освобождения памяти и удалённо выполнить произвольный код.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6836">CVE-2015-6836</a> + <p>В SOAP serialize_function_call возникает ошибка типа из-за + недостаточной проверки поля заголовков. + В методе __call из SoapClient проверка verify_soap_headers_array + применяется только к заголовкам, полученным из + zend_parse_parameters; проблема состоит в том, что через несколько строк + значение soap_headers может быть обновлено или заменено значениями из + объектного поля __default_headers.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6837">CVE-2015-6837</a> + <p>В классе XSLTProcessor отсутствуют проверки входных данных из + библиотеки libxslt. Вызов функции valuePop() может возвратить + NULL-указатель, а PHP не выполняет его проверку.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6838">CVE-2015-6838</a> + <p>В классе XSLTProcessor отсутствуют проверки входных данных из + библиотеки libxslt. Вызов функции valuePop() может возвратить + NULL-указатель, а PHP не выполняет его проверку.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7803">CVE-2015-7803</a> + <p>В способе, используемом в расширении Phar для PHP для грамматического + разбора архивов Phar, было обнаружено разыменование NULL-указателя. Специально сформированный + архив может привести к аварийной остановке PHP.</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7804">CVE-2015-7804</a> + <p>В фунции phar_make_dirstream() из расширения Phar для PHP было + обнаружено использование неинициализированного указателя. + Специально сформированный файл phar в формате ZIP с каталогом, содержащим + файл с именем "/ZIP", может вызывать аварийную остановку приложения + PHP.</p></li> +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-341.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-342.wml b/russian/lts/security/2015/dla-342.wml new file mode 100644 index 00000000000..374ee3269cb --- /dev/null +++ b/russian/lts/security/2015/dla-342.wml @@ -0,0 +1,45 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В распределённой файловой системе OpenAFS было обнаружено и исправлено +несколько уязвимостей:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3282">CVE-2015-3282</a> + + <p>Утечка данных стека из vos при обновлении записей vldb.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3283">CVE-2015-3283</a> + + <p>OpenAFS позволяет удалённым злоумышленникам подделывать команды bos с помощью + неопределённых векторов.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3285">CVE-2015-3285</a> + + <p>pioctl неправильно использует указатель, связанный с RPC, позволяя локальным пользователям + вызывать отказ в обслуживании (повреждение содержимого памяти и паника ядра) с помощью + специально сформированной команды OSD FS.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6587">CVE-2015-6587</a> + + <p>vlserver позволяет аутентифицированным пользователям вызывать отказ в обслуживании + (чтение за пределами выделенного буфера памяти и аварийная остановка) с помощью специально сформированного регулярного выражения в + RPC VL_ListAttributesN2.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7762">CVE-2015-7762</a> и <a href="https://security-tracker.debian.org/tracker/CVE-2015-7763">CVE-2015-7763</a> ("Tattletale") + + <p>Джон Стампо обнаружил, что Rx-пакеты ACK содержат в виде открытого текста ранее + обработанные пакеты.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в openafs версии +1.4.12.1+dfsg-4+squeeze4.</p> + +<p>Рекомендуется обновить пакеты OpenAFS.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-342.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-343.wml b/russian/lts/security/2015/dla-343.wml new file mode 100644 index 00000000000..61bc24d7f9b --- /dev/null +++ b/russian/lts/security/2015/dla-343.wml @@ -0,0 +1,22 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<ul> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7981">CVE-2015-7981</a> + <p>Добавлена проверка целостности в png_set_tIME() (сообщение об ошибке прислал Цисюэ Сяо).</p></li> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8126">CVE-2015-8126</a> + <p>Многочисленные переполнения буферов в функциях (1) png_set_PLTE и + (2) png_get_PLTE в libpng до версии 1.0.64, 1.1.x и 1.2.x + до версии 1.2.54, 1.3.x и 1.4.x до версии 1.4.17, 1.5.x до версии 1.5.24 + и 1.6.x до версии 1.6.19 позволяют удалённым злоумышленникам вызывать отказ + в обслуживании (аварийная остановка приложения) или оказывать какое-то другое влияние + на безопасность с помощью небольшого значения битовой глубины в IHDR-порции (известной как + заголовок изображения) в изображении в формате PNG.</p></li> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3425">CVE-2012-3425</a> + <p>Уязвимый код в версии в выпуске с долгосрочной поддержкой отсутствует</p></li> +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-343.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-344.wml b/russian/lts/security/2015/dla-344.wml new file mode 100644 index 00000000000..a7ae4b6e01c --- /dev/null +++ b/russian/lts/security/2015/dla-344.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Инженер по безопасности из Google Райан Сливи обнаружил уязвимость в NetScape +Portable Runtime Library (NSPR). NSPR выделяет память без каких-либо специальных проверок, +что позволяет удалённым злоумышленникам вызывать отказ в обслуживании или выполнять +произвольный код.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в nspr версии +4.8.6-1+squeeze3. Рекомендуется обновить пакеты nspr.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-344.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-345.wml b/russian/lts/security/2015/dla-345.wml new file mode 100644 index 00000000000..b7d10faabfb --- /dev/null +++ b/russian/lts/security/2015/dla-345.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Тобиас Бруннер обнаружил возможность обхода аутентификации в +strongSwan, наборе IKE/IPsec.</p> + +<p>Из-за недостаточной проверки локального состояния серверная реализация +протокола EAP-MSCHAPv2 в дополнении eap-mschapv2 +может успешно завершить аутентификацию без +предоставления данных действующей учётной записи.</p> + +<p>Подобные атаки можно распознать, просматривая журналы на сервере. +В момент аутентификации клиента можно видеть следующее +сообщение:</p> + + <p>EAP method EAP_MSCHAPV2 succeeded, no MSK established</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-345.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-346.wml b/russian/lts/security/2015/dla-346.wml new file mode 100644 index 00000000000..b8aca9ecf27 --- /dev/null +++ b/russian/lts/security/2015/dla-346.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В OpenJDK, реализации платформы Oracle Java, было обнаружено несколько +уязвимостей. Эти уязвимости связаны с выполнением +произвольного кода, выходами за пределы песочницы Java, раскрытием информации и +отказами в обслуживании.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в openjdk-6 +версии 6b37-1.13.9-1~deb6u1.</p> + +<p>Рекомендуется обновить пакеты openjdk-6.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-346.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-347.wml b/russian/lts/security/2015/dla-347.wml new file mode 100644 index 00000000000..f1048a22fcb --- /dev/null +++ b/russian/lts/security/2015/dla-347.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что эмулятор терминала в PuTTY неправильно +выполняет проверку параметра управляющей последовательности ECH (символы удаления), +что приводит к отказам в обслуживании и возможному удалённому выполнению кода.</p> + +<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была +исправлена в версии 0.60+2010-02-20-1+squeeze4.</p> + +<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках эта +проблема будет исправлена позже.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-347.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-348.wml b/russian/lts/security/2015/dla-348.wml new file mode 100644 index 00000000000..493148d2d6b --- /dev/null +++ b/russian/lts/security/2015/dla-348.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4168">CVE-2013-4168</a> + + <p>Была исправлена небольшая проблема с XSS в основной ветке разработки 2.6.9. Она была обнаружена Стивеном + Чэмберлэйном, перенос исправления выполнен командой безопасности LTS.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-348.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-349.wml b/russian/lts/security/2015/dla-349.wml new file mode 100644 index 00000000000..df455beb34b --- /dev/null +++ b/russian/lts/security/2015/dla-349.wml @@ -0,0 +1,24 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что в фильтре шаблона даты в Django, инфраструктуры веб-разработки, +имеется потенциальная утечка настроек.</p> + +<p>Если приложение позволяет пользователям определять непроверенный формат +для представления дат и передаёт этот формат фильтру дат, напр. +<tt>{{ last_updated|date:user_date_format }}</tt>, то злоумышленник +может получить любую закрытую информацию из настроек приложения путём определения +ключа настроек вместо формата даты. напр. <q>SECRET_KEY</q> вместо +"j/m/Y".</p> + +<p>Для исправления этой проблемы в настоящее время функция, используемая в фильтре шаблона +даты, django.utils.formats.get_format(), позволяет получать доступ +только к настройкам формата даты и времени.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в python-django +версии 1.2.3-3+squeeze15.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-349.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-350.wml b/russian/lts/security/2015/dla-350.wml new file mode 100644 index 00000000000..4bb85d3378c --- /dev/null +++ b/russian/lts/security/2015/dla-350.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Функция strxfrm() уязвима к отрицательному переполнению целых чисел при вычислении +размеров выделения памяти (схоже с <a href="https://security-tracker.debian.org/tracker/CVE-2012-4412">CVE-2012-4412</a>). Более того, так как +функция при ошибке malloc() возвращается к alloca(), она уязвима к +переполнениям буфера (схоже с <a href="https://security-tracker.debian.org/tracker/CVE-2012-4424">CVE-2012-4424</a>).</p> + +<p>Эти проблемы были исправлены в Debian 6 Squeeze в eglibc +2.11.3-4+deb6u8. Рекомендуется обновить libc6 и другие +пакеты, предоставляемые eglibc.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-350.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-351.wml b/russian/lts/security/2015/dla-351.wml new file mode 100644 index 00000000000..9d76a42e007 --- /dev/null +++ b/russian/lts/security/2015/dla-351.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что в Redmine, веб-инструменте для управления проектами и учёта +сообщений об ошибках, имеется уязвимость, приводящая к раскрытию информации.</p> + +<p>Форма журнала по времени может раскрывать темы сообщений об ошибках, которые +не открыты для просмотра. Заплату подготовил Холгер Йуст.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в redmine версии +1.0.1-2+deb6u11.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-351.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-352.wml b/russian/lts/security/2015/dla-352.wml new file mode 100644 index 00000000000..af58e62227a --- /dev/null +++ b/russian/lts/security/2015/dla-352.wml @@ -0,0 +1,23 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Набор общих блоков Apache содержит проблемы безопасности, что приводит +к тому, что приложения принимают сериализованные объекты из недоверенных источников. Удалённые +злоумышленники могут использовать эти проблемы для выполнения произвольных функций Java +и даже инъекции изменённого байт-кода.</p> + +<p>Данный выпуск libcommons-collection3-java предотвращает указанные проблемы путём отключения +десериализации классов функторов в том случае, если системное свойство +org.apache.commons.collections.enableUnsafeSerialization не установлено в значение <q>true</q>. +Небезопасными считаются следующие классы: CloneTransformer, ForClosure, +InstantiateFactory, InstantiateTransformer, InvokerTransformer, +PrototypeCloneFactory, PrototypeSerializationFactory и WhileClosure.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в +libcommons-collections3-java версии 3.2.1-4+deb6u1. Рекомендуется +обновить пакеты libcommons-collections3-java.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-352.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-353.wml b/russian/lts/security/2015/dla-353.wml new file mode 100644 index 00000000000..04b7ff82cdd --- /dev/null +++ b/russian/lts/security/2015/dla-353.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Передача ImageMagick специально сформированных иконок (.ico) или изображений в формате .pict +может приводить к переполнению динамической памяти, которое приводит к переполнению буфера и +ошибкам выделения памяти. В зависимости от конкретного случая это может приводить +к отказу в обслуживании или даже чему-то ещё более плохому.</p> + +<p>В Debian 6 Squeeze эти проблемы были исправлены в imagemagick +версии 8:6.6.0.4-3+squeeze7. Рекомендуется обновить пакеты.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-353.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-354.wml b/russian/lts/security/2015/dla-354.wml new file mode 100644 index 00000000000..016a084a52e --- /dev/null +++ b/russian/lts/security/2015/dla-354.wml @@ -0,0 +1,34 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В nss, библиотеке Mozilla Network Security Service, было обнаружено несколько +уязвимостей. Проект Common Vulnerabilities and Exposures определяет +следующие проблемы:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7181">CVE-2015-7181</a> + + <p>Функция sec_asn1d_parse_leaf неправильно ограничивает доступ к + неопределённым структурам данных, что позволяет удалённым злоумышленникам вызывать + отказ в обслуживании (аварийная остановка приложения) или потенциально выполнять произвольный + код с помощью специально сформированных данных OCTET STRING, что связано с проблемой + <q>использование после отравления</q>.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7182">CVE-2015-7182</a> + + <p>Переполнение динамической памяти в декодере ASN.1 позволяет удалённым + злоумышленникам вызывать отказ в обслуживании (аварийная остановка приложения) или + потенциально выполнять произвольный код с помощью специально сформированных данных OCTET STRING.</p></li> + +</ul> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены +в версии 3.12.8-1+squeeze13.</p> + +<p>Рекомендуется обновить пакеты nss.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-354.