Cheers! Lev Lamberov
--- english/security/2013/dsa-2640.wml 2013-10-30 10:48:42.980834256 +0100 +++ russian/security/2013/dsa-2640.wml 2014-01-08 15:54:19.798011119 +0100 @@ -1,36 +1,38 @@ -<define-tag description>several issues</define-tag> +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +<define-tag description>несколько уязвимостей</define-tag> <define-tag moreinfo> -<p>Multiple vulnerabilities were discovered in zoneminder, a Linux video -camera security and surveillance solution. The Common Vulnerabilities -and Exposures project identifies the following problems:</p> +<p>В zoneminder, Linux-решении для организации системы видеобезопасности +и наблюдения, были обнаружены множественные уязвимости. Проект Common Vulnerabilities +and Exposures определяет следующие проблемы:</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-0232">CVE-2013-0232</a> - <p>Brendan Coles discovered that zoneminder is prone to an arbitrary - command execution vulnerability. Remote (authenticated) attackers - could execute arbitrary commands as the web server user.</p></li> + <p>Брэндан Коулс обнаружил, что zoneminder уязвим к выполнению + произвольного кода. Удалённый (авторизованный) атакующий + может выполнить произвольные команды от лица пользователя веб-сервера.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-0332">CVE-2013-0332</a> - <p>zoneminder is prone to a local file inclusion vulnerability. Remote - attackers could examine files on the system running zoneminder.</p></li> + <p>zoneminder уязвим к включению локального файла. Удалённый + атакующий может исследовать файлы на системе, в которой работает zoneminder.</p></li> </ul> -<p>For the stable distribution (squeeze), these problems have been fixed in -version 1.24.2-8+squeeze1.</p> +<p>В стабильном выпуске (squeeze) эти проблемы были исправлены в +версии 1.24.2-8+squeeze1.</p> -<p>For the testing distribution (wheezy), these problems have been fixed in -version 1.25.0-4.</p> +<p>В тестируемом выпуске (wheezy) эти проблемы были исправлены в +верии 1.25.0-4.</p> -<p>For the unstable distribution (sid), these problems have been fixed in -version 1.25.0-4.</p> +<p>В нестабильном выпуске (sid) эти проблемы были исправлены в +версии 1.25.0-4.</p> -<p>We recommend that you upgrade your zoneminder packages.</p> +<p>Рекомендуется обновить пакеты zoneminder.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2640.data" # $Id: dsa-2640.wml,v 1.1 2013/03/14 18:10:28 victory-guest Exp $ +
--- english/security/2013/dsa-2641.wml 2013-10-30 10:48:42.984832256 +0100 +++ russian/security/2013/dsa-2641.wml 2014-01-08 15:50:09.522002370 +0100 @@ -1,22 +1,24 @@ -<define-tag description>rehashing flaw</define-tag> +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" +<define-tag description>проблема повторного хэширования</define-tag> <define-tag moreinfo> -<p>Yves Orton discovered a flaw in the rehashing code of Perl. This flaw -could be exploited to carry out a denial of service attack against code -that uses arbitrary user input as hash keys. Specifically an attacker -could create a set of keys of a hash causing a denial of service via -memory exhaustion.</p> +<p>Ив Ортон обнаружил проблему при повторном хэшировании кода Perl. Данная проблема +может использоваться для осуществления атаки по принципу отказа в обслуживании против кода, +использующего ввод произвольного пользователя в качестве ключей хэша. Более конкретно, атакующий +может создать набор ключей хэша, который вызовет отказ в обслуживании из-за +чрезмерного потребления памяти.</p> -<p>For the stable distribution (squeeze), this problem has been fixed in -version 5.10.1-17squeeze6 of perl and version -2.0.4-7+squeeze1 of libapache2-mod-perl2.</p> +<p>В стабильном выпуске (squeeze) эта проблема была исправлена в +версии 5.10.1-17squeeze6 пакета perl и версии +2.0.4-7+squeeze1 пакета libapache2-mod-perl2.</p> -<p>For the testing distribution (wheezy), and the unstable distribution -(sid), this problem has been fixed in version 5.14.2-19 -of perl and version 2.0.7-3 of libapache2-mod-perl2.</p> +<p>В тестируемом (wheezy)и нестабильном +(sid) выпусках эта проблема была исправлена в версии 5.14.2-19 +пакета perl и версии 2.0.7-3 пакета libapache2-mod-perl2.</p> -<p>We recommend that you upgrade your perl and libapache2-mod-perl2 packages.</p> +<p>Рекомендуется обновить пакеты perl и libapache2-mod-perl2.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2641.data" # $Id: dsa-2641.wml,v 1.2 2013/03/20 20:57:46 victory-guest Exp $ +
