-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 - --- ../../english/security/2021/dsa-4881.wml 2021-03-31 20:32:04.020588751 +0500 +++ 2021/dsa-4881.wml 2021-03-31 20:45:35.613853500 +0500 @@ -1,72 +1,71 @@ - -<define-tag description>security update</define-tag> +#use wml::debian::translation-check translation="3b4dcf387c0ea55ca4f93024979c9557c89c0393" mindelta="1" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности</define-tag> <define-tag moreinfo> - -<p>Multiple vulnerabilities were discovered in cURL, an URL transfer library:</p> +<p>В cURL, библиотека передачи URL, были обнаружены многочисленные уязвимости:</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8169">CVE-2020-8169</a> - - <p>Marek Szlagor reported that libcurl could be tricked into prepending - - a part of the password to the host name before it resolves it, - - potentially leaking the partial password over the network and to the - - DNS server(s).</p></li> + <p>Марек Шлягор сообщил, что libcurl может добавлять часть пароля + к имени узла до разрешения имени, что потенциально приводит к + утечке части пароля по сети и DNS-серверам.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8177">CVE-2020-8177</a> - - <p>sn reported that curl could be tricked by a malicious server into - - overwriting a local file when using the -J (--remote-header-name) and - - -i (--include) options in the same command line.</p></li> + <p>sn сообщил, что curl из-за вредоносного сервера может перезаписать + локальный файл, если в команде одновременно используются опции -J (--remote-header-name) + и -i (--include).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8231">CVE-2020-8231</a> - - <p>Marc Aldorasi reported that libcurl might use the wrong connection - - when an application using libcurl's multi API sets the option - - CURLOPT_CONNECT_ONLY, which could lead to information leaks.</p></li> + <p>Марк Алдораси сообщил, что libcurl может использовать неверное соединение, + когда приложение, использующее множественные API libcurl, устанавливает + опцию CURLOPT_CONNECT_ONLY, что приводит к утечкам информации.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8284">CVE-2020-8284</a> - - <p>Varnavas Papaioannou reported that a malicious server could use the - - PASV response to trick curl into connecting back to an arbitrary IP - - address and port, potentially making curl extract information about - - services that are otherwise private and not disclosed.</p></li> + <p>Варнавас Папаиоанноу сообщил, что вредоносный сервер может использовать + PASV-ответ для того, чтобы заставить curl подключиться к произвольному IP-адресу + и порту, что может приводить к тому, что curl раскрывает информацию о + службах, которые в обратном случае являются частными и не раскрываются.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8285">CVE-2020-8285</a> - - <p>xnynx reported that libcurl could run out of stack space when using - - tha FTP wildcard matching functionality (CURLOPT_CHUNK_BGN_FUNCTION).</p></li> + <p>xnynx сообщил, что у libcurl может закончится место для стека, когда используется + функционал сопоставления по шаблону FTP (CURLOPT_CHUNK_BGN_FUNCTION).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8286">CVE-2020-8286</a> - - <p>It was reported that libcurl didn't verify that an OCSP response - - actually matches the certificate it is intended to.</p></li> + <p>Было сообщено, что libcurl не проверяет, что OCSP-ответ + действительно совпадает с сертификатом, с которым он должен совпадать.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-22876">CVE-2021-22876</a> - - <p>Viktor Szakats reported that libcurl does not strip off user - - credentials from the URL when automatically populating the Referer - - HTTP request header field in outgoing HTTP requests.</p></li> + <p>Виктор Шакац сообщил, что libcurl не удаляет данные учётной записи пользователя + из URL, когда автоматически заполняет заголовок HTTP-запроса Referer + в исходящих HTTP-запросах.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-22890">CVE-2021-22890</a> - - <p>Mingtao Yang reported that, when using an HTTPS proxy and TLS 1.3, - - libcurl could confuse session tickets arriving from the HTTPS proxy - - as if they arrived from the remote server instead. This could allow - - an HTTPS proxy to trick libcurl into using the wrong session ticket - - for the host and thereby circumvent the server TLS certificate check.</p></li> + <p>Минтао Ян сообщил, что при использовании HTTPS-прокси и TLS 1.3 + libcurl может спутать билеты сессий, поступающие от HTTPS-прокси, с билетами, + полученными от удалённого сервера. Это может позволить HTTPS-прокси + заставить libcurl использовать неправильный билет сессии для этого узла и + тем самым обойти проверку TLS-сертификата сервера.</p></li> </ul> - -<p>For the stable distribution (buster), these problems have been fixed in - -version 7.64.0-4+deb10u2.</p> +<p>В стабильном выпуске (buster) эти проблемы были исправлены в +версии 7.64.0-4+deb10u2.</p> - -<p>We recommend that you upgrade your curl packages.</p> +<p>Рекомендуется обновить пакеты curl.</p> - -<p>For the detailed security status of curl please refer to - -its security tracker page at: +<p>С подробным статусом поддержки безопасности curl можно ознакомиться на +соответствующей странице отслеживания безопасности по адресу <a href="https://security-tracker.debian.org/tracker/curl">\ https://security-tracker.debian.org/tracker/curl</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2021/dsa-4881.data" - -# $Id: $ -----BEGIN PGP SIGNATURE-----
iQIzBAEBCgAdFiEE3mumcdV9mwCc9oZQXudu4gIW0qUFAmBkmT4ACgkQXudu4gIW 0qWUdw//VOlpi4FYLNuO2GfHjRis4figpUnMlml2aAkJrZUz+cv1LOZsKsWy4co0 RiOuYXxdf4/t8vhyXK1F4u3JQ2XWYRCf1f0XU18vN2oZAasUv3UrtQXsWkWXwKEL yyPQD6fNeeGxwdWrLUUGZ5lgDaNvSphXqgYf3ZYHVwXn5MEPnu1jpGtHjSRXXZgd QEdIF2Hs1ibO40S6169JDY/yIKn+w5TTm5Gq4fzN7uJ7Y8VywAY1a+DnIODkosHt qqN+8XlfUzrQLeuzwV6fBdpL24dNoiZaNH2H8gp3jkS+OqBiYREKiVtdtQUsObg8 tdXkbyWMRpfxq1RrhAHJIwN+ND4O1+TGcEVXT7fwzIACPMDFzvSf0MAEbjQmhIFA 9J9LahljGi8zdqFFFvTLAtgG+rpzO3SzCsNqRacU3yByUYYM25EQGL79eV9srAkQ N7Bnr6XLYBEzt/GfHoAlBge1rS87O8ggrhWpreNK+n3v7qI/wcnoQvveJSI2LuSr 3Y0vK5TzaEfjh0Cm8z3AlBGxpK7wn6XShxWnMnQStXLkzRMLozyBsS7vKwulTadf LchcdblkCg8oT2WdYwEK/DClFMmP0wTlTPpvUnAwxJ46ih0RdDCao0C7lnilFCy4 P5jGdrl8R0c6hHrH9BR4kr+kxvOBg18+GHMvQpwReSP0mBaRx14= =kkRo -----END PGP SIGNATURE-----