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-355.wml b/russian/lts/security/2015/dla-355.wml new file mode 100644 index 00000000000..6fdff4fae54 --- /dev/null +++ b/russian/lts/security/2015/dla-355.wml @@ -0,0 +1,31 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8241">CVE-2015-8241</a> + + <p>Чтение за пределами выделенного буфера памяти в коде грамматического разбора XML в xmlNextChar</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8317">CVE-2015-8317</a> + + <ul> + <li>Проблемы в функции xmlParseXMLDecl: + Если мы не можем преобразовать текущий входной поток во + время обработки кодирующей декларации XMLDecl, + то безопаснее просто прервать работу и более не пытаться + сообщать о других ошибках..</li> + <li>Если строка завершается неправильно, не пытаться преобразовать + её в данную кодировку. + </ul></li> + +</ul> + +<p>Дополнительное исправление ошибки на единицу в предыдущей заплате для <a href="https://security-tracker.debian.org/tracker/CVE-2015-7942">CVE-2015-7942</a> +(благодарим Сальваторе за обнаружение этой проблемы)</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-355.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-356.wml b/russian/lts/security/2015/dla-356.wml new file mode 100644 index 00000000000..b8ee7aeeba6 --- /dev/null +++ b/russian/lts/security/2015/dla-356.wml @@ -0,0 +1,30 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9496">CVE-2014-9496</a> + + <p>Функция sd2_parse_rsrc_fork в sd2.c в libsndfile позволяет + злоумышленникам оказывать неопределённое влияние на безопасность через векторы, связанные с (1) отображением + смещения или (2) rsrc-маркером, которые вызывают чтение за пределами выделенного буфера памяти.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9756">CVE-2014-9756</a> + + <p>Функция psf_fwrite function в file_io.c в libsndfile позволяет злоумышленникам + вызывать отказ в обслуживании (ошибка при делении на ноль и аварийная остановка приложения) + через неопределённые векторы, связанные с переменной headindex.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7805">CVE-2015-7805</a> + + <p>Переполнение динамической памяти в libsndfile версии 1.0.25 позволяет удалённым + злоумышленникам оказывать неопределённое влияние на безопасность через переменную headindex в + заголовке файла в формате AIFF.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-356.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-357.wml b/russian/lts/security/2015/dla-357.wml new file mode 100644 index 00000000000..1fc27ce48b5 --- /dev/null +++ b/russian/lts/security/2015/dla-357.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что отсутствие очистки входных данных в Snoopy, PHP-классе, +симулирующем веб-браузер, может приводить к выполнению произвольных +команд.</p> + +<p>В предыдущем старом стабильном выпуске (squeeze-lts) эта проблема была исправлена +в версии 2.0.0-1~deb6u1.</p> + +<p>Рекомендуется обновить пакеты libphp-snoopy.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-357.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-358.wml b/russian/lts/security/2015/dla-358.wml new file mode 100644 index 00000000000..8a73078174e --- /dev/null +++ b/russian/lts/security/2015/dla-358.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>При обращении к специально сформированной структуре X509_ATTRIBUTE в OpenSSL происходит +утечка памяти. Эта структура используется функциями PKCS#7 и CMS, поэтому данной уязвимости +подвержено любое приложение, считывающее данные PKCS#7 или CMS из недоверенных источников. +Протоколы SSL/TLS не подвержены этой проблеме.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-358.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-360.wml b/russian/lts/security/2015/dla-360.wml new file mode 100644 index 00000000000..cd613eff4af --- /dev/null +++ b/russian/lts/security/2015/dla-360.wml @@ -0,0 +1,54 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В данном обновлении исправлены описанные ниже CVE.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7446">CVE-2013-7446</a> + + <p>Дмитрий Вьюков обнаружил, что определённая последовательность корректных + операций над локальными (AF_UNIX) сокетами может привести к + использованию указателей после освобождения памяти. Это может использоваться для вызова отказа в обслуживании + (аварийная остановка) или возможного повышения привилегий.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7799">CVE-2015-7799</a> + + <p>郭永刚 обнаружил, что пользователь, имеющий доступ к /dev/ppp, может вызвать + отказ в обслуживании (аварийная остановка) путём передачи некорректных параметров + PPPIOCSMAXCID ioctl. Кроме того, это касается нод устройств ISDN PPP.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7833">CVE-2015-7833</a> + + <p>Сергей Шумило, Хендрик Швартке и Ральф Шпенненберг обнаружили + уязвимость в коде для обработки определённых дескрипторов USB-устройств в + драйвере usbvision. Злоумышленник, имеющий физический доступ к системе, может + использовать эту уязвимость для аварийной остановки системы.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7990">CVE-2015-7990</a> + + <p>Было обнаружно, что исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2015-6937">CVE-2015-6937</a> неполно. + Состояние гонки при отправке сообщения на непривязанный сокет может + вызывать разыменование NULL-указателя. Удалённый злоумышленник может вызвать + отказ в обслуживании (аварийная остановка) путём отправки специально сформированного пакета.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8324">CVE-2015-8324</a> + + <p><q>Valintinr</q> сообщил, что попытка смонтировать повреждённую файловую систему + ext4 может приводить к панике ядра. Пользователь, обладающий правами на + монтирование файловыми системами, может использовать эту уязвимость для аварийной остановки системы.</p></li> + +</ul> + +<p>В старом предыдущем стабильном выпуске (squeeze) эти проблемы были +исправлены в версии 2.6.32-48squeeze17. Рекомендуется обновить пакеты +linux-2.6.</p> + +<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках +<a href="https://security-tracker.debian.org/tracker/CVE-2015-7833">CVE-2015-7833</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-7990">CVE-2015-7990</a> и <a href="https://security-tracker.debian.org/tracker/CVE-2015-8324">CVE-2015-8324</a> уже были исправлены, а остальные +проблемы будут исправлены позже.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-360.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-361.wml b/russian/lts/security/2015/dla-361.wml new file mode 100644 index 00000000000..72dd6c8e5a2 --- /dev/null +++ b/russian/lts/security/2015/dla-361.wml @@ -0,0 +1,18 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Библиотека Bouncy Castle Java до версии 1.51 не выполняет проверку того, что точка +находится в пределах эллиптической кривой, что облегчает удалённым злоумышленникам +получение закрытых ключей с помощью серии специально сформированных обменов ключей по протоколу Диффи-Хеллмана +с применением эллиптических кривых (ECDH), что также известно как <q>атака через неправильную кривую</q>.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в версии +1.44+dfsg-2+deb6u1 пакета bouncycastle.</p> + +<p>Выражаем благодарность автору основной ветки разработки Петеру Деттману, который проверил +подготовленный нами перенос исправления.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-361.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-362.wml b/russian/lts/security/2015/dla-362.wml new file mode 100644 index 00000000000..6a75bed8eb3 --- /dev/null +++ b/russian/lts/security/2015/dla-362.wml @@ -0,0 +1,29 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Гуидо Вракен обнаружил несколько уязвимостей, связанных с работой с памятью, +во время нечёткого тестирования путём отправки DHCP-сообщений серверу dhcpcd.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии +1:3.2.3-5+squeeze2.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6698">CVE-2012-6698</a> + + <p>Запись за пределами выделенного буфера памяти с помощью специально сформированных сообщений DHCP.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6699">CVE-2012-6699</a> + + <p>Чтение за пределами выделенного буфера памяти с помощью специально сформированных сообщений DHCP.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6700">CVE-2012-6700</a> + + <p>Использование указателей после освобождения памяти с помощью специально сформированных сообщений DHCP.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-362.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-363.wml b/russian/lts/security/2015/dla-363.wml new file mode 100644 index 00000000000..0dbfb3ca35a --- /dev/null +++ b/russian/lts/security/2015/dla-363.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что в libphp-phpmailer, библиотеке передачи электронной почты для PHP, +имеется уязвимость, приводящая к инъекции заголовков.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в libphp-phpmailer +версии 5.1-1+deb6u11.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-363.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-364.wml b/russian/lts/security/2015/dla-364.wml new file mode 100644 index 00000000000..ebcd46c4896 --- /dev/null +++ b/russian/lts/security/2015/dla-364.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Ханно Бёк обнаружил, что GnuTLS, библиотека, реализующая протоколы TLS +и SSL, неправильно выполняет проверку первого байта заполнителя в режимах CBC. Удалённый +злоумышленник может использовать эту проблему для выполнения атаки по предсказанию +заполнителя.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в gnutls26 версии +2.8.6-1+squeeze6. Рекомендуется обновить пакеты gnutls26.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-364.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-365.wml b/russian/lts/security/2015/dla-365.wml new file mode 100644 index 00000000000..09addbe8f31 --- /dev/null +++ b/russian/lts/security/2015/dla-365.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что в foomatic-filters, которые используются системой +буферизации для принтеров для преобразования входящих данных в формате +PostScript в родной формат принтера, имеется возможность инъекции.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в foomatic-filters +версии 4.0.5-6+squeeze2+deb6u11</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-365.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-366.wml b/russian/lts/security/2015/dla-366.wml new file mode 100644 index 00000000000..2bf32bcce3a --- /dev/null +++ b/russian/lts/security/2015/dla-366.wml @@ -0,0 +1,18 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Сообщается, что arts использует небезопасную функцию mktemp() +для создания временного каталога, использующегося для размещения пользовательских сокетов. +Другой пользователь может похитить этот временный каталог +и получить доступ к IPC, которого он не должен иметь.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в arts +1.5.9-3+deb6u1 путём использования более безопасной функции mkdtemp(). +Рекомендуется обновить пакеты arts.</p> + +<p>Другие выпуски Debian не содержат пакет arts.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-366.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-367.wml b/russian/lts/security/2015/dla-367.wml new file mode 100644 index 00000000000..51c96fe7541 --- /dev/null +++ b/russian/lts/security/2015/dla-367.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Сообщается, что kdelibs использует небезопасную функцию mktemp() +для создания временного каталога, используемого для размещения пользовательских сокетов. +Это позволяет другому пользователю похитить указанный временный каталог +и получить доступ к сокету, к которому этот пользователь доступа не имеет.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в kdelibs +версии 3.5.10.dfsg.1-5+deb6u1 путём использования более безопасной функции mkdtemp(). +Рекомендуется обновить пакеты kdelibs.</p> + +<p>Другие выпуски Debian содержат более новые версии библиотек (kdelibs4), которые +не подвержены данной проблеме.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-367.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-368.wml b/russian/lts/security/2015/dla-368.wml new file mode 100644 index 00000000000..e6349a994cb --- /dev/null +++ b/russian/lts/security/2015/dla-368.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Гектор Марко-Гисберт из команды кибербезопасности Политехнического университета +Валенсии сообщил о переполнении буфера в grub2, которое возникает при проверке пароля +во время загрузки системы.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в grub2 версии +1.98+20100804-14+squeeze2. Рекомендуется обновить пакеты +grub2.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-368.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-369.wml b/russian/lts/security/2015/dla-369.wml new file mode 100644 index 00000000000..33bdf1000cf --- /dev/null +++ b/russian/lts/security/2015/dla-369.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что в pygments, пакете для подсветки синтаксиса, написанном на языке Python, +имеется уязвимость, приводящая к инъекции команд командной оболочки.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в pygments +версии 1.3.1+dfsg-1+deb6u11.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-369.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-370.wml b/russian/lts/security/2015/dla-370.wml new file mode 100644 index 00000000000..14c4c00d210 --- /dev/null +++ b/russian/lts/security/2015/dla-370.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что DNS-сервер BIND неправильно выполняет грамматический +разбор входящих сообщений, из-за чего BIND принимает некоторых записи с +некорректным классом вместо того, чтобы отклонить из как неправильные. +Это может приводить к ошибке утверждения REQUIRE в том случае, если такие записи +последовательно кешируются. Удалённый злоумышленник может использовать эту уязвимость для +вызова отказа в обслуживании на серверах, выполняющих рекурсивные запросы.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-370.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-371.wml b/russian/lts/security/2015/dla-371.wml new file mode 100644 index 00000000000..4191f44252f --- /dev/null +++ b/russian/lts/security/2015/dla-371.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Адам Честер обнаружил, что в фильтрах foomatic-filters, которые используются в системах буферизации +печати для преобразования данных в формате PostScript в родной формат принтера, имеется +уязвимость, позволяющая выполнять инъекции. Эта уязвимость +может приводить к выполнению произвольных команд.</p> + +<p>Заплата, применённая в <a href="./dla-365">DLA 365-1</a>, предотвращает использование (неэкранированных) +обратных галочек, а данное обновление дополняет предыдущее обновление, делая то же самое для +точек с запятой.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в foomatic-filters +версии 4.0.5-6+squeeze2+deb6u12.</p> + +<p>(Выражаем благодарность Янну Супейранду, подготовившему обновлённый пакет для Debian)</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-371.