-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 - --- ../../english/security/2021/dsa-5004.wml 2021-11-11 20:28:39.568942041 +0500 +++ 2021/dsa-5004.wml 2021-11-11 20:37:33.717689720 +0500 @@ -1,35 +1,36 @@ - -<define-tag description>security update</define-tag> +#use wml::debian::translation-check translation="9021424ee668597a5b8130c5d1bb387ddc66dac3" mindelta="1" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности</define-tag> <define-tag moreinfo> - -<p>Multiple security vulnerabilities have been discovered in XStream, a Java - -library to serialize objects to XML and back again.</p> +<p>В XStream, Java-библотеке для сериализации объектов в XML и обратно, +были обнаружены многочисленные уязвимости.</p> - -<p>These vulnerabilities may allow a remote attacker to load and execute arbitrary - -code from a remote host only by manipulating the processed input stream.</p> +<p>Эти уязвимости могут позволить удалённому злоумышленнику загрузить и выполнить произвольный +код с удалённого узла путём манипуляции обработанным входным потоком.</p> - -<p>XStream itself sets up a whitelist by default now, i.e. it blocks all classes - -except those types it has explicit converters for. It used to have a blacklist - -by default, i.e. it tried to block all currently known critical classes of the - -Java runtime. Main reason for the blacklist were compatibility, it allowed to - -use newer versions of XStream as drop-in replacement. However, this approach - -has failed. A growing list of security reports has proven, that a blacklist is - -inherently unsafe, apart from the fact that types of 3rd libraries were not - -even considered. A blacklist scenario should be avoided in general, because it - -provides a false sense of security.</p> - - - -<p>For the oldstable distribution (buster), these problems have been fixed - -in version 1.4.11.1-1+deb10u3.</p> +<p>Сам XStream в настоящее время устанавливает белый список. То есть, она блокирует все +классы за исключение тех, для чьих типов в библиотеке имеются преобразователи. Ранее она +использовала по умолчанию чёрный список. То есть, пыталась блокировать все известные в настоящий +момент критичные классы времени исполнения Java. Основная причина для установки чёрного +списка состояла в обеспечении совместимости, это позволяло использовать более новые версии +XStream в качестве упрощённой замены. Тем не менее этот подход не работает. +Растущий список сообщений безопасности доказывает, что чёрный список в своей основе +небезопасен, не говоря уже о том, что типы сторонних библиотек вообще даже не +учитывались. Сценарий чёрного списка в будущем следует избегать, так как он +даёт ложное чувство безопасности.</p> + +<p>В предыдущем стабильном выпуске (buster) эти проблемы были исправлены +в версии 1.4.11.1-1+deb10u3.</p> - -<p>For the stable distribution (bullseye), these problems have been fixed in - -version 1.4.15-3+deb11u1.</p> +<p>В стабильном выпуске (bullseye) эти проблемы были исправлены в +версии 1.4.15-3+deb11u1.</p> - -<p>We recommend that you upgrade your libxstream-java packages.</p> +<p>Рекомендуется обновить пакеты libxstream-java.</p> - -<p>For the detailed security status of libxstream-java please refer to - -its security tracker page at: +<p>С подробным статусом поддержки безопасности libxstream-java можно ознакомиться на +соответствующей странице отслеживания безопасности по адресу <a href="https://security-tracker.debian.org/tracker/libxstream-java">\ https://security-tracker.debian.org/tracker/libxstream-java</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2021/dsa-5004.data" - -# $Id: $ -----BEGIN PGP SIGNATURE-----
iQIzBAEBCgAdFiEE3mumcdV9mwCc9oZQXudu4gIW0qUFAmGNOZgACgkQXudu4gIW 0qU7+A/+KrxHF+eK5Pnc+IwRpP4ms+Xe1sIz1f0AuTpdqbp2NrFW0DiXS11xKdU/ qCK5kCLlKkcRYJe9GzGD9DNU1R/HZFVwxAC0jG2eVPFlc7r77CTH2B1xZGPPvz4B ZTMROj5D/NmWjj4U8mdbJ15J6JcwbaWVC+yLhTl/VA6Dv3LVA30mtI2UTq/bDNiu IfcOp4j4dFwLs+czBuOz+NeSqvwteu6FhyrY58v02+kMSMYH5IjFZWDl12rIBrGq SibMTtu9Tq0C4yUWCVZvDFVT3UzEyHlIxX+3xspsiku1mWVXdqQd+CL0sa8pkAsC IWyyM4j9A+m/cAhr4V5vxrkQ16moz73s4jIz2PE+m+N784uHq31liXVXtsxU942i kQVbG180Q4CNUmMygsEL8Bmgjn2fxgHTRzlR8iVOr7+A0eDNtcrG6h7M3S7xW/iF BLy1eyol5wxUBq/FEJlZoPlTVAxhk0HO9iTWrqToLCdWV7yzPogostSKPmFjssTx USoQSSArQpbl6JwQux4B4H7xVaySver0xWekrmK7EG2p3OBOwuVXbYpOHNZKn2t3 +Fa7oqTOtfKD4vvOtmjrvEiymWGw+RvGRw4nNCjNLzt4bMSvVRr46phA4mIZO9qy uZf01qeW/R3bLKV2URUx7041Ha6BiGomNW1YPbj4tLVL1FXj4PU= =Iq2h -----END PGP SIGNATURE-----