--- english/security/2013/dsa-2642.wml 2013-10-30 10:48:43.008820257 +0100 +++ russian/security/2013/dsa-2642.wml 2014-01-08 15:45:44.273993098 +0100 @@ -1,32 +1,34 @@ -<define-tag description>several issues</define-tag> +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +<define-tag description>несколько уязвимостей</define-tag> <define-tag moreinfo> -<p>Several vulnerabilities have been discovered in sudo, a program designed -to allow a sysadmin to give limited root privileges to users. The Common -Vulnerabilities and Exposures project identifies the following problems:</p> +<p>В sudo, программе, разработанной для передачи обычным пользователям +ограниченных прав суперпользователя, были обнаружены несколько проблем. Проект Common +Vulnerabilities and Exposures определяет следующие проблемы:</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1775">CVE-2013-1775</a> - <p>Marco Schoepl discovered an authentication bypass when the clock is - set to the UNIX epoch [00:00:00 UTC on 1 January 1970].</p></li> + <p>Марко Шопель обнаружил обход авторизации в случае, когда часы + установлены в значение эпохи UNIX [00:00:00 UTC, 1 января 1970 года].</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1776">CVE-2013-1776</a> - <p>Ryan Castellucci and James Ogden discovered aspects of an issue that - would allow session id hijacking from another authorized tty.</p></li> + <p>Райан Кастеллучи и Джеймс Огден обнаружили некоторые аспекты проблемы, + позволяющей угнать сессию идентификации из другой авторизованной tty.</p></li> </ul> -<p>For the stable distribution (squeeze), these problems have been fixed in -version 1.7.4p4-2.squeeze.4.</p> +<p>В стабильном выпуске (squeeze) эти проблемы были исправлены в +версии 1.7.4p4-2.squeeze.4.</p> -<p>For the testing (wheezy) and unstable (sid) distributions, these problems -have been fixed in version 1.8.5p2-1+nmu1.</p> +<p>В тестируемом (wheezy) и нестабильном (sid) выпусках эти проблемы +были исправлены в версии 1.8.5p2-1+nmu1.</p> -<p>We recommend that you upgrade your sudo packages.</p> +<p>Рекомендуется обновить пакеты sudo.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2642.data" # $Id: dsa-2642.wml,v 1.1 2013/03/09 08:51:14 victory-guest Exp $ +
--- english/security/2013/dsa-2643.wml 2013-10-30 10:48:43.020814255 +0100 +++ russian/security/2013/dsa-2643.wml 2014-01-08 15:40:53.229982924 +0100 @@ -1,78 +1,80 @@ -<define-tag description>several vulnerabilities</define-tag> +#use wml::debian::translation-check translation="1.3" maintainer="Lev Lamberov" +<define-tag description>несколько уязвимостей</define-tag> <define-tag moreinfo> -<p>Multiple vulnerabilities were discovered in Puppet, a centralized -configuration management system.</p> +<p>В централизованной системе управления настройками Puppet были +обнаружены многочисленные уязвимости.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1640">CVE-2013-1640</a> - <p>An authenticated malicious client may request its catalog from the puppet - master, and cause the puppet master to execute arbitrary code. The puppet - master must be made to invoke the <q>template</q> or <q>inline_template</q> - functions during catalog compilation.</p></li> + <p>Авторизованный клиент может запросить свой каталог с главного сервера puppet, + что может привести к выполнению на главном сервере произвольного кода. Главный сервер puppet + должен вызывать функции <q>template</q> или <q>inline_template</q> + во время компилирования каталога.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1652">CVE-2013-1652</a> - <p>An authenticated malicious client may retrieve catalogs from the puppet - master that it is not authorized to access. Given a valid certificate and - private key, it is possible to construct an HTTP GET request that will - return a catalog for an arbitrary client.