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-372.wml b/russian/lts/security/2015/dla-372.wml new file mode 100644 index 00000000000..08ddf814d04 --- /dev/null +++ b/russian/lts/security/2015/dla-372.wml @@ -0,0 +1,18 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Oracle прекратил поддержку версии 3.2 VirtualBox в прошлом июне. Кроме того, +они не раскрывают информацию об уязвимостях, обнаруженных +и исправленных в более свежих версиях, поэтому мы не можем +проверить, касается какая-то данная уязвимость версии 3.2 или нет, а также при +необходимости перенести исправление.</p> + +<p>Таким образом, мы более не поддерживаем virtualbox-ose в Debian 6 Squeeze. +Если вы используете этот пакет, то вам следует либо использовать обратные переносы более новых +версий (версия 4.1.42 доступна в squeeze-backports), либо +выполнить обновление до Debian 7 Wheezy (или более нового выпуска).</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-372.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-373.wml b/russian/lts/security/2015/dla-373.wml new file mode 100644 index 00000000000..fb284746d92 --- /dev/null +++ b/russian/lts/security/2015/dla-373.wml @@ -0,0 +1,24 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В libxml2, библиотеке, предоставляющей поддержку чтения, изменения и записи +файлов XML и HTML, было обнаружено несколько уязвимостей. Удалённый злоумышленник +может передать специально сформированный файл XML или HTML, который при его обработке +приложением, использующим libxml2, приведёт к использованию чрезмерного количества ресурсов ЦП, +утечке чувствительной информации или аварийной остановке +приложения.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5312">CVE-2015-5312</a>: <p>Чрезмерное потребление ресурсов ЦП при обработке специально сформированных входных данных XML.</p></li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7497">CVE-2015-7497</a>: <p>Переполнение динамической памяти в xmlDictComputeFastQKey.</p></li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7498">CVE-2015-7498</a>: <p>Переполнение динамической памяти в xmlParseXmlDecl.</p></li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7499">CVE-2015-7499</a>: <p>Переполнение динамической памяти в xmlGROW.</p></li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7500">CVE-2015-7500</a>: <p>Переполнение динамической памяти в xmlParseMisc.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-373.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-374.wml b/russian/lts/security/2015/dla-374.wml new file mode 100644 index 00000000000..3c0026dee2b --- /dev/null +++ b/russian/lts/security/2015/dla-374.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что в cacti, веб-интерфейсе для мониторинга систем и составления графиков, +имеется уязвимость, приводящая к SQL-инъекциям.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в cacti версии +0.8.7g-1+squeeze9+deb6u11.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-374.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-375.wml b/russian/lts/security/2015/dla-375.wml new file mode 100644 index 00000000000..12751f41284 --- /dev/null +++ b/russian/lts/security/2015/dla-375.wml @@ -0,0 +1,28 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8472">CVE-2015-8472</a> + + <p>Обновление неполной заплаты для <a href="https://security-tracker.debian.org/tracker/CVE-2015-8126">CVE-2015-8126</a></p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8540">CVE-2015-8540</a> + + <p>Чтение за нижней границей в функции png_check_keyword в pngwutil.c</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3425">CVE-2012-3425</a> + + <p>Функция png_push_read_zTXt в pngpread.c в libpng 1.0.x + до версии 1.0.58, 1.2.x до версии 1.2.48, 1.4.x до версии 1.4.10 и + 1.5.x до версии 1.5.10 позволяет удалённым злоумышленникам вызывать отказ + в обслуживании (чтение за пределами выделенной области памяти) через большое значение поля + avail_in в изображении в формате PNG.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-375.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-376.wml b/russian/lts/security/2015/dla-376.wml new file mode 100644 index 00000000000..fcef5ac4b36 --- /dev/null +++ b/russian/lts/security/2015/dla-376.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Код для грамматического разбора строк при преобразовании строк в вещественные числа двойной точности +из Mono может завершить работу при обработке специально сформированных входных данных. Теоретически это +может приводить к выполнению произвольного кода.</p> + +<p>Эта проблема была исправлена в Debian 6 Squeeze в версии +2.6.7-5.1+deb6u2 пакета mono. Рекомендуется обновить +пакеты mono.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-376.data" +# $Id$ diff --git a/russian/lts/security/2015/dla-91.wml b/russian/lts/security/2015/dla-91.wml new file mode 100644 index 00000000000..dcb97d3f4bd --- /dev/null +++ b/russian/lts/security/2015/dla-91.wml @@ -0,0 +1,10 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Это обновление исправляет <q>NoSuchElementException</q>, когда XML-атрибут +в качестве значения имеет пустую строку.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2015/dla-91.data" +# $Id$ diff --git a/russian/lts/security/2015/index.wml b/russian/lts/security/2015/index.wml new file mode 100644 index 00000000000..0aba78e9221 --- /dev/null +++ b/russian/lts/security/2015/index.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag pagetitle>LTS Security Advisories from 2015</define-tag> +#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" +#use wml::debian::recent_list_security + +<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2015' ) :> + +<p>Вы можете получать последние анонсы о безопасности Debian, подписавшись на список рассылки +<a href="https://lists.debian.org/debian-lts-announce/">\ +<strong>debian-lts-announce</strong></a>. +Архив списка рассылки доступен <a href="https://lists.debian.org/debian-lts-announce/">\ +здесь</a>.</p> diff --git a/russian/lts/security/2016/Makefile b/russian/lts/security/2016/Makefile new file mode 100644 index 00000000000..10484184c17 --- /dev/null +++ b/russian/lts/security/2016/Makefile @@ -0,0 +1 @@ +include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/lts/security/2016/dla-374.wml b/russian/lts/security/2016/dla-374.wml new file mode 100644 index 00000000000..49acf79b710 --- /dev/null +++ b/russian/lts/security/2016/dla-374.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что в заплате для исправления +<a href="https://security-tracker.debian.org/tracker/CVE-2015-8369">CVE-2015-8369</a> в недавнем обновлении cacti 0.8.7g-1+squeeze9+deb6u12 имеется регресс.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в cacti версии +0.8.7g-1+squeeze9+deb6u13.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-374.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-375.wml b/russian/lts/security/2016/dla-375.wml new file mode 100644 index 00000000000..02d215a6e6c --- /dev/null +++ b/russian/lts/security/2016/dla-375.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Пакет ia32-libs содержит 32-битные версии различных +библиотек, предназначенные для использования в 64-битных системах. Данное обновление содержит все исправления +безопасности для этих библиотек, выпущенные с момента предыдущего обновления ia32-libs в +Squeeze LTS.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-375.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-378.wml b/russian/lts/security/2016/dla-378.wml new file mode 100644 index 00000000000..1f00373847b --- /dev/null +++ b/russian/lts/security/2016/dla-378.wml @@ -0,0 +1,46 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет CVE, описанные ниже.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7550">CVE-2015-7550</a> + + <p>Дмитрий Вьюков обнаружил состояние гонки в подсистеме брелоков ключей, + позволяющее локальному пользователю вызывать отказ в обслуживании (аварийная остановка).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8543">CVE-2015-8543</a> + + <p>Было обнаружено, что локальный пользователь, способный создавать сырые сокеты, + может вызывать отказ в обслуживании путём указания некорректного номера протокола + для сокета. Злоумышленник должен обладать правами на + CAP_NET_RAW.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8575">CVE-2015-8575</a> + + <p>Дэвид Миллер обнаружил уязвимость в реализации сокетов Bluetooth SCO, + которая приводит к утечке информации локальным пользователям.</p></li> + +</ul> + +<p>Кроме того, данное обновление исправляет регресс в предыдущем обновлении:</p> + +<p>#808293</p> + + <p>Регресс в реализации UDP не позволяет freeradius и + некоторым другим приложениями получать данные.</p> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были +исправлены в версии 2.6.32-48squeeze18.</p> + +<p>В предыдущем стабильном выпуске (wheezy) эти проблемы были +исправлены в версии 3.2.73-2+deb7u2.</p> + +<p>В стабильном выпуске (jessie) эти проблемы были исправлены +в версии 3.16.7-ckt20-1+deb8u2 или более ранних.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-378.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-379.wml b/russian/lts/security/2016/dla-379.wml new file mode 100644 index 00000000000..6a48de03f33 --- /dev/null +++ b/russian/lts/security/2016/dla-379.wml @@ -0,0 +1,37 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Samba, реализации SMB/CIFS, предоставляющей службы файлового сервера, сервера печати +и аутентификации, было обнаружено несколько уязвимостей.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5252">CVE-2015-5252</a> + + <p>Ян <q>Yenya</q> Каспржак и команда Computer Systems Unit из факультета + информатики Масарикова университета сообщили, что samba неправильно + выполняет проверку символьных ссылок, что позволяет при определённых условиях + получать доступ к ресурсам за пределами пути общего доступа.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5296">CVE-2015-5296</a> + + <p>Штефан Мецмахер из SerNet и команда Samba обнаружили, что samba + не выполняет проверку согласования подписей, когда клиент устанавливает + зашифрованное соединение с сервером samba.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5299">CVE-2015-5299</a> + + <p>В Samba отсутствует проверка управления доступом в модуле + VFS shadow_copy2, что может позволить неавторизованным пользователям + получать доступ к срезам.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в samba версии +2:3.5.6~dfsg-3squeeze13. Рекомендуется обновить пакеты +samba.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-379.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-380.wml b/russian/lts/security/2016/dla-380.wml new file mode 100644 index 00000000000..c0700c104f9 --- /dev/null +++ b/russian/lts/security/2016/dla-380.wml @@ -0,0 +1,25 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p>Разработчик основной ветки разработки Карл Рунге обнаружил и исправил +проблему в libvncserver, которая касается потоковой безопасности в случае +использования libvncserver для обработки нескольких VNC-соединений [1].</p> + +<p>К сожалению, <a href="https://github.com/LibVNC/libvncserver/commit/804335f9d296440bb708ca844f5d89b58b50b0c6">это исправление</a> +не так-то легко адаптировать (из-за поломки ABI) для libvncserver версии 0.9.7, поставляемой в составе Debian +squeeze(-lts).</p> + +<p>Тем не менее, указанная заплата для потоковой безопасности также решает связанную проблему +с повреждением содержимого памяти, вызываемую освобождением глобальных переменных без их +очистки в другом <q>потоке</q>, что в особенности проявляется при +использовании libvncserver для обработки нескольких VNC-соединений.</p> + +<p>Описанная проблема была решена в этой версии libvncserver, +пользователям VNC рекомендуется выполнить обновление до указанной версии +пакета.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-380.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-381.wml b/russian/lts/security/2016/dla-381.wml new file mode 100644 index 00000000000..85ea8c8e8a4 --- /dev/null +++ b/russian/lts/security/2016/dla-381.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В ICU, наборе библиотек, предоставляющих Unicode и поддержку +интернационализации, была обнаружена уязвимость. Переполнения целых чисел в движке вёрстки ICU +могут приводить к раскрытию информации.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в icu версии +4.4.1-8+squeeze5. Рекомендуется обновить пакеты icu.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-381.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-382.wml b/russian/lts/security/2016/dla-382.wml new file mode 100644 index 00000000000..a77c78d8342 --- /dev/null +++ b/russian/lts/security/2016/dla-382.wml @@ -0,0 +1,29 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Если утилита sudo настроена таким образом, что пользователь может редактировать файлы в +каталоге, в котором этот пользователь уже имеет право на запись без sudo, то он +может выполнять редактирование (чтение и запись) произвольных файлов. Даниэль Свартман +сообщил, что подобные настройки могут быть и ненамеренными в том случае, если +редактируемые файлы указаны с помощью знаков подстановки, +например:</p> +<pre> + operator ALL=(root) sudoedit /home/*/*/test.txt +</pre> + +<p>Настройки sudo по умолчанию были изменены таким образом, что теперь +редактирование файла в каталоге, в который пользователь уже имеет право на запись, либо +файла, который может быть открыт через символьную ссылки в таком каталоге, +запрещено. Эти ограничения можно отключить, но это +крайне не рекомендуется.</p> + +<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была исправлена в +версии 1.7.4p4-2.squeeze.6.</p> + +<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках +эта проблема будет исправлена позже.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-382.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-383.wml b/russian/lts/security/2016/dla-383.wml new file mode 100644 index 00000000000..e58773ad3de --- /dev/null +++ b/russian/lts/security/2016/dla-383.wml @@ -0,0 +1,33 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>"DrWhax" из проекта Tails сообщил, что в Claws Mail отсутствуют +проверки границ массивов в некоторых функциях преобразования текста. Удалённый злоумышленник +может использовать эту уязвимость для запуска произвольного кода от лица пользователя, +получившего с помощью Claws Mail сообщение злоумышленника.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8614">CVE-2015-8614</a> + + <p>Отсутствуют проверки длины вывода для преобразования между + JIS (ISO-2022-JP) и EUC-JP, между JIS и UTF-8, а также из + Shift_JIS в EUC-JP.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8708">CVE-2015-8708</a> + + <p>Оригинальное исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2015-8614">CVE-2015-8614</a> было неполным.</p></li> + +</ul> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были +исправлены в версии 3.7.6-4+squeeze2.</p> + +<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках +эта проблема будет исправлена позже. Эти версии собраны с +флагами для усиления безопасности, что делает указанную проблему сложнее в использовании злоумышленниками.