On Wed, May 04, 2016 at 12:02:46PM +0500, Lev Lamberov wrote:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA512
>
> - --- english/security/2015/dla-263.wml 2016-04-08 01:24:54.0
> +0500
> +++ russian/security/2015/dla-263.wml 2016-05-04 12:02:27.804238970 +0500
> @@ -1,31 +1,32 @@
> - -LTS security update
> +#use wml::debian::translation-check translation="1.2" maintainer="Lev
> Lamberov"
> +обновление безопасности LTS
>
> - -Two vulnerabilities were identified in the Ruby language interpreter,
> - -version 1.9.1.
> +В интерпретаторе языка Ruby версии 1.9.1 было обнаружено
> +две уязвимости.
>
>
>
> href="https://security-tracker.debian.org/tracker/CVE-2012-5371";>CVE-2012-5371
>
> - -Jean-Philippe Aumasson identified that Ruby computed hash values
> - -without properly restricting the ability to trigger hash collisions
> - -predictably, allowing context-dependent attackers to cause a denial
> - -of service (CPU consumption). This is a different vulnerability than
> +Жан=Филипп Омассон определил, что Ruby вычисляет хеш-значения без
> +соответствующего ограничения возможности предсказать столкновения
> +хешей, что позволяет злоумышленникам в зависимости от контекста вызывать
> отказ
> +в обслуживании (чрезмерное потребление ресурсов ЦП). Это уязвимость
> отличается от
> href="https://security-tracker.debian.org/tracker/CVE-2011-4815";>CVE-2011-4815.
>
> href="https://security-tracker.debian.org/tracker/CVE-2013-0269";>CVE-2013-0269
>
> - -Thomas Hollstegge and Ben Murphy found that the JSON gem for Ruby
> - -allowed remote attackers to cause a denial of service (resource
> - -consumption) or bypass the mass assignment protection mechanism via
> - -a crafted JSON document that triggers the creation of arbitrary Ruby
> - -symbols or certain internal objects./li>
> +Томас Холлстеге и Бен Мёрфи обнаружили, что модуль JSON для Ruby
> +позволяет удалённым злоумышленникам вызывать отказ в обслуживании
> (чрезмерное потребление
> +ресурсов) или обходить механизм защиты массовых назначений с помощью
> +специально сформированного документа JSON, приводящего к созданию
> произвольных символов
> +Ruby или определённых внутренних объектов./li>
>
>
>
> - -For the squeeze distribution, theses vulnerabilities have been fixed in
> - -version 1.9.2.0-2+deb6u5 of ruby1.9.1. We recommend that you upgrade
> - -your ruby1.9.1 package.
> +В выпуске squeeze эти уязвимости были исправлены в
> +версии 1.9.2.0-2+deb6u5 пакета ruby1.9.1. Рекомендуется обновить
> +пакет ruby1.9.1.
>
>
> # do not modify the following line
> - --- english/security/2015/dla-266.wml 2016-04-07 03:10:35.0
> +0500
> +++ russian/security/2015/dla-266.wml 2016-05-04 11:57:51.832786253 +0500
> @@ -1,31 +1,32 @@
> - -LTS security update
> +#use wml::debian::translation-check translation="1.1" maintainer="Lev
> Lamberov"
> +обновление безопасности LTS
>
> - -This upload to Debian squeeze-lts fixes three issues found in the
> libxml2
> - -package.
> +Данная загрузка в Debian squeeze-lts исправляет три проблемы,
> обнаруженные в пакете
> +libxml2.
>
> (1) href="https://security-tracker.debian.org/tracker/CVE-2015-1819";>CVE-2015-1819
> / #782782
>
> - -Florian Weimer from Red Hat reported an issue against libxml2, where a
> - -parser which uses libxml2 chokes on a crafted XML document, allocating
> - -gigabytes of data. This is a fine line issue between API misuse and a bug
> - -in libxml2. This issue got addressed in libxml2 upstream and the patch
> - -has been backported to libxml2 in squeeze-lts.
> +Флориан Ваймер из Red Hat сообщил о проблеме в libxml2, при которой код
> +для выполнения грамматического разбора, использующий фильтры libxml2 для
> работы со специально сформированным документом XML, выделяет
> +несколько гигобайт данных. Эта проблема представляет собой тонкую грань
> между неправильным использованием API и ошибкой
гиг_а_байт
> +в libxml2. Проблема решена в основной ветке разработки libxml2, заплата
> +была адаптирована для libxml2 в squeeze-lts.
>
> (2) #782985
>
> - -Jun Kokatsu reported an out-of-bounds memory access in libxml2. By
> - -entering an unclosed html comment the libxml2 parser didn't stop parsing
> - -at the end of the buffer, causing random memory to be included in the
> - -parsed comment that was returned to the evoking application.
> - -
> - -In the Shopify application (where this issue was originally discovered),
> - -this caused ruby objects from previous http requests to be disclosed in
> - -the rendered page.
> +Джун Кокатсу сообщил о доступе за пределами выделенного буфера памяти в
> libxml2. Получая
> +незакрытый комментарий html, код грамматического разбора libxml2 не
> останавливается
> +в конце буфера, что приводит к доступу к случайному региону памяти,
> содержимое которого
> +включается в комментарий, передаваемый приложению.
> +
> +В приложении Shopify