</p></li> + <p>Авторизованный клиент может получить каталоги с главного сервера puppet, + к которым он не должен иметь доступа. Имея действительный сертификат и + приватный ключ, можно создать запрос HTTP GET, который вернёт + каталог произвольного клиента.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1653">CVE-2013-1653</a> - <p>An authenticated malicious client may execute arbitrary code on Puppet - agents that accept kick connections. Puppet agents are not vulnerable in - their default configuration. However, if the Puppet agent is configured to - listen for incoming connections, e.g. listen = true, and the agent's - auth.conf allows access to the <q>run</q> REST endpoint, then an authenticated - client can construct an HTTP PUT request to execute arbitrary code on the - agent. This issue is made worse by the fact that puppet agents typically - run as root.</p></li> + <p>Авторизованный клиент может выполнить произвольный код на агенте Puppet, + принимающем kick-соединения. Агенты Puppet не уязвимы, если + используются настройки по умолчанию. Тем не менее, если агент Puppet настроен так, что + прослушивать входящие подключения, напр., listen = true, и файл агента + auth.conf разрешает доступ к конечной точке <q>run</q> REST, то авторизованный + клиент может создать запрос HTTP PUT для выполнения произвольного кода на + стороне агента. Данная проблема становится ещё более серьёзной в том случае, если агенты puppet + запущены от лица суперпользователя.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1654">CVE-2013-1654</a> - <p>A bug in Puppet allows SSL connections to be downgraded to SSLv2, which is - known to contain design flaw weaknesses. This affects SSL connections - between puppet agents and master, as well as connections that puppet agents - make to third party servers that accept SSLv2 connections. Note that SSLv2 - is disabled since OpenSSL 1.0.</p></li> + <p>Ошибка в Puppet разрешает снижать версию SSL подключения до SSLv2, которая, + как это известно, содержит уязвимости из-за плохого проектирования. Эта ошибка влияет на соединения SSL + между агентами puppet и главным сервером, а также на подключения агентов puppet + к серверам третьих лиц, принимающим соединения SSLv2. Заметьте, что SSLv2 + отключен с версии OpenSSL 1.0.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1655">CVE-2013-1655</a> - <p>An unauthenticated malicious client may send requests to the puppet master, - and have the master load code in an unsafe manner. It only affects users - whose puppet masters are running ruby 1.9.3 and above.</p></li> + <p>Авторизованный клиент может отправлять запросы главному серверу puppet, + из-за которых главный сервер будет загружать код небезопасным образом. Эта проблема действительна + только для тех пользователей, главные сервера puppet которых работают под управлением ruby 1.9.3 и выше.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2274">CVE-2013-2274</a> - <p>An authenticated malicious client may execute arbitrary code on the - puppet master in its default configuration. Given a valid certificate and - private key, a client can construct an HTTP PUT request that is authorized - to save the client's own report, but the request will actually cause the - puppet master to execute arbitrary code.</p></li> + <p>Авторизованный клиент может выполнить произвольный код на главном сервере + puppet с настройками по умолчанию. Имея действительный сертификат и + приватный ключ, клиент может создать запрос HTTP PUT, который должен + сохранить собственный отчёт клиента, но этот запрос фактически приведёт к тому, что + на главном сервер puppet будет выполнен произвольный код.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2275">CVE-2013-2275</a> - <p>The default auth.conf allows an authenticated node to submit a report for - any other node, which is a problem for compliance. It has been made more - restrictive by default so that a node is only allowed to save its own - report.