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-383.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-384.wml b/russian/lts/security/2016/dla-384.wml new file mode 100644 index 00000000000..8652a7a2923 --- /dev/null +++ b/russian/lts/security/2016/dla-384.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что InspIRCd не выполняет проверку имён в ответах DNS +до момента их использования в межсерверной коммуникации. Удалённый +злоумышленник, управляющий обратным DNS-сервером для клиента IRC, может +использовать эту уязвимость для вызова отказа в обслуживании или повышения привилегий в +сети IRC.</p> + +<p>как кажется, InspIRCd совершенно не пригоден к использования, начиная с версии +1.1.22+dfsg-4+squeeze1, из-за ошибки в системе сборки, которая возникает при использовании +(e)glibc версии 2.9 и выше. Эта проблема также была исправлена.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-384.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-385.wml b/russian/lts/security/2016/dla-385.wml new file mode 100644 index 00000000000..e1567cb1ad7 --- /dev/null +++ b/russian/lts/security/2016/dla-385.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что специально сформированный пакет может вызывать аварийную остановку любого +приложения isc-dhcp, включая DHCP-клиент, релей и +сервер. Подвержены этой проблеме только системы, использующие IPv4.</p> + +<p>Рекомендуется обновить пакет isc-dhcp до версии +4.1.1-P1-15+squeeze9 (Debian squeeze LTS).</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-385.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-386.wml b/russian/lts/security/2016/dla-386.wml new file mode 100644 index 00000000000..61f00f87bc3 --- /dev/null +++ b/russian/lts/security/2016/dla-386.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что в cacti, веб-интерфейсе для мониторинга систем с построением графиков, имеется +ещё одна уязвимость, приводящая к SQL-инъекции.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в cacti версии +0.8.7g-1+squeeze9+deb6u14.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-386.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-387.wml b/russian/lts/security/2016/dla-387.wml new file mode 100644 index 00000000000..e41d60a019a --- /dev/null +++ b/russian/lts/security/2016/dla-387.wml @@ -0,0 +1,53 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Команда Qualys Security обнаружила две уязвимости в коде автоматической настройки +сети в клиенте OpenSSH (реализации набора протоколов +SSH).</p> + +<p>Автоматическая настройка сети SSH позволяет клиенту в случаях, когда SSH-соединение +прерывается неожиданно, восстанавливать его при условии того, что сервер тоже +поддерживает эту возможность.</p> + +<p>Сервер OpenSSH не поддерживает автоматическую настройку сети, а клиент OpenSSH +поддерживает эту возможность (даже несмотря на то, что она не описана в документации), в клиенте +она включена по умолчанию.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0777">CVE-2016-0777</a> + + <p>Утечка информации (раскрытие содержимого памяти) может использоваться SSH-сервером + злоумышленника для того, чтобы клиент передал чувствительные данные из + клиентской памяти, включая закрытые ключи.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0778">CVE-2016-0778</a> + + <p>Переполнение буфера (приводящее к утечке файловых дескрипторов) может + использоваться SSH-сервером злоумышленника, но из-за другой ошибки в коде + оно, вероятно, может использоваться только при определённых условиях (не + при настройках по умолчанию) при использовании ProxyCommand, ForwardAgent или + ForwardX11.</p></li> + +</ul> + +<p>Данное обновление безопасности полностью отключает код автоматической настройки сети в +клиенте OpenSSH.</p> + +<p>Кроме того, автоматическую настройку можно отключить, добавив (не описанную в документации) +опцию <q>UseRoaming no</q> в глобальный файл /etc/ssh/ssh_config, либо в +пользовательские настройки в ~/.ssh/config, либо передав -oUseRoaming=no +в командной строку.</p> + +<p>Пользователям, использующим закрытые ключи без паролей, особенно при неинтерактивной +настройке (автоматические задачи, использующие ssh, scp, rsync+ssh и т. д.), рекомендуется +обновить свои ключи в том случае, если они подключались к SSH-серверу, которому они +не доверяют.</p> + +<p>Дополнительную информацию об определении атак этого вида и средствах минимазации рисков можно найти +в рекомендации по безопасности Qualys.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-387.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-388.wml b/russian/lts/security/2016/dla-388.wml new file mode 100644 index 00000000000..ada63d97109 --- /dev/null +++ b/russian/lts/security/2016/dla-388.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что в dwarfutils, инструменте для вывода дампа отладочной информации DWARF из ELF-объектов, +имеется разыменование NULL-указателя.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в dwarfutils версии +20100214-1+deb6u1.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-388.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-389.wml b/russian/lts/security/2016/dla-389.wml new file mode 100644 index 00000000000..c118c0e375e --- /dev/null +++ b/russian/lts/security/2016/dla-389.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что специально сформированный файл в формате GIF может приводить к аварийной +остановке утилиты giffix, являющейся частью пакета giflib-tools.</p> + +<p>Рекомендуется обновить пакет giflib-tools до версии +4.1.6-9+deb6u1 (Debian squeeze LTS).</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-389.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-390.wml b/russian/lts/security/2016/dla-390.wml new file mode 100644 index 00000000000..a68cb7c828f --- /dev/null +++ b/russian/lts/security/2016/dla-390.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что dbconfig-common может, в зависимости от локального +значения umask, создавать резервные копии базы данных PostgreSQL, доступные для чтения +пользователям, отличным от владельца базы данных. Эта проблема была исправлена в версии +1.8.46+squeeze.1. Права доступа к существующим резервным копиям базы данных (не только +для PostgreSQL) будут ограничены владельцем резервной копии во время +обновления dbconfig-common до этой версии. Будущие обновления не будут +менять права доступа в случае, если локальный администратор имеет какие-то специальные +требования.</p> + +<p>dbconfig-common — вспомогательный пакет Debian, используемый рядом +пакетов для управления соответствующей базой данных.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-390.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-391.wml b/russian/lts/security/2016/dla-391.wml new file mode 100644 index 00000000000..44740c8c979 --- /dev/null +++ b/russian/lts/security/2016/dla-391.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что в prosody, легковесном сервере Jabber/XMPP, +в модуле mod_dialback используется слабый PRNG.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в prosody версии +0.7.0-1squeeze1+deb6u1.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-391.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-392.wml b/russian/lts/security/2016/dla-392.wml new file mode 100644 index 00000000000..5142cd1c8b1 --- /dev/null +++ b/russian/lts/security/2016/dla-392.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Сотрудники High-Tech Bridge Security Research Lab обнаружили уязвимость, проявляющуюся в обходе +пути в популярном веб-клиенте электронной почты Roundcube. Уязвимость может использоваться +для получения доступа к чувствительной информации, а при некоторых условиях и для +выполнения произвольного кода и полной компрометации уязвимого +сервера.</p> + +<p>Указанная уязвимость имеет место из-за недостаточной очистки параметра HTTP POST <q>_skin</q> +в сценарии "/index.php" при выполнении изменения оформления +веб-приложения. Удалённый аутентифицированный злоумышленник может использовать последовательности +обхода пути (напр. "../../") для загрузки новой темы оформления из произвольного места в +системе, к которому веб-сервер имеет доступ с правами для чтения.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-392.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-393.wml b/russian/lts/security/2016/dla-393.wml new file mode 100644 index 00000000000..77efe483c7a --- /dev/null +++ b/russian/lts/security/2016/dla-393.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление предотвращает потенциальную DoS-атаку, которая возможна из-за отсутствия проверки границ в счётчике CSRC +заголовка RTP и длины расширения заголовка. Благодарим Рэнделла Джесапа и команду Firefox +за обнаружение этой проблемы.</p> + +<p>(Поскольку в версии в Squeeze метод aead не доступен, следует исправить только srtp_unprotect())</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-393.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-394.wml b/russian/lts/security/2016/dla-394.wml new file mode 100644 index 00000000000..dd106f289c1 --- /dev/null +++ b/russian/lts/security/2016/dla-394.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p>agent/Core/Controller/SendRequest.cpp в Phusion Passenger до версии 4.0.60 и +в ветке 5.0.x до версии 5.0.22 при использовании в режиме интеграции с Apache или в самостоятельном режиме +без использования фильтрующего прокси позволяют удалённым злоумышленникам подделывать заголовки, передаваемые +приложениям с использованием символа _ (подчёркивание) вместо символа - (тире) +в заголовке HTTP, как это продемонстировано заголовком X_User.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-394.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-395.wml b/russian/lts/security/2016/dla-395.wml new file mode 100644 index 00000000000..3c2ddd0b4c9 --- /dev/null +++ b/russian/lts/security/2016/dla-395.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В LibRSVG, библиотеке для отрисовки графики в формате SVG, была обнаружена +уязвимость. Librsvg предположительно выполняет чтение за пределами выделенного буфера памяти при выполнении +грамматического разбора файлов SVG.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в librsvg версии +2.26.3-1+deb6u3. Рекомендуется обновить пакеты librsvg.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-395.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-396.wml b/russian/lts/security/2016/dla-396.wml new file mode 100644 index 00000000000..fb9c247d390 --- /dev/null +++ b/russian/lts/security/2016/dla-396.wml @@ -0,0 +1,11 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что определённые данные APL RR могут приводить к ошибке +INSIST в apl_42.c и вызывать завершение работы DNS-сервера BIND, что приводит +к отказу в обслуживании.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-396.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-397.wml b/russian/lts/security/2016/dla-397.wml new file mode 100644 index 00000000000..248b9cfda69 --- /dev/null +++ b/russian/lts/security/2016/dla-397.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Ян Хорн обнаружил, что вспомогательная утилита mount.ecryptfs_private, имеющая флаг +прав доступа, позволяющих запускать её от лица владельца, из пакета ecryptfs-utils может выполнять монтирование в любой целевой каталог, +принадлежащий пользователю, включая каталог в procfs. Локальный злоумышленник может использовать +эту уязвимость для повышения привилегий.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-397.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-398.wml b/russian/lts/security/2016/dla-398.wml new file mode 100644 index 00000000000..922e5d5b468 --- /dev/null +++ b/russian/lts/security/2016/dla-398.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1982">CVE-2016-1982</a> + <p>Предотвращает неправильное чтение в случае повреждённого закодированного в виде порций содержимого</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1983">CVE-2016-1983</a> + + <p>Удаляет пустые заголовки Host в клиентских запросах, которые приводят к + некорректному чтению.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-398.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-399.wml b/russian/lts/security/2016/dla-399.wml new file mode 100644 index 00000000000..694149f63e5 --- /dev/null +++ b/russian/lts/security/2016/dla-399.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p>cups-filters содержит многочисленные переполнения буфера, которые возникают из-за отсутствия проверки +размера при выполнении копирования из переменных окружения к локальные буферы (strcpy), а также +при выполнении конкатенации строк (strcat).</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-399.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-400.wml b/russian/lts/security/2016/dla-400.wml new file mode 100644 index 00000000000..c8ab75f2f1b --- /dev/null +++ b/russian/lts/security/2016/dla-400.wml @@ -0,0 +1,58 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет некоторые известные уязвимости в pound в выпуске squeeze-lts +путём обратного переноса версии из выпуска wheezy.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-3555">CVE-2009-3555</a> + + <p>Протокол TLS, протокол SSL 3.0 и возможно более ранних версий, используемые + в Microsoft Internet Information Services (IIS) 7.0, mod_ssl + в HTTP-сервере Apache 2.2.14 и более ранних версиях, OpenSSL до версии 0.9.8l, + GnuTLS 2.8.5 и более ранних версиях, Mozilla Network Security Services (NSS) + 3.12.4 и более ранних версиях, многочисленных продуктах Cisco, а также других продуктах, + неправильно ассоциируют рукопожатия повторных согласований для + существующих соединений, что позволяет злоумышленникам, выполняющим атаки по принципу + человек-в-середине, вставлять данные в сессии HTTPS, а, вероятно, и в другие + виды сессий, защищённых с помощью TLS или SSL, путём отправки неаутентифицированного + запроса, который обрабатывается сервером задним числом в + контексте, созданном после повторного согласования, что связано с атакой <q>инъекция + открытого текста</q>, известной также как проблема <q>Project Mogul</q>.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3389">CVE-2011-3389</a> + + <p>Протокол SSL, используемый при некоторых настройках в Microsoft + Windows и Microsoft Internet Explorer, Mozilla Firefox, Google + Chrome, Opera и других продуктах, шифрует данные, используя режим CBC + с сцепленными векторами инициализации, что позволяет злоумышленникам, выполняющим атаки + по принципу человек-в-середине, получать заголовки HTTP в виде открытого текста с помощью атаки + по блокам (BCBA) на сессию HTTPS вместе с + кодом на JavaScript, использующим (1) HTML5 WebSocket API, (2) Java + URLConnection API или (3) Silverlight WebClient API, что известно как + атака <q>BEAST</q>.