On Wed, May 04, 2016 at 12:02:46PM +0500, Lev Lamberov wrote: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA512 > > - --- english/security/2015/dla-263.wml 2016-04-08 01:24:54.000000000 > +0500 > +++ russian/security/2015/dla-263.wml 2016-05-04 12:02:27.804238970 +0500 > @@ -1,31 +1,32 @@ > - -<define-tag description>LTS security update</define-tag> > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +<define-tag description>обновление безопасности LTS</define-tag> > <define-tag moreinfo> > - -<p>Two vulnerabilities were identified in the Ruby language interpreter, > - -version 1.9.1.</p> > +<p>В интерпретаторе языка Ruby версии 1.9.1 было обнаружено > +две уязвимости.</p> > > <ul> > > <li><a > href="https://security-tracker.debian.org/tracker/CVE-2012-5371";>CVE-2012-5371</a> > > - - <p>Jean-Philippe Aumasson identified that Ruby computed hash values > - - without properly restricting the ability to trigger hash collisions > - - predictably, allowing context-dependent attackers to cause a denial > - - of service (CPU consumption). This is a different vulnerability than > + <p>Жан=Филипп Омассон определил, что Ruby вычисляет хеш-значения без > + соответствующего ограничения возможности предсказать столкновения > + хешей, что позволяет злоумышленникам в зависимости от контекста вызывать > отказ > + в обслуживании (чрезмерное потребление ресурсов ЦП). Это уязвимость > отличается от > <a > href="https://security-tracker.debian.org/tracker/CVE-2011-4815";>CVE-2011-4815</a>.</p></li> > > <li><a > href="https://security-tracker.debian.org/tracker/CVE-2013-0269";>CVE-2013-0269</a> > > - - <p>Thomas Hollstegge and Ben Murphy found that the JSON gem for Ruby > - - allowed remote attackers to cause a denial of service (resource > - - consumption) or bypass the mass assignment protection mechanism via > - - a crafted JSON document that triggers the creation of arbitrary Ruby > - - symbols or certain internal objects.</p>/li> > + <p>Томас Холлстеге и Бен Мёрфи обнаружили, что модуль JSON для Ruby > + позволяет удалённым злоумышленникам вызывать отказ в обслуживании > (чрезмерное потребление > + ресурсов) или обходить механизм защиты массовых назначений с помощью > + специально сформированного документа JSON, приводящего к созданию > произвольных символов > + Ruby или определённых внутренних объектов.</p>/li> > > </ul> > > - -<p>For the squeeze distribution, theses vulnerabilities have been fixed in > - -version 1.9.2.0-2+deb6u5 of ruby1.9.1. We recommend that you upgrade > - -your ruby1.9.1 package.</p> > +<p>В выпуске squeeze эти уязвимости были исправлены в > +версии 1.9.2.0-2+deb6u5 пакета ruby1.9.1. Рекомендуется обновить > +пакет ruby1.9.1.</p> > </define-tag> > > # do not modify the following line > - --- english/security/2015/dla-266.wml 2016-04-07 03:10:35.000000000 > +0500 > +++ russian/security/2015/dla-266.wml 2016-05-04 11:57:51.832786253 +0500 > @@ -1,31 +1,32 @@ > - -<define-tag description>LTS security update</define-tag> > +#use wml::debian::translation-check translation="1.1" maintainer="Lev > Lamberov" > +<define-tag description>обновление безопасности LTS</define-tag> > <define-tag moreinfo> > - -<p>This upload to Debian squeeze-lts fixes three issues found in the > libxml2 > - -package.</p> > +<p>Данная загрузка в Debian squeeze-lts исправляет три проблемы, > обнаруженные в пакете > +libxml2.</p> > > <p>(1) <a > href="https://security-tracker.debian.org/tracker/CVE-2015-1819";>CVE-2015-1819</a> > / #782782</p> > > - -<p>Florian Weimer from Red Hat reported an issue against libxml2, where a > - -parser which uses libxml2 chokes on a crafted XML document, allocating > - -gigabytes of data. This is a fine line issue between API misuse and a bug > - -in libxml2. This issue got addressed in libxml2 upstream and the patch > - -has been backported to libxml2 in squeeze-lts.</p> > +<p>Флориан Ваймер из Red Hat сообщил о проблеме в libxml2, при которой код > +для выполнения грамматического разбора, использующий фильтры libxml2 для > работы со специально сформированным документом XML, выделяет > +несколько гигобайт данных. Эта проблема представляет собой тонкую грань > между неправильным использованием API и ошибкой
гиг_а_байт > +в libxml2. Проблема решена в основной ветке разработки libxml2, заплата > +была адаптирована для libxml2 в squeeze-lts.</p> > > <p>(2) #782985</p> > > - -<p>Jun Kokatsu reported an out-of-bounds memory access in libxml2. By > - -entering an unclosed html comment the libxml2 parser didn't stop parsing > - -at the end of the buffer, causing random memory to be included in the > - -parsed comment that was returned to the evoking application.</p> > - - > - -<p>In the Shopify application (where this issue was originally discovered), > - -this caused ruby objects from previous http requests to be disclosed in > - -the rendered page.</p> > +<p>Джун Кокатсу сообщил о доступе за пределами выделенного буфера памяти в > libxml2. Получая > +незакрытый комментарий html, код грамматического разбора libxml2 не > останавливается > +в конце буфера, что приводит к доступу к случайному региону памяти, > содержимое которого > +включается в комментарий, передаваемый приложению.</p> > + > +<p>В приложении Shopify (в котором эта проблема была изначально обнаружена) > +это приводит к тому, что объекты ruby из предыдущих запросов http > раскрываются в > +отрисовываемой странице.</p> > > <p>(3) #783010</p> > > - -<p>Michal Zalewski reported another out-of-bound reads issue in libxml2 > that > - -did not cause any crashes but could be detected under ASAN and > Valgrind.</p> > +<p>Михал Залевски сообщил о чтении за пределами выделенного буфера памяти в > libxml2, которые > +не приводит к аварийным остановкам, но может быть определён ASAN и > Valgrind.</p> о чтении ... котор_о_е не приводит... но может быть определ_ено_ ну и наверно "программами" или "с помощью ASAN и Valgrind"