</p></li> + <p>По умолчанию auth.conf позволяет авторизованным нодам отправлять отчёт для + любой другой ноды, что является проблемой согласия. Настройки по умолчанию + стали более ограничительными, теперь ноде разрешено сохранять только свой + собственный отчёт.</p></li> </ul> -<p>For the stable distribution (squeeze), these problems have been fixed in -version 2.6.2-5+squeeze7.</p> +<p>В стабильном выпуске (squeeze) эти проблемы были исправлены в +версии 2.6.2-5+squeeze7.</p> -<p>For the testing distribution (wheezy), these problems have been fixed in -version 2.7.18-3.</p> +<p>В тестируемом выпуске (wheezy) эти проблемы были исправлены в +версии 2.7.18-3.</p> -<p>For the unstable distribution (sid), these problems have been fixed in -version 2.7.18-3.</p> +<p>В нестабильном выпуске (sid) эти проблемы были исправлены в +версии 2.7.18-3.</p> -<p>We recommend that you upgrade your puppet packages.</p> +<p>Рекомендуется обновить пакеты puppet.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2643.data" # $Id: dsa-2643.wml,v 1.3 2013/03/13 00:05:35 victory-guest Exp $ +
--- english/security/2013/dsa-2644.wml 2013-10-30 10:48:43.032808257 +0100 +++ russian/security/2013/dsa-2644.wml 2014-01-08 15:22:29.025944326 +0100 @@ -1,18 +1,20 @@ -<define-tag description>several vulnerabilities</define-tag> +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +<define-tag description>несколько уязвимостей</define-tag> <define-tag moreinfo> -<p>Multiple vulnerabilities were discovered in the dissectors for the -MS-MMS, RTPS, RTPS2, Mount, ACN, CIMD and DTLS protocols, which could -result in denial of service or the execution of arbitrary code.</p> +<p>В диссекторах для протоколов MS-MMS, RTPS, RTPS2, Mount, ACN, CIMD и DTLS +были обнаружены многочисленные уязвимости, которые могут приводить +к отказу в обслуживании или выполнению произвольного кода.</p> -<p>For the stable distribution (squeeze), these problems have been fixed in -version 1.2.11-6+squeeze10.</p> +<p>В стабильном выпуске (squeeze) эти проблемы были исправлены в +версии 1.2.11-6+squeeze10.</p> -<p>For the unstable distribution (sid), these problems have been fixed in -version 1.8.2-5.</p> +<p>В нестабильном выпуске (sid) эти проблемы были исправлены в +версии 1.8.2-5.</p> -<p>We recommend that you upgrade your wireshark packages.</p> +<p>Рекомендуется обновить пакеты wireshark.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2644.data" # $Id: dsa-2644.wml,v 1.1 2013/03/14 18:04:51 victory-guest Exp $ +
--- english/security/2013/dsa-2645.wml 2013-10-30 10:48:43.048800256 +0100 +++ russian/security/2013/dsa-2645.wml 2014-01-08 15:20:42.845940615 +0100 @@ -1,21 +1,23 @@ -<define-tag description>denial of service</define-tag> +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +<define-tag description>отказ в обслуживании</define-tag> <define-tag moreinfo> -<p>Ovidiu Mara reported in 2010 a vulnerability in the ping util, commonly used by -system and network administrators. By carefully crafting ICMP responses, an -attacker could make the ping command hangs.</p> +<p>Овиду Мара сообщил в 2010 году об уязвимости в утилите ping, часто используемой +системными и сетевыми администраторами. При помощи специально сформированных ответов ICMP атакующий +может вызвать зависание команды ping.</p> -<p>For the stable distribution (squeeze), this problem has been fixed in -version 2:1.6-3.1+squeeze2.</p> +<p>В стабильном выпуске (squeeze) эта проблема была исправлена в +версии 2:1.6-3.1+squeeze2.</p> -<p>For the testing distribution (wheezy), this problem has been fixed in -version 2:1.9-2.</p> +<p>В тестируемом выпуске (wheezy) эта проблема была исправлена в +версии 2:1.9-2.</p> -<p>For the unstable distribution (sid), this problem has been fixed in -version 2:1.9-2.</p> +<p>В нестабильном выпуске (sid) эта проблема была исправлена в +версии 2:1.9-2.</p> -<p>We recommend that you upgrade your inetutils packages.</p> +<p>Рекомендуется обновить пакеты inetutils.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2645.data" # $Id: dsa-2645.wml,v 1.1 2013/03/14 23:22:31 taffit Exp $ +