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4929">CVE-2012-4929</a> + + <p>Протокол TLS 1.2 или более ранних версий, используемый в Mozilla Firefox, Google + Chrome, Qt и других продуктах, может зашифровывать сжатые данные без + предварительного изменения длины незашифрованных данных, что позволяет злоумышленникам, + выполняющим атаки по принципу человек-в-середине, получать заголовки HTTP в виде открытого + текста путём сравнения длин данных в ходе проверки серии предположений, в которых + строка в запросе HTTP потенциально совпадает с неизвестной строкой в + заголовке HTTP, что также известно как атака <q>CRIME</q>.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566">CVE-2014-3566</a> + + <p>Протокол SSL 3.0, используемый в OpenSSL в 1.0.1i и других + продуктах, использует недетерминированное добавление битов заполнителя, что упрощает + злоумышленникам, выполняющим атаки по принципу человек-в-середине, получать данные в виде открытого + текста с помощью атаки по предсказанию заполнения, что также известно как проблема <q>POODLE</q>.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-400.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-401.wml b/russian/lts/security/2016/dla-401.wml new file mode 100644 index 00000000000..194d314c9a7 --- /dev/null +++ b/russian/lts/security/2016/dla-401.wml @@ -0,0 +1,24 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9762">CVE-2014-9762</a> + + <p>Загрузчик GIF: исправление segv при работе с изображениями, не имеющими палитры</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9763">CVE-2014-9763</a> + + <p>Предотвращение аварийных остановок из-за деления на ноль</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9764">CVE-2014-9764</a> + + <p>Исправление ошибки сегментирования при открытии <tt>input/queue/id:000007,src:000000,op:flip1,pos:51</tt> с помощью feh</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-401.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-402.wml b/russian/lts/security/2016/dla-402.wml new file mode 100644 index 00000000000..28b71400d28 --- /dev/null +++ b/russian/lts/security/2016/dla-402.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В libtiff, библиотеке, предоставляющей поддержку обработки изображений в формате +TIFF, были обнаружены и исправлены две уязвимости. Эти уязвимости касаются чтения за пределами +выделенного буфера памяти в интерфейсе TIFFRGBAImage при выполнении грамматического разбора неподдерживаемых значений, +связанных с LogLUV и CIELab. Оо <a href="https://security-tracker.debian.org/tracker/CVE-2015-8665">CVE-2015-8665</a> сообщил limingxing, а +о <a href="https://security-tracker.debian.org/tracker/CVE-2015-8683">CVE-2015-8683</a> сообщил zzf из Alibaba.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в tiff версии +3.9.4-5+squeeze13. Рекомендуется обновить пакеты tiff.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-402.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-403.wml b/russian/lts/security/2016/dla-403.wml new file mode 100644 index 00000000000..7653d02a69a --- /dev/null +++ b/russian/lts/security/2016/dla-403.wml @@ -0,0 +1,32 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В Unrud для Radicale, сервера календаря и адресных книг, было +обнаружено несколько проблем. Удалённый злоумышленник может использовать эти +уязвимости и вызывать произвольные функции путём отправки специально сформированных +HTTP-запросов.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8748">CVE-2015-8748</a> + + <p>Предотвращение инъекции регулярного выражения в системе управления правами. + Предотвращение вызова произвольных функций с помощью HTTP-запроса.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8747">CVE-2015-8747</a> + + <p>Движок с поддержкой множества файловых систем позволяет получать доступ к произвольным файлам + на всех платформах. (Squeeze не подвержен этой проблеме, так как + указанный движок в этой версии отсутствует.)</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии +0.3-2+deb6u1.</p> + +<p>Рекомендуется обновить пакеты radicale.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-403.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-404.wml b/russian/lts/security/2016/dla-404.wml new file mode 100644 index 00000000000..3193f3b53ec --- /dev/null +++ b/russian/lts/security/2016/dla-404.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено некорректное разыменование указателя в nginx, +небольшом мощном масштабируемом веб/прокси сервере. Некорректное разыменование +указателя может происходить во время обработки ответа DNS-сервера, что позволяет +злоумышленнику, способному подделать UDP-пакеты от DNS-сервере вызывать +аварийную остановку рабочего процесса</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в nginx версии +0.7.67-3+squeeze4+deb6u1.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-404.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-405.wml b/russian/lts/security/2016/dla-405.wml new file mode 100644 index 00000000000..c10016a8e58 --- /dev/null +++ b/russian/lts/security/2016/dla-405.wml @@ -0,0 +1,18 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В libtiff, библиотеке, предоставляющей поддержку обработки формата изображений +TIFF, было обнаружено и исправлено несколько уязвимостей. Эти уязвимости касаются чтения и записи за пределами +выделенного буфера памяти в функциях LogL16Decode, LogLuvDecode24, LogLuvDecode32, LogLuvDecodeTile, +LogL16Encode, LogLuvEncode24, LogLuvEncode32 и NeXTDecode.</p> + +<p>Этим проблемам были назначены следующие идентификаторы: <a href="https://security-tracker.debian.org/tracker/CVE-2015-8781">CVE-2015-8781</a>, +<a href="https://security-tracker.debian.org/tracker/CVE-2015-8782">CVE-2015-8782</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-8783">CVE-2015-8783</a> и <a href="https://security-tracker.debian.org/tracker/CVE-2015-8784">CVE-2015-8784</a>.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в tiff версии +3.9.4-5+squeeze14. Рекомендуется обновить пакеты tiff.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-405.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-406.wml b/russian/lts/security/2016/dla-406.wml new file mode 100644 index 00000000000..319044a0d21 --- /dev/null +++ b/russian/lts/security/2016/dla-406.wml @@ -0,0 +1,26 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В коде CSRF-аутентификации phpMyAdmin было обнаружено несколько +уязвимостей.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2039">CVE-2016-2039</a> + + <p>Токен XSRF/CSRF создаётся при помощи слабого алгоритма, используя + функции, которые не возвращают криптографически безопасных значений.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2041">CVE-2016-2041</a> + + <p>Сравнение параметра токена XSRF/CSRF со значением, сохранённым в + сессии, уязвимо к атакам по таймингу. Более того, сравнение + можно обойти в случае, если токен XSRF/CSRF совпадает с + определённым шаблоном.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-406.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-407.wml b/russian/lts/security/2016/dla-407.wml new file mode 100644 index 00000000000..e7944c58b5e --- /dev/null +++ b/russian/lts/security/2016/dla-407.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Уязвимость позволяет серверу злоумышленника подделать уязвимый домен +для любого домена XMPP при условии, что это доменное имя в качестве суффикса содержит доменное имя +сервера злоумышленника.</p> + +<p>Например, <q>bber.example</q> сможет подключиться к <q>jabber.example</q> +и сможет успешно выдать себя за любой уязвимый сервер этой сети.</p> + +<p>Этот выпуск также содержит исправление регресса, введённое в предыдущем исправлении +<a href="https://security-tracker.debian.org/tracker/CVE-2016-1232">CVE-2016-1232</a>: s2s не работает в случае, если /dev/urandom открыт только для чтения.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-407.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-408.wml b/russian/lts/security/2016/dla-408.wml new file mode 100644 index 00000000000..cddf2f8e962 --- /dev/null +++ b/russian/lts/security/2016/dla-408.wml @@ -0,0 +1,24 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>GOsa представляет собой комбинацию веб-интерфейса системного администратора и конечного пользователя, +которая разработана для обслуживания систем на основе LDAP.</p> + +<p>Разработчики основной ветки GOsa сообщили о возможности инъекции кода в коде дополнения Samba +для GOsa. Во время изменения пароля в Samba можно +ввести код на языке Perl.</p> + +<p>Данное обновление Debian Squeeze LTS исправляет эту проблему. Тем не менее, если вы +выполнили обновление до этой редакции пакета, обратите внимание на то, что возможность изменения +пароля Samba перестанет работать до тех пор, пока параметр sambaHashHook в gosa.conf +не будет обновлён так, чтобы от PHP-кода GOsa можно было принимать закодированные в base64 +парольные строки.</p> + +<p>После обновления пакета обратитесь к /usr/share/doc/gosa/NEWS.gz и странице +руководства gosa.conf (5), а также измените gosa.conf соответствующим +образом.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-408.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-409.wml b/russian/lts/security/2016/dla-409.wml new file mode 100644 index 00000000000..e269daddbfc --- /dev/null +++ b/russian/lts/security/2016/dla-409.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В сервере баз данных MySQL было обнаружено несколько уязвимостей. Эти +проблемы были решены путём обновления пакета до наиболее свежего выпуска из +основной ветки разработки MySQL, 5.5.47. За подробностями обращайтесь к информации о выпуске MySQL 5.5 +и рекомендации Oracle's Critical Patch Update:</p> + +<ul> + <li><a href="http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-47.html">http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-47.html</a></li> + <li><a href="http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html">http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html</a></li> +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в mysql-5.5 +версии 5.5.47-0+deb6u1. Рекомендуется обновить пакеты +mysql-5.5.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-409.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-410.wml b/russian/lts/security/2016/dla-410.wml new file mode 100644 index 00000000000..2e37f9a88d4 --- /dev/null +++ b/russian/lts/security/2016/dla-410.wml @@ -0,0 +1,87 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p>В OpenJDK, реализации платформы Oracle Java, было обнаружено несколько +уязвимостей, которые приводят к выходу за пределы +песочницы Java, раскрытию информации, отказам в обслуживании и небезопасному +шифрованию.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7575">CVE-2015-7575</a> + + <p>Была обнаружена уязвимость в способе использования TLS 1.2 хеш-функции MD5 + для подписывания пакетов ServerKeyExchange и Client + Authentication во время рукопожатия TLS.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8126">CVE-2015-8126</a> + + <p>Многочисленные переполнения буфера в функциях (1) png_set_PLTE и (2) + png_get_PLTE в libpng до версии 1.0.64, 1.1.x до версии 1.2.x + до версии 1.2.54, 1.3.x и 1.4.x до версии 1.4.17, 1.5.x до версии + 1.5.24 и 1.6.x до версии 1.6.19 позволяют удалённым злоумышленникам вызывать + отказ в обслуживании (аварийная остановка приложения), либо могут как-то по-другому + влиять на безопасность. Переполнения буфера вызываются при помощи небольшого значения глубины цвета в части IHDR + (известной как заголовок изображения) в изображении PNG.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8472">CVE-2015-8472</a> + + <p>Переполнение буфера в функции png_set_PLTE в libpng до версии + 1.0.65, 1.1.x и 1.2.x до версии 1.2.55, 1.3.x, 1.4.x до версии + 1.4.18, 1.5.x до версии 1.5.25 и 1.6.x до версии 1.6.20 позволяет + удалённым злоумышленникам вызывать отказ в обслуживании (аварийная остановка + приложения), либо могут как-то по-другому влиять на безопасность. Переполнение буфера вызывается при помощи + небольшого значения глубины цвета в части IHDR (известной как заголовок изображения) в изображении + PNG. ВНИМАНИЕ: эта уязвимость имеет место из-за неполного + исправления <a href="https://security-tracker.debian.org/tracker/CVE-2015-8126">CVE-2015-8126</a>.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0402">CVE-2016-0402</a> + + <p>Неуказанная уязвимость в компонентах Java SE и Java SE Embedded + в Oracle Java SE 6u105, 7u91 и 8u66, а также в Java SE + Embedded 8u65 позволяет удалённым злоумышленникам влиять на целостность данных при помощи + неизвестных векторов, связанных с поддержкой работы сети.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0448">CVE-2016-0448</a> + + <p>Неуказанная уязвимость в компонентах Java SE и Java SE Embedded + в Oracle Java SE 6u105, 7u91 и 8u66, а также в Java SE + Embedded 8u65 позволяет удалённым аутентифицированным пользователям влиять на + конфиденциальность при помощи векторов, связанных с JMX.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0466">CVE-2016-0466</a> + + <p>Было обнаружено, что компонент JAXP в OpenJDK неправильно + следит за соблюдением ограничения totalEntitySizeLimit. Злоумышленник, + способный заставить Java-приложение обрабатывать специально сформированный файл + XML, может использовать эту уязвимость для того, чтобы это приложение + использовало чрезмерный объём памяти.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0483">CVE-2016-0483</a> + + <p>Неуказанная уязвимость в компонентах Java SE, Java SE Embedded и + JRockit в Oracle Java SE 6u105, 7u91 и 8u66, а также + Java SE Embedded 8u65 и JRockit R28.3.8 позволяет удалённым + злоумышленникам влиять на конфиденциальность, целостность данных и + доступность с помощью векторов, связанных с AWT.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0494">CVE-2016-0494</a> + + <p>Неуказанная уязвимость в компонентах Java SE и Java SE Embedded + в Oracle Java SE 6u105, 7u91 и 8u66, а также Java SE + Embedded 8u65 позволяет удалённым злоумышленникам влиять + на конфиденциальность, целостность данных и доступность с помощью + неизвестных векторов, связанных с 2D.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии +6b38-1.13.10-1~deb6u1.</p> + +<p>Рекомендуется обновить пакеты openjdk-6.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-410.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-411.wml b/russian/lts/security/2016/dla-411.wml new file mode 100644 index 00000000000..5b82cfb4d9b --- /dev/null +++ b/russian/lts/security/2016/dla-411.wml @@ -0,0 +1,40 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В eglibc, библиотеке GNU C для Debian, было обнаружено несколько +уязвимостей:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9761">CVE-2014-9761</a> + + <p>Функция nan* из math неправильно обрабатывает информационные строки, что приводит + к выделению неограниченного стека на основе длины + аргументов. Для решения этой проблемы грамматический разбор полезных данных был выделен + из strtod в отдельные функции, которые nan* может вызывать напрямую.