On 16-10-07 00:29, Lev Lamberov wrote: > - --- english/security/2016/dsa-3687.wml 2016-10-06 10:05:02.000000000 > +0500 > +++ russian/security/2016/dsa-3687.wml 2016-10-07 00:17:08.390886251 > +0500 > @@ -1,35 +1,36 @@
> - -<p>The second issue concerns environment variable processing in NSPR. > - -The library did not ignore environment variables used to configuring > - -logging and tracing in processes which underwent a SUID/SGID/AT_SECURE > - -transition at process start. In certain system configurations, this > - -allowed local users to escalate their privileges.</p> > - - > - -<p>In addition, this nspr update contains further stability and > - -correctness fixes and contains support code for an upcoming nss > - -update.</p> > +<p>Вторая проблема касается обработки в NSPR переменных окружения. > +Библиотека не игнорирует переменные окружения, используемые для настройки > +журналирования и трассировки в процессах, выполняют переход > SUID/SGID/AT_SECURE процессах, КОТОРЫЕ выполняют > +во время запуска процесса. При определённых настройках системы это > +позволяет локальным пользователям повышать привилегии.</p> позволяЛО > - --- english/security/2016/dsa-3688.wml 2016-10-06 10:05:46.000000000 > +0500 > +++ russian/security/2016/dsa-3688.wml 2016-10-07 00:29:22.884788209 > +0500 > @@ -1,73 +1,74 @@ > <li><a > href="https://security-tracker.debian.org/tracker/CVE-2015-7575">CVE-2015-7575</a> > > - - <p>Karthikeyan Bhargavan discovered that TLS client implementation > - - accepted MD5-based signatures for TLS 1.2 connections with forward > - - secrecy, weakening the intended security strength of TLS > - - connections.</p></li> > + <p>Картикеян Бхаргаван обнаружил, что реализация в TLS-клиенте > + принятия подписей на основе MD5 для соединений TLS 1.2 с прямой > + секретностью, ослабляет предполагаемую стойкость соединений секретностью ослабляет > + TLS.</p></li> > > <li><a > href="https://security-tracker.debian.org/tracker/CVE-2016-1938">CVE-2016-1938</a> > > - - <p>Hanno Boeck discovered that NSS miscomputed the result of integer > - - division for certain inputs. This could weaken the cryptographic > - - protections provided by NSS. However, NSS implements RSA-CRT leak > - - hardening, so RSA private keys are not directly disclosed by this > - - issue.</p></li> > + <p>Ханно Бёк обнаружил, что NSS неправильно вычисляет результат деления > + целых чисел при получении определённых входных данных. Это может > ослабить криптографическую > + защиту, предоставляемую NSS. Тем не менее, NSS реализуем защиту от > утечек реализуеТ > + RSA-CRT, поэтому закрытые RSA-ключи из-за этой проблемы не > + раскрываются.</p></li> > - -<p>In addition, the NSS library did not ignore environment variables in > - -processes which underwent a SUID/SGID/AT_SECURE transition at process > - -start. In certain system configurations, this allowed local users to > - -escalate their privileges.</p> > +<p>Кроме того, библиотека NSS не игнорирует переменные окружения в > +процессах, выполняют переход SUID/SGID/AT_SECURE процессах, КОТОРЫЕ выполняют > +во время запуска процесса. При определённых настройках системы это > +позволяет локальным пользователям повышать привилегии.</p> > > - -<p>This update contains further correctness and stability fixes without > - -immediate security impact.</p></li> > +<p>Данное обновление содержит дополнительные исправления корректности и > стабильности, > +которые не имеют непосредственного влияния на безопасности.</p></li> безопасностЬ Исправил. -- Best regards, Andrey Skvortsov
signature.asc
Description: PGP signature