--- english/security/2013/dsa-2646.wml 2013-10-30 10:48:43.052798256 +0100 +++ russian/security/2013/dsa-2646.wml 2014-01-08 15:18:15.801935475 +0100 @@ -1,39 +1,41 @@ -<define-tag description>several vulnerabilities</define-tag> +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +<define-tag description>несколько уязвимостей</define-tag> <define-tag moreinfo> -<p>TYPO3, a PHP-based content management system, was found vulnerable to several vulnerabilities.</p> +<p>Обнаружено, что TYPO3, система управления содержимым на основе PHP, имеет несколько уязвимостей.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1842">CVE-2013-1842</a> - <p>Helmut Hummel and Markus Opahle discovered that the Extbase database layer - was not correctly sanitizing user input when using the Query object model. - This can lead to SQL injection by a malicious user inputing crafted - relation values.</p></li> + <p>Гельмут Гуммель и Маркус Опале обнаружили, что прослойка баз данных Extbase + неправильно очищает пользовательский ввод при использовании объектной модели Query. + Это может приводить к SQL-инъекции в случае, если пользователь введёт специально сформированные + реляционные значения.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1843">CVE-2013-1843</a> - <p>Missing user input validation in the access tracking mechanism could lead - to arbitrary URL redirection. + <p>Отсутствие проверки пользовательского ввода в случаях доступа к механизму отслеживания может приводить + к перенаправлению на произвольный URL. </p><p> - Note: the fix will break already published links. Upstream advisory + Внимание: применение данного исправления приведёт к поломке опубликованных ссылок. В совете из основной ветки разработки <a href="http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2013-001/">TYPO3-CORE-SA-2013-001</a> - has more information on how to mitigate that.</p></li> + содержится дополнительная информация о том, как с этим справиться.</p></li> </ul> -<p>For the stable distribution (squeeze), these problems have been fixed in -version 4.3.9+dfsg1-1+squeeze8.</p> +<p>В стабильном выпуске (squeeze) эти проблемы были исправлены в +версии 4.3.9+dfsg1-1+squeeze8.</p> -<p>For the testing distribution (wheezy), these problems have been fixed in -version 4.5.19+dfsg1-5.</p> +<p>В тестируемом выпуске (wheezy) эти проблемы были исправлены в +версии 4.5.19+dfsg1-5.</p> -<p>For the unstable distribution (sid), these problems have been fixed in -version 4.5.19+dfsg1-5.</p> +<p>В нестабильном выпуске (sid) эти проблемы были исправлены в +версии 4.5.19+dfsg1-5.</p> -<p>We recommend that you upgrade your typo3-src packages.</p> +<p>Рекомендуется обновить пакеты typo3-src.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2646.data" # $Id: dsa-2646.wml,v 1.1 2013/03/16 01:29:20 taffit Exp $ +
--- english/security/2013/dsa-2647.wml 2013-10-30 10:48:43.056796256 +0100 +++ russian/security/2013/dsa-2647.wml 2014-01-08 15:10:51.501919944 +0100 @@ -1,20 +1,22 @@ -<define-tag description>buffer overflow</define-tag> +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +<define-tag description>переполнение буфера</define-tag> <define-tag moreinfo> -<p>A buffer overflow was discovered in the Firebird database server, which -could result in the execution of arbitrary code.</p> +<p>В сервере баз данных Firebird было обнаружено переполнение буфера, которое +может приводить к выполнению произвольного кода.</p> -<p>For the stable distribution (squeeze), this problem has been fixed in -version 2.1.3.18185-0.ds1-11+squeeze1.</p> +<p>В стабильном выпуске (squeeze) эта проблема была исправлена в +версии 2.1.3.18185-0.ds1-11+squeeze1.</p> -<p>For the testing distribution (wheezy), firebird2.1 will be removed in -favour of firebird2.5.</p> +<p>В тестируемом выпуске (wheezy) пакет firebird2.1 будет удалён в связи +с переходом к firebird2.5.</p> -<p>For the unstable distribution (sid), firebird2.1 will be removed in -favour of firebird2.5.</p> +<p>В нестабильном выпуске (sid) пакет firebird2.1 будет удалён в связи +с переходом к firebird2.5.</p> -<p>We recommend that you upgrade your firebird2.1 packages.</p> +<p>Рекомендуется обновить пакеты firebird2.1.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2647.data" # $Id: dsa-2647.wml,v 1.1 2013/03/15 17:13:42 victory-guest Exp $ +