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8776">CVE-2015-8776</a> + + <p>Функция strftime() позволяет получать доступ к неправильной области памяти, + что позволяет вызывать ошибку сегментирования в вызывающем эту функцию приложении.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8778">CVE-2015-8778</a> + + <p>Функция hcreate() возможно содержит переполнение целых чисел, которое может приводить + к обращению к областям динамической памяти за пределами выделенного буфера.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8779">CVE-2015-8779</a> + + <p>Функция catopen() содержит многочисленные выделения неограниченного + стека.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в eglibc версии +eglibc_2.11.3-4+deb6u9. Рекомендуется обновить пакеты +eglibc.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-411.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-412.wml b/russian/lts/security/2016/dla-412.wml new file mode 100644 index 00000000000..a98bd0798ab --- /dev/null +++ b/russian/lts/security/2016/dla-412.wml @@ -0,0 +1,54 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет описанные ниже CVE.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7566">CVE-2015-7566</a> + + <p>Ральф Шпеннеберг из OpenSource Security сообщил, что драйвер visor + аварийно завершает свою работу при обнаружении специально сформированного устройства USB, не + имеющего конечной точки передачи массива данных.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8767">CVE-2015-8767</a> + + <p>Был обнаружен отказ в обслуживании SCTP, который может быть вызван + локальным злоумышленником во время события таймаута для периодического контрольного сообщения после + 4-стороннего рукопожатия.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8785">CVE-2015-8785</a> + + <p>Было обнаружено, что локальные пользователи, имеющие права на запись в файл в + файловой системе FUSE, могут вызывать отказ в обслуживании (цикл в ядре, который + невозможно принудительно завершить).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0723">CVE-2016-0723</a> + + <p>В TIOCGETD ioctl было обнаружено использование указателей после освобождения памяти. + Локальный злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2069">CVE-2016-2069</a> + + <p>Энди Лутомирски обнаружил состояние гонки в коде для сбрасывания TLB на диск + при переключении задач. В системе с SMP это может приводить к + аварийным остановкам, утечкам информации или повышению привилегий.</p></li> + +</ul> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были +исправлены в версии 2.6.32-48squeeze19. Кроме того, данная версия +включает в себя стабильное обновление из основной ветки разработки, 2.6.32.70. Это последнее обновление +пакета linux-2.6 для squeeze.</p> + +<p>В предыдущем стабильном выпуске (wheezy) эти проблемы будут исправлены +позже.</p> + +<p>В стабильном выпуске (jessie) <a href="https://security-tracker.debian.org/tracker/CVE-2015-7566">CVE-2015-7566</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-8767">CVE-2015-8767</a> и +<a href="https://security-tracker.debian.org/tracker/CVE-2016-0723">CVE-2016-0723</a> были исправлены в linux версии 3.16.7-ckt20-1+deb8u3, а +остальные проблемы будут исправлены позже.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-412.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-413.wml b/russian/lts/security/2016/dla-413.wml new file mode 100644 index 00000000000..288b7c5d4ea --- /dev/null +++ b/russian/lts/security/2016/dla-413.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Подверженные данной уязвимости версии gajim позволяют удалённым злоумышленникам изменять список контактов +и перехватывать сообщения при помощи специально сформированной проталкивающей IQ-строки списка контактов.</p> + +<p>Эта проблема была исправлена в squeeze-lts в версии 0.13.4-3+squeeze4.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-413.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-414.wml b/russian/lts/security/2016/dla-414.wml new file mode 100644 index 00000000000..6a2d877660f --- /dev/null +++ b/russian/lts/security/2016/dla-414.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>chrony до версии 1.31.2 и ветка 2.x до версии 2.2.1 не выполняют ассоциацию +симметричных ключей одноранговых узлов при аутентификации пакетов, что может +позволить удалённым злоумышленникам выполнять подмены ключей с помощью произвольного +доверенного ключа, известного также как <q>ключ от всех дверей</q>.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-414.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-415.wml b/russian/lts/security/2016/dla-415.wml new file mode 100644 index 00000000000..de7cb42ea1f --- /dev/null +++ b/russian/lts/security/2016/dla-415.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В коде для выполнения грамматического разбора файлов cpio была обнаружена запись за пределами +выделенного буфера памяти. В Debian 6 <q>Squeeze</q> данная проблема была исправлена в cpio версии +2.11-4+deb6u2.</p> + +<p>Рекомендуется обновить пакет cpio.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-415.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-416.wml b/russian/lts/security/2016/dla-416.wml new file mode 100644 index 00000000000..49ab007f478 --- /dev/null +++ b/russian/lts/security/2016/dla-416.wml @@ -0,0 +1,42 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В eglibc, библиотеке GNU C для Debian, было обнаружено несколько +уязвимостей:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7547">CVE-2015-7547</a> + + <p>Команда безопасности Google и сотрудники Red Hat обнаружили, что функция + разрешения имён узлов в glibc, getaddrinfo, при обработке запросов + AF_UNSPEC (для двойного поиска A/AAAA) может неправильно управлять + внутренними буферами, что приводит к переполнению буфера и + выполнению произвольного кода. Эта уязвимость касается большинства + приложений, которые выполняют разрешение имён узлов с помощью getaddrinfo, + включая системные службы.</p> + +<p>The following fixed vulnerabilities currently lack CVE assignment:</p> + + <p>Андреас Шваб сообщил об утечке памяти (выделение буфера памяти без + соответствующего освобождения) при обработке определённых ответов DNS в + getaddrinfo, связанное с функцией _nss_dns_gethostbyname4_r. + Эта уязвимость может приводить к отказу в обслуживании.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в eglibc версии +eglibc_2.11.3-4+deb6u11. Кроме того, эта версия корректирует исправление для +<a href="https://security-tracker.debian.org/tracker/CVE-2014-9761">CVE-2014-9761</a> в Squeeze, которое ошибочно отмечало несколько символов в качестве +открытых, а не закрытых.</p> + +<p>Хотя требуется только убедиться, что все процессы более не используют +старую версию eglibc, рекомендуется перезапустить машины после +применения данного обновление безопасности.</p> + +<p>Рекомендуется обновить пакеты eglibc.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-416.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-417.wml b/russian/lts/security/2016/dla-417.wml new file mode 100644 index 00000000000..72e8f44c026 --- /dev/null +++ b/russian/lts/security/2016/dla-417.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что в xdelta3, diff-утилите, работающей с двоичными файлами, имеется +переполнение буфера. Эта уязвимость позволяет +выполнять произвольный код из файлов, передаваемых на вход программы.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в xdelta3 версии +0y.dfsg-1+deb6u1.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-417.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-418.wml b/russian/lts/security/2016/dla-418.wml new file mode 100644 index 00000000000..bb68a9119a1 --- /dev/null +++ b/russian/lts/security/2016/dla-418.wml @@ -0,0 +1,33 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>WordPress версий 4.4.1 и более ранних подвержен двум проблемам +безопасности: возможной подделке сторонних запросов для некоторых +локальных URI, о чём сообщим Ронни Скансинг; и атаке на открытое +перенаправления, о чём сообщил Шаилеш Сутар.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2221">CVE-2016-2221</a> + + <p>Wordpress может быть уязвим для атак на открытое перенаправление, + что было исправлено путём улучшения проверки используемого в HTTP-перенаправлениях + URL.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2222">CVE-2016-2222</a> + + <p>Было обнаружено, что Wordpress может содержать уязвимость, заключающуюся в + подделке сторонних запросов, поскольку адрес вида + 0.1.2.3 считается корректным IP адресом.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии +3.6.1+dfsg-1~deb6u9.</p> + +<p>Рекомендуется обновить пакеты wordpress.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-418.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-419.wml b/russian/lts/security/2016/dla-419.wml new file mode 100644 index 00000000000..509bc0a8a02 --- /dev/null +++ b/russian/lts/security/2016/dla-419.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Gtk+2.0, библиотека графического пользовательского интерфейса, предположительно содержит +переполнение целых чисел в функции gdk_cairo_set_source_pixbuf при выделении +большого блока памяти.</p> + +<p>В Debian 6 <q>Squeeze</q> эта проблема была исправлена в gtk+2.0 версии +2.20.1-2+deb6u1. Рекомендуется обновить пакеты gtk+2.0.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-419.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-420.wml b/russian/lts/security/2016/dla-420.wml new file mode 100644 index 00000000000..6a2ba76b0c9 --- /dev/null +++ b/russian/lts/security/2016/dla-420.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Была обнаружена ошибка с неправильным адресом памяти +в libmatroska, расширяемом открытом стандартном формате аудио/видео +контейнеров.</p> + +<p>При выполнении чтения группы блоков или блока, использующего +EBML-связывание размеров фреймов, указанных в связывании, не проверяются +на предмет доступного числа байтов. Если указанный размер фрейма +больше, чем размер целого блока, то код, выполняющий грамматический разбор, будет выполнять +чтение за пределами выделенного буфера, что приводит к утечке информации +из динамической памяти.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в libmatroska +версии 0.8.1-1.1+deb6u1.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-420.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-421.wml b/russian/lts/security/2016/dla-421.wml new file mode 100644 index 00000000000..289397ce790 --- /dev/null +++ b/russian/lts/security/2016/dla-421.wml @@ -0,0 +1,27 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3197">CVE-2015-3197</a>: + +<p>Клиент-злоумышленник может согласовать использование шифра SSLv2, которые отключены +на сервере, и завершить рукопожатие SSLv2 даже в том случае, если все шифры SSLv2 +отключены, учитывая, что протокол SSLv2 не отключен с помощью опции +SSL_OP_NO_SSLv2.</p></li> + +</ul> + +<p>Кроме того, при использовании набора шифров DHE для каждого соединения +всегда создаётся новый DH-ключ.</p> + +<p>Данное обновление является последним обновлением для версии пакета в squeeze. +Версия 0.9.8 более не поддерживается, долгосрочная поддержка squeeze вскоре +закончится. Если вы используете openssl, то вам следует выполнить обновление до wheezy или +jessie. Версия пакета в указанных выпусках содержит множество улучшений безопасности.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-421.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-422.wml b/russian/lts/security/2016/dla-422.wml new file mode 100644 index 00000000000..dba9ef12a95 --- /dev/null +++ b/russian/lts/security/2016/dla-422.wml @@ -0,0 +1,28 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<p>В python-imaging, библиотеке языка Python для загрузки и работы с +файлами изображений, было обнаружено два переполнения буфера, которые могут приводить +к выполнению произвольного кода.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0775">CVE-2016-0775</a> + + <p>Переполнение буфера в FliDecode.c</p></li> + +</ul> + +<p>Второе переполнение буфера было в файле PcdDecode.c. Ему пока не был присвоен +идентификатор CVE.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии +1.1.7-2+deb6u2.</p> + +<p>Рекомендуется обновить пакеты python-imaging.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-422.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-423.wml b/russian/lts/security/2016/dla-423.wml new file mode 100644 index 00000000000..ca48f956205 --- /dev/null +++ b/russian/lts/security/2016/dla-423.wml @@ -0,0 +1,26 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8629">CVE-2015-8629</a> + + <p>Было обнаружено, что аутентифицированный злоумышленник путём отправки строки, не содержащей + завершающий нулевой байт, может вызвать ситуацию, при которой kadmind выполняет чтение за + пределами выделенного буфера памяти. Злоумышленник с правом на изменение базы + данных может вызвать утечку информации.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8631">CVE-2015-8631</a> + + <p>Было обнаружено, что аутентифицированный злоумышленник путём передачи пустого + главного имени в запросе, использующем такое имя, может вызвать утечку памяти + в kadmind. Повторные отправки такого запроса приведут к тому, что kadmind + использует всю доступную память.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-423.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-424.wml b/russian/lts/security/2016/dla-424.wml new file mode 100644 index 00000000000..8e0867d9c4c --- /dev/null +++ b/russian/lts/security/2016/dla-424.wml @@ -0,0 +1,11 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Александр Измайлов обнаружил, что didiwiki, реализация wiki, +неправильно выполняет проверку передаваемых пользователем данных, что позволяет +злоумышленнику получать доступ к любой части файловой системы.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-424.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-425.wml b/russian/lts/security/2016/dla-425.wml new file mode 100644 index 00000000000..817ed1d74eb --- /dev/null +++ b/russian/lts/security/2016/dla-425.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Арис Адамантиадис из команды libssh обнаружил, что libssh, реализация +протокола SSH2, используемая множеством приложений, создаёт закрытые +ключи по алгоритму Диффи-Хеллмана недостаточной длины.</p> + +<p>Данная уязвимость может использоваться перехватчиком для расшифровки +и перехвата сессий SSH.</p> + +<p>В предыдущем старим стабильном выпуске (squeeze) эта проблема была исправлена в +версии 0.4.5-3+squeeze3.</p> + +<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках эта +проблема будет исправлена позже.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-425.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-426.wml b/russian/lts/security/2016/dla-426.wml new file mode 100644 index 00000000000..28b764c2430 --- /dev/null +++ b/russian/lts/security/2016/dla-426.wml @@ -0,0 +1,22 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Андреас Шнайдер сообщил, что libssh2, реализация протокола SSH2, +используемая многими приложениями, создаёт недостаточной длинные +закрытые ключи по алгоритму Диффи-Хеллмана.</p> + +<p>Эта уязвимость может использоваться перехватчиком для расшифровки +и перехвата сессий SSH.</p> + +<p>В предыдущем старом стабильном выпуске (squeeze) эта проблема была исправлена в +версии 1.2.6-1+deb6u2. Хотя журнал изменений ссылается на <q>sha256</q>, +данная версия поддерживает только обмен ключами по DH SHA-1, исправлен именно этот +метод обмена ключами.</p> + +<p>В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках эта +проблема будет исправлена позже.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-426.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-427.wml b/russian/lts/security/2016/dla-427.wml new file mode 100644 index 00000000000..a02e80ef3e3 --- /dev/null +++ b/russian/lts/security/2016/dla-427.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Функция s_mp_div в Mozilla Network Security Services (NSS) до версии +3.21 неправильно выполняет деление чисел, что может облегчить удалённым злоумышленникам +обход механизмов криптографической защиты путём использования +функции (1) mp_div или (2) mp_exptmod.</p> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены +в версии 3.12.8-1+squeeze14.</p> + +<p>Рекомендуется обновить пакеты nss.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-427.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-428.wml b/russian/lts/security/2016/dla-428.wml new file mode 100644 index 00000000000..a59777c38c0 --- /dev/null +++ b/russian/lts/security/2016/dla-428.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что в websvn, программе для просмотра репозиториев Subversion в +веб-браузере, имеется проблема, приводящая к межсайтовому скриптингу.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в websvn версии +2.3.1-1+deb6u2.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-428.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-429.wml b/russian/lts/security/2016/dla-429.wml new file mode 100644 index 00000000000..81ed442367c --- /dev/null +++ b/russian/lts/security/2016/dla-429.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что в pixman, библиотеке работы с пикселями для X и cairo, +имеется переполнение буфера.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в pixman версии +0.16.4-1+deb6u2.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-429.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-430.wml b/russian/lts/security/2016/dla-430.wml new file mode 100644 index 00000000000..ec3661039fc --- /dev/null +++ b/russian/lts/security/2016/dla-430.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что в libfcgi, библиотеке, реализующей протокол FastCGI, имеется +вызываемый удалённо отказ в обслуживании.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в libfcgi версии +2.4.0-8+deb6u1.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-430.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-431.wml b/russian/lts/security/2016/dla-431.wml new file mode 100644 index 00000000000..28f5c35429d --- /dev/null +++ b/russian/lts/security/2016/dla-431.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Было обнаружено, что в libfcgi-perl, вспомогательной библиотеке для реализации +протоколе FastCGI в веб-сервере для Perl, содержит проблему, которая позволяет удалённо вызывать отказ в обслуживании.</p> + +<p>В Debian 6 Squeeze эта проблема была исправлена в libfcgi-perl версии +0.71-1+squeeze1+deb6u1.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-431.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-432.wml b/russian/lts/security/2016/dla-432.wml new file mode 100644 index 00000000000..646ead2cc69 --- /dev/null +++ b/russian/lts/security/2016/dla-432.wml @@ -0,0 +1,42 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В PostgreSQL, серверной системе реляционных баз данных, было обнаружено +несколько уязвимостей. Ветка 8.4 в основной ветке разработки более не поддерживается, но она всё ещё имеется в Debian squeeze. +Новый малый номер версии LTS содержит исправления, добавленные в основной ветке разработки в +версию 9.1.20, которые были перенесены в версию 8.4.22, которая, в свою очередь, является последней версией, официально +выпущенной разработчиками PostgreSQL. Эта работа команды LTS для squeeze-lts +является проектом сообщества и спонсируется credativ GmbH.</p> + +<p>Данный выпуск является последним обновлением LTS для PostgreSQL 8.4. Пользователям +следует перейти на более новую версию PostgreSQL как можно скорее.</p> + +<h3>Переход на версию 8.4.22lts6</h3> + +<p>Для запуска 8.4.X не требуется делать дамп/восстановление. Тем не менее, если вы +выполняете обновление с версии, выпущенной до версии 8.4.22, то обратитесь к соответствующей информации о выпуске.</p> + +<h3>Исправления</h3> + +<p>Исправление бесконечных циклов и проблем с переполнением буфера в регулярных выражениях +(Том Лэйн)</p> + + <p>Слишком длинные интервалы символов в скобках могут приводить в некоторых случаях к + бесконечным циклам, а в других случаях к перезаписям памяти. + (<a href="https://security-tracker.debian.org/tracker/CVE-2016-0773">CVE-2016-0773</a>)</p> + +<p>Выполнение внезапного отключения при удалении файла postmaster.pid +(Том Лэйн)</p> + + <p>Теперь postmaster каждую минуту выполняет проверку того, что файл postmaster.pid + всё ещё имеется и содержит соответствующий PID. Если же нет, то он выполняет + внезапное отключение, как будто бы он получил сигнал SIGQUIT. Основная + мотивация этого изменения состоит в том, что необходимо проверять, чтобы выполнялась очистка + неудачных запусков сборочной фермы без какого-либо ручного вмешательства; но это также служит + и для ограничения нежелательных эффектов в том случае, если DBA принудительно удаляет postmaster.pid + и затем запускает новый postmaster.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-432.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-433.wml b/russian/lts/security/2016/dla-433.wml new file mode 100644 index 00000000000..751bdef3bd7 --- /dev/null +++ b/russian/lts/security/2016/dla-433.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Густаво Грико обнаружил, что xerces-c, библиотека грамматического разбора и проверки XML для +C++, неправильно обрабатывает некоторые виды некорректно оформленных входных документов, +что приводит к переполнениям буфера во время обработки и вывода сообщений об ошибках. +Эти уязвимости могут приводить к отказу в обслуживании в приложениях, использующих +библиотеку xerces-c, или к выполнению произвольного кода.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-433.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-434.wml b/russian/lts/security/2016/dla-434.wml new file mode 100644 index 00000000000..4ec762157f2 --- /dev/null +++ b/russian/lts/security/2016/dla-434.wml @@ -0,0 +1,34 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Густаво Грико ещё обнаружил проблемы безопасности в gdk-pixbuf +из Gtk+2.0.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4491">CVE-2015-4491</a> + + <p>Переполнение динамической памяти при обработке изображений в формате BMP, которое может позволить выполнить + произвольный код с помощью специально сформированных изображений.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7673">CVE-2015-7673</a> + + <p>Переполнение динамической памяти при обработке изображений в формате TGA, которое может позволить выполнить + произвольный код или вызвать отказ в обслуживании (аварийная остановка процесса) с помощью специально + сформированного изображения.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7674">CVE-2015-7674</a> + + <p>Переполнение целых чисел при обработке изображений в формате GIF, которое может позволить + выполнить произвольный код или вызвать отказ в обслуживании (аварийная остановка процесса) с помощью + специально сформированного изображения.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в gtk+2.0 версии +2.20.1-2+deb6u2. Рекомендуется обновить пакеты gtk+2.0.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-434.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-435.wml b/russian/lts/security/2016/dla-435.wml new file mode 100644 index 00000000000..91cb735f09e --- /dev/null +++ b/russian/lts/security/2016/dla-435.wml @@ -0,0 +1,74 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Tomcat 6, реализация спецификаций Java Servlet и JavaServer +Pages (JSP), а также чистое Java-окружение для веб-сервера, +содержит многочисленные проблемы безопасности в версиях до 6.0.45.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5174">CVE-2015-5174</a> + + <p>Обход каталога в RequestUtil.java в Apache + Tomcat 6.x до версии 6.0.45, 7.x до версии 7.0.65 и 8.x до версии 8.0.27 + позволяет удалённым аутентифицированным пользователям обходить специальные ограничения + SecurityManager и узнать содержимое родительского каталога с помощью /.. (косая черта и две точки) + в имени пути, используемом веб-приложением в вызовах getResource, + getResourceAsStream или getResourcePaths, что продемонстрировано + каталогом $CATALINA_BASE/webapps.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5345">CVE-2015-5345</a> + + <p>Компонент Mapper в Apache Tomcat 6.x до версии 6.0.45, 7.x до версии + 7.0.67, 8.x до версии 8.0.30 и 9.x до версии 9.0.0.M2 обрабатывает + перенаправления до рассмотрения к ограничениям безопасности и фильтрам, что позволяет + удалённым злоумышленникам определять существование каталога + с помощью URL, в конце которого отсутвует символ / (косая черта).</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5351">CVE-2015-5351</a> + + <p>Приложения Manager и Host Manager в Apache Tomcat устанавливают + сессии и отправляют токены CSRF в ответ на произвольные новые запросы, + что позволяет удалённым злоумышленникам обходить механизм защиты CSRF, + используя токены.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0706">CVE-2016-0706</a> + + <p>Apache Tomcat 6.x до версии 6.0.45, 7.x до версии 7.0.68, 8.x до версии + 8.0.31 и 9.x до версии 9.0.0.M2 не помещает + org.apache.catalina.manager.StatusManagerServlet в список org/apache + /catalina/core/RestrictedServlets.properties, что позволяет удалённым + аутентифицированным пользователям обходить специальные ограничения SecurityManager + и считывать произвольные запросы HTTP, а затем и обнаруживать + значения идентификаторов сессии при помощи специально сформированного веб-приложения.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0714">CVE-2016-0714</a> + + <p>Реализация session-persistence в Apache Tomcat 6.x до версии + 6.0.45, 7.x до версии 7.0.68, 8.x до версии 8.0.31 и 9.x до версии + 9.0.0.M2 неправильно обрабатывает атрибуты сессий, что позволяет удалённым + аутентифицированным пользователям обходить специальные ограничения SecurityManager + и выполнять произвольный код в привилегированном контексте с помощью + веб-приложения, помещающего в сессию специально сформированный объект.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0763">CVE-2016-0763</a> + + <p>Метод setGlobalContext в org/apache/naming/factory + /ResourceLinkFactory.java в Apache Tomcat не выполняет проверку авторизации + вызывающих функций ResourceLinkFactory.setGlobalContext, что позволяет + удалённым аутентифицированным пользователям обходить специальные ограничения SecurityManager + и выполнять чтение или запись в произвольные данные приложения, либо + вызывать отказ в обслуживании (сбой приложения) при помощи веб-приложения, + которое создаёт специально сформированный глобальный контекст.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии +6.0.45-1~deb6u1.</p> + +<p>Рекомендуется обновить пакеты tomcat6.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-435.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-436.wml b/russian/lts/security/2016/dla-436.wml new file mode 100644 index 00000000000..b76a753f734 --- /dev/null +++ b/russian/lts/security/2016/dla-436.wml @@ -0,0 +1,11 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Пакеты ia32-libs и ia32-libs-gtk содержат 32-битные версии различных +библиотек, предназначенные для использования в 64-битных системах. Данное обновление включает в себя +все исправления безопасности, которые были выпущены для этих библиотек с момента запуска Squeeze LTS.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-436.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-437.wml b/russian/lts/security/2016/dla-437.wml new file mode 100644 index 00000000000..6a48f023bbc --- /dev/null +++ b/russian/lts/security/2016/dla-437.wml @@ -0,0 +1,26 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Разработчики основной ветки разработки выпустили версию 0.99. Данное обновление служит для обновления sqeeze-lts до +последней версии из основной ветки разработки, как это делается и в других выпусках Debian.</p> + +<p>Эти изменения не являются строго необходимыми для работы, но пользователи предыдущей +версии в Squeeze не могут использовать все текущие сигнатуры вирусов +и получают предупреждения.</p> + +<p>Из-за изменения в версии so-библиотеки в этом выпуске пакет libclamav тоже был +обновлён до libclamav7. Требуется обновить внешних пользователей libclamav. +Для пакетов python-clamav, klamav и libclamunrar эти изменения уже готовы, либо будут +готовы в скором времени.</p> + +<p>К сожалению, пакет dansguardian в squeeze имеет некоторые проблемы, +которые мешают повторной сборке этого пакета. Если вы используете dansguardian, +то не пытайтесь выполнить обновление до новой версии clamav.</p> + +<p>В противном случае, если вы используете clamav, то вам настоятельно рекомендуется выполнить +обновление до этой версии.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-437.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-438.wml b/russian/lts/security/2016/dla-438.wml new file mode 100644 index 00000000000..bc936ed60fc --- /dev/null +++ b/russian/lts/security/2016/dla-438.wml @@ -0,0 +1,31 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В libebml, библиотеке для доступа к формату EBML, обнаружено +две проблемы безопасности:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8790">CVE-2015-8790</a> + + <p>Функция EbmlUnicodeString::UpdateFromUTF8 в libEBML до версии 1.3.3 + позволяет в зависимости от контекста получать чувствительную информацию из + динамической памяти процесса при помощи специально сформированной строки в кодировке UTF-8, приводящей + к неправильному доступу к содержимому памяти.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8791">CVE-2015-8791</a> + + <p>Функция EbmlElement::ReadCodedSizeValue в libEBML до версии 1.3.3 позволяет + в зависимости от контекста получать чувствительную информацию из динамической + памяти процесса при помощи специально сформированного значения длины в идентификаторе EBML, приводящего к + неправильному доступу к содержимому памяти.</p></li> + +</ul> + +<p>В Debian 6 <q>squeeze</q> эти проблемы были исправлены в libebml версии +0.7.7-3.1+deb6u1. Рекомендуется обновить пакеты libebml.