--- english/security/2013/dsa-2648.wml 2013-10-30 10:48:43.064792254 +0100 +++ russian/security/2013/dsa-2648.wml 2014-01-08 15:08:40.041915349 +0100 @@ -1,19 +1,21 @@ -<define-tag description>several vulnerabilities</define-tag> +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +<define-tag description>несколько уязвимостей</define-tag> <define-tag moreinfo> -<p>A buffer overflow was discovered in the Firebird database server, which -could result in the execution of arbitrary code. In addition, a denial -of service vulnerability was discovered in the TraceManager.</p> +<p>В сервере баз данных Firebird было обнаружено переполнение буфера, которое +может приводить к выполнению произвольного кода. Кроме того, в TraceManager +была обнаружена уязвимость, состоящая в отказе в обслуживании.</p> -<p>For the stable distribution (squeeze), these problems have been fixed in -version 2.5.0.26054~ReleaseCandidate3.ds2-1+squeeze1.</p> +<p>В стабильном выпуске (squeeze) эти проблемы были исправлены в +версии 2.5.0.26054~ReleaseCandidate3.ds2-1+squeeze1.</p> -<p>For the testing distribution (wheezy), these problems will be fixed soon.</p> +<p>В тестируемом выпуске (wheezy) эти проблемы будут исправлены позже.</p> -<p>For the unstable distribution (sid), these problems will be fixed soon.</p> +<p>В нестабильном выпуске (sid) эти проблемы будут исправлены позже.</p> -<p>We recommend that you upgrade your firebird2.5 packages.</p> +<p>Рекомендуется обновить пакеты firebird2.5.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2648.data" # $Id: dsa-2648.wml,v 1.1 2013/03/15 17:18:06 victory-guest Exp $ +
--- english/security/2013/dsa-2649.wml 2013-10-30 10:48:43.080784254 +0100 +++ russian/security/2013/dsa-2649.wml 2014-01-08 15:05:53.409909524 +0100 @@ -1,27 +1,29 @@ -<define-tag description>fixed socket name in world-writable directory</define-tag> +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +<define-tag description>фиксированное имя сокета в каталоге с правом на запись любым пользователем</define-tag> <define-tag moreinfo> -<p>Stefan Bühler discovered that the Debian specific configuration file for -lighttpd webserver FastCGI PHP support used a fixed socket name in the -world-writable /tmp directory. A symlink attack or a race condition could be -exploited by a malicious user on the same machine to take over the PHP control -socket and for example force the webserver to use a different PHP version.</p> - -<p>As the fix is in a configuration file lying in /etc, the update won't be -enforced if the file has been modified by the administrator. In that case, care -should be taken to manually apply the fix.</p> - -<p>For the stable distribution (squeeze), this problem has been fixed in -version 1.4.28-2+squeeze1.3.</p> +<p>Штефан Бюлер обнаружил, что специфичный для Debian файл настройки для +поддержки FastCGI PHP в веб-сервере lighttpd использует фиксированное имя сокета в +каталоге /tmp с правом на запись любым пользователем. Пользователь с этой же машины может +использовать атаку по символической ссылке или состояние гонки для получения контроля над сокетом PHP +и может, например, заставить веб-сервер использовать другую версию PHP.</p> + +<p>Поскольку исправление содержится в файле настройки, находящемся в /etc, данное обновление не +будет применяться в том случае, если данный файл был изменён администратором. В этом случае вам +следует позаботиться об исправлении ошибки самостоятельно.</p> + +<p>В стабильном выпуске (squeeze) эта проблема была исправлена в +версии 1.4.28-2+squeeze1.3.</p> -<p>For the testing distribution (wheezy), this problem has been fixed in -version 1.4.31-4.</p> +<p>В тестируемом выпуске (wheezy) эта проблема была исправлена в +версии 1.4.31-4.</p> -<p>For the unstable distribution (sid), this problem has been fixed in -version 1.4.31-4.</p> +<p>В нестабильном выпуске (sid) эта проблема была исправлена в +версии 1.4.31-4.</p> -<p>We recommend that you upgrade your lighttpd packages.</p> +<p>Рекомендуется обновить пакеты lighttpd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2649.data" # $Id: dsa-2649.wml,v 1.1 2013/03/16 02:02:16 taffit Exp $ +