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-438.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-439.wml b/russian/lts/security/2016/dla-439.wml new file mode 100644 index 00000000000..2b6a9801a92 --- /dev/null +++ b/russian/lts/security/2016/dla-439.wml @@ -0,0 +1,57 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Данное обновление исправляет описанные ниже CVE.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8812">CVE-2015-8812</a> + + <p>В драйвере Infiniband iw_cxgb3 была обнаружена уязвимость. Когда драйвер + не может отправить пакет из-за перегрузки сети, он + освобождает пакетный буфер, но затем пытается отправить этот пакет + снова. Это использование указателей после освобождения памяти может приводить к отказу + в обслуживании (аварийная остановка или зависание), потере данных или повышению привилегий.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0774">CVE-2016-0774</a> + + <p>Было обнаружено, что исправление для <a href="https://security-tracker.debian.org/tracker/CVE-2015-1805">CVE-2015-1805</a> в версиях ядра + Linux больше 3.16 неправильно обрабатывает случай + частично ошибочного атомарного чтения. Локальный непривилегированный пользователь может + использовать эту уязвимость для аварийного завершения работы системы или утечки содержимого памяти ядра в + пространство пользователя.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2384">CVE-2016-2384</a> + + <p>Андрей Коновалов обнаружил, что USB MIDI-устройство с неправильным + USB-дескриптором может вызывать двойное освобождения памяти. Это может использоваться + пользователем, имеющим физический доступ к системе, для повышения привилегий.</p></li> + +</ul> + +<p>Кроме того, обновление исправляет некоторые старые проблемы безопасности, не имеющие идентификатора CVE:</p> + + <p>Несколько функций API ядра имеют права на чтение или запись 2 или более ГБ данных + в виде целого блока, что может приводить к переполнению целых чисел в случае, + работы с некоторыми файловыми системами, сокетами или типами устройств. Полностью + влияние этой проблемы на безопасность исследовано не было.</p> + +<p>Наконец это обновление исправляет регресс в версии 2.6.32-48squeeze17, который в некоторых +ситуациях приводил к зависанию Samba.</p> + +<p>В предыдущем старом стабильном выпуске (squeeze) эти проблемы были +исправлены в версии 2.6.32-48squeeze20. Это *действительно* последнее +обновление пакета linux-2.6 для squeeze.</p> + +<p>В предыдущем стабильном выпуске (wheezy) ядро не подвержено +проблемам с переполнением целых чисел, а остальные проблемы будут +исправлены в версии 3.2.73-2+deb7u3.</p> + +<p>В стабильном выпуске (jessie) ядро не подвержено +проблемам с переполнением целых чисел и <a href="https://security-tracker.debian.org/tracker/CVE-2016-0774">CVE-2016-0774</a>, а остальные +проблемы будут исправлены в версии 3.16.7-ckt20-1+deb8u4.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-439.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-440.wml b/russian/lts/security/2016/dla-440.wml new file mode 100644 index 00000000000..0f5c1d598ca --- /dev/null +++ b/russian/lts/security/2016/dla-440.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Как было описано в <a href="./dla-437">DLA-437-1</a>, пакет clamav был обновлён до самой свежей версии из +основной ветки разработки, 0.99. Из-за изменения версии so-библиотеки в libclamav, пакеты, зависящие от +libclamav, следует скомпилировать заново для того, чтобы они работали с новой версией libclamav7. В момент +отправки DLA-437-1 обновлённые пакеты dansguardian ещё не были доступны.</p> + +<p>Теперь же обновление dansguardian загружено, в скором времени пакеты будут +доступны. Рекомендация в DLA-437-1 не обновлять clamav в случае +использования этого пакета вместе с dansguardian более не актуальна.</p> + +<p>По причинам, указанным в DLA-437-1, рекомендуется обновить пакеты +clamav и dansguardian.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-440.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-441.wml b/russian/lts/security/2016/dla-441.wml new file mode 100644 index 00000000000..503d6e2b7ea --- /dev/null +++ b/russian/lts/security/2016/dla-441.wml @@ -0,0 +1,23 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Сотрудники HP Zero Day Initiative обнаружили уязвимость, касающуюся +пакета pcre3. Ей был назначен идентификатор ZDI ZDI-CAN-3542. Идентификатор CVE ей +пока не был назначен.</p> + +<p>Уязвимость удалённого выполнения кода из-за переполнения стека при компиляции +регулярных выражений PCRE.</p> + +<p>PCRE не выполняет проверку того, что обрабатываемый глагол (*ACCEPT) находится в +границах буфера cworkspace, что приводит к переполнению +буфера.</p> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии +8.02-1.1+deb6u1.</p> + +<p>Рекомендуется обновить пакеты pcre3.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-441.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-442.wml b/russian/lts/security/2016/dla-442.wml new file mode 100644 index 00000000000..e8c129f429b --- /dev/null +++ b/russian/lts/security/2016/dla-442.wml @@ -0,0 +1,37 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6441">CVE-2013-6441</a> + + <p>Шаблон сценария lxc-sshd используется для монтирования его в качестве /sbin/init в + контейнере, используя монтирования с опцией bind и возможностью перезаписи.</p> + + <p>Данное обновление решает указанную выше проблему, используя монтирование с опцией bind + и без возможности записи, что предотвращает любое потенциальное ненамеренное повреждение данных.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1335">CVE-2015-1335</a> + + <p>При запуске контейнера lxc устанавливает изначальное дерево файловой системы + контейнера, выполняя несколько раз монтирование, которое осуществляется в соответсвии с файлом + настройки контейнера.</p> + + <p>Владельцем файла настройки контейнера является администратор или пользователь узла, поэтому + защита от плохих записей в нём отсутствует. Тем не менее, поскольку цель монтирования + находится в контейнере, постольку возможно, что администратор контейнера + изменил монтирование с помощью символьных ссылок. Это может позволить обойти настройки контейнера + при его запуске (то есть изоляцию контейнера, владельцем которого является суперпользователь, + с помощью ограничивающего правила apparmor, путём изменения требуемой записи в + /proc/self/attr/current), либо обойти правило apparmor (на основе пути) + путём изменения в контейнере, например, /proc на /mnt.</p> + + <p>Данное обновление реализует функцию safe_mount(), которая не позволяет lxc + выполнять монтирование в символьные ссылки.</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-442.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-443.wml b/russian/lts/security/2016/dla-443.wml new file mode 100644 index 00000000000..ecd69c0959e --- /dev/null +++ b/russian/lts/security/2016/dla-443.wml @@ -0,0 +1,28 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>В BeanShell, встраиваемом интерпретаторе исходного кода на языке Java +с возможностями объектного языка сценариев, была обнаружена возможность удалённого +выполнения кода.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2510">CVE-2016-2510</a>: + + <p>Приложение, включающее BeanShell в classpath, может оказаться + уязвимым в случае, если другая часть этого приложения использует сериализацию Java + или XStream для десериализации данных из недоверенного + источника. Уязвимое приложение может использоваться для удалённого + выполнения кода, включая выполнение произвольных команд командной оболочки.</p></li> + +</ul> + +<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в версии +2.0b4-12+deb6u1.</p> + +<p>Рекомендуется обновить пакеты bsh.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-443.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-444.wml b/russian/lts/security/2016/dla-444.wml new file mode 100644 index 00000000000..f30541440e5 --- /dev/null +++ b/russian/lts/security/2016/dla-444.wml @@ -0,0 +1,44 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2305">CVE-2015-2305</a> + + <p>Переполнение целых чисел в реализации regcomp в библиотеке регулярных + выражений Henry Spencer BSD (известной также как rxspencer) версии alpha3.8.g5 на + 32-битных платформах, используемой в NetBSD по версию 6.1.5, а также в других + продуктах может в зависимости от контекста позволить злоумышленникам выполнить + произвольный код с помощью слишком большого регулярного выражения, приводящего к + переполнению динамической памяти.</p></li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2348">CVE-2015-2348</a> + <p>Реализация move_uploaded_file в + ext/standard/basic_functions.c в PHP до версии 5.4.39, в ветке 5.5.x + до версии 5.5.23 и в ветке 5.6.x до версии 5.6.7 обрезает путь до + символа \x00, что позволяет удалённым злоумышленникам + обходить ограничения расширений и создавать файлы с + неожиданными именами при помощи специально сформированного второго аргумента.</p> + <p><b>Внимание</b>: эта уязвимость имеет место из-за неполного исправления + <a href="https://security-tracker.debian.org/tracker/CVE-2006-7243">CVE-2006-7243</a>.</p></li> +<li>CVE-2016-tmp, ошибка #71039 + <p>Функции exec игнорируют длину, но следят за завершением NULL-указателя</p></li> +<li>CVE-2016-tmp, ошибка #71089 + <p>Отсутствует проверка дубликата zend_extension</p></li> +<li>CVE-2016-tmp, ошибка #71201 + <p>round() приводит к ошибке сегментирования на сборках под 64-бит</p></li> +<li>CVE-2016-tmp, ошибка #71459 + <p>Переполнение целых чисел в iptcembed()</p></li> +<li>CVE-2016-tmp, ошибка #71354 + <p>Повреждение содержимого динамической памяти в коде для грамматического разбора tar/zip/phar</p></li> +<li>CVE-2016-tmp, ошибка #71391 + <p>Разыменование NULL-указателя в phar_tar_setupmetadata()</p></li> +<li>CVE-2016-tmp, ошибка #70979 + <p>Аварийная остановка при плохом SOAP-запросе</p></li> + +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-444.data" +# $Id$ diff --git a/russian/lts/security/2016/dla-445.wml b/russian/lts/security/2016/dla-445.wml new file mode 100644 index 00000000000..9eca4fa2fa6 --- /dev/null +++ b/russian/lts/security/2016/dla-445.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности LTS</define-tag> +<define-tag moreinfo> +<p>Перенесённая заплата для решения <a href="https://security-tracker.debian.org/tracker/CVE-2016-2569">CVE-2016-2569</a> содержит неправильные утверждения, +которые приводят к аварийной остановке squid3 при закрытии соединений. Исправление этого CVE +полагается на обработку исключений, которая имеется только в более свежих версиях +squid3, что в прошлый раз обнаружить не удалось. Указанная заплата была удалена для того, +чтобы вернуть программу в более безопасное состояние, учитывая то, что +пользователям Squeeze следует перейти на поддерживаемую версию Debian. Это +обновление, выпущенное после окончания жизненного цикла выпуска, предназначено для того, чтобы пакет squid3 в архиве +оставался в рабочем состоянии.</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2016/dla-445.data" +# $Id$ diff --git a/russian/lts/security/2016/index.wml b/russian/lts/security/2016/index.wml new file mode 100644 index 00000000000..0e2e8723ee9 --- /dev/null +++ b/russian/lts/security/2016/index.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag pagetitle>LTS Security Advisories from 2016</define-tag> +#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" +#use wml::debian::recent_list_security + +<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2016' ) :> + +<p>Вы можете получать последние анонсы о безопасности Debian, подписавшись на список рассылки +<a href="https://lists.debian.org/debian-lts-announce/">\ +<strong>debian-lts-announce</strong></a>. +Архив списка рассылки доступен <a href="https://lists.debian.org/debian-lts-announce/">\ +здесь</a>.</p> diff --git a/russian/lts/security/2017/Makefile b/russian/lts/security/2017/Makefile new file mode 100644 index 00000000000..10484184c17 --- /dev/null +++ b/russian/lts/security/2017/Makefile @@ -0,0 +1 @@ +include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/lts/security/2017/index.wml b/russian/lts/security/2017/index.wml new file mode 100644 index 00000000000..e6c3e0b8a97 --- /dev/null +++ b/russian/lts/security/2017/index.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag pagetitle>LTS Security Advisories from 2017</define-tag> +#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" +#use wml::debian::recent_list_security + +<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2017' ) :> + +<p>Вы можете получать последние анонсы о безопасности Debian, подписавшись на список рассылки +<a href="https://lists.debian.org/debian-lts-announce/">\ +<strong>debian-lts-announce</strong></a>. +Архив списка рассылки доступен <a href="https://lists.debian.org/debian-lts-announce/">\ +здесь</a>.</p> diff --git a/russian/lts/security/2018/Makefile b/russian/lts/security/2018/Makefile new file mode 100644 index 00000000000..10484184c17 --- /dev/null +++ b/russian/lts/security/2018/Makefile @@ -0,0 +1 @@ +include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/lts/security/2018/index.wml b/russian/lts/security/2018/index.wml new file mode 100644 index 00000000000..80dd27cc419 --- /dev/null +++ b/russian/lts/security/2018/index.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag pagetitle>LTS Security Advisories from 2018</define-tag> +#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" +#use wml::debian::recent_list_security + +<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2018' ) :> + +<p>Вы можете получать последние анонсы о безопасности Debian, подписавшись на список рассылки +<a href="https://lists.debian.org/debian-lts-announce/">\ +<strong>debian-lts-announce</strong></a>. +Архив списка рассылки доступен <a href="https://lists.debian.org/debian-lts-announce/">\ +здесь</a>.</p> diff --git a/russian/lts/security/2019/Makefile b/russian/lts/security/2019/Makefile new file mode 100644 index 00000000000..10484184c17 --- /dev/null +++ b/russian/lts/security/2019/Makefile @@ -0,0 +1 @@ +include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/lts/security/2019/index.wml b/russian/lts/security/2019/index.wml new file mode 100644 index 00000000000..087a1f9c8db --- /dev/null +++ b/russian/lts/security/2019/index.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag pagetitle>LTS Security Advisories from 2019</define-tag> +#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" +#use wml::debian::recent_list_security + +<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2019' ) :> + +<p>Вы можете получать последние анонсы о безопасности Debian, подписавшись на список рассылки +<a href="https://lists.debian.org/debian-lts-announce/">\ +<strong>debian-lts-announce</strong></a>. +Архив списка рассылки доступен <a href="https://lists.debian.org/debian-lts-announce/">\ +здесь</a>.</p> |