Re: [DONE] wml://security/2015/dla-26{6,3}.wml
23.05.2016 06:14, Vladimir Zhbanov пишет: > On Wed, May 04, 2016 at 12:02:46PM +0500, Lev Lamberov wrote: >> +несколько гигобайт данных. Эта проблема представляет собой тонкую грань >> между неправильным использованием API и ошибкой > гиг_а_байт > >> +Михал Залевски сообщил о чтении за пределами выделенного буфера памяти в >> libxml2, которые >> +не приводит к аварийным остановкам, но может быть определён ASAN и >> Valgrind. > о чтении ... котор_о_е не приводит... но может быть определ_ено_ > ну и наверно "программами" или "с помощью ASAN и Valgrind" Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: [DONE] wml://security/2015/dla-26{6,3}.wml
On Wed, May 04, 2016 at 12:02:46PM +0500, Lev Lamberov wrote: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA512 > > - --- english/security/2015/dla-263.wml 2016-04-08 01:24:54.0 > +0500 > +++ russian/security/2015/dla-263.wml 2016-05-04 12:02:27.804238970 +0500 > @@ -1,31 +1,32 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -Two vulnerabilities were identified in the Ruby language interpreter, > - -version 1.9.1. > +В интерпретаторе языка Ruby версии 1.9.1 было обнаружено > +две уязвимости. > > > > href="https://security-tracker.debian.org/tracker/CVE-2012-5371;>CVE-2012-5371 > > - -Jean-Philippe Aumasson identified that Ruby computed hash values > - -without properly restricting the ability to trigger hash collisions > - -predictably, allowing context-dependent attackers to cause a denial > - -of service (CPU consumption). This is a different vulnerability than > +Жан=Филипп Омассон определил, что Ruby вычисляет хеш-значения без > +соответствующего ограничения возможности предсказать столкновения > +хешей, что позволяет злоумышленникам в зависимости от контекста вызывать > отказ > +в обслуживании (чрезмерное потребление ресурсов ЦП). Это уязвимость > отличается от > href="https://security-tracker.debian.org/tracker/CVE-2011-4815;>CVE-2011-4815. > > href="https://security-tracker.debian.org/tracker/CVE-2013-0269;>CVE-2013-0269 > > - -Thomas Hollstegge and Ben Murphy found that the JSON gem for Ruby > - -allowed remote attackers to cause a denial of service (resource > - -consumption) or bypass the mass assignment protection mechanism via > - -a crafted JSON document that triggers the creation of arbitrary Ruby > - -symbols or certain internal objects./li> > +Томас Холлстеге и Бен Мёрфи обнаружили, что модуль JSON для Ruby > +позволяет удалённым злоумышленникам вызывать отказ в обслуживании > (чрезмерное потребление > +ресурсов) или обходить механизм защиты массовых назначений с помощью > +специально сформированного документа JSON, приводящего к созданию > произвольных символов > +Ruby или определённых внутренних объектов./li> > > > > - -For the squeeze distribution, theses vulnerabilities have been fixed in > - -version 1.9.2.0-2+deb6u5 of ruby1.9.1. We recommend that you upgrade > - -your ruby1.9.1 package. > +В выпуске squeeze эти уязвимости были исправлены в > +версии 1.9.2.0-2+deb6u5 пакета ruby1.9.1. Рекомендуется обновить > +пакет ruby1.9.1. > > > # do not modify the following line > - --- english/security/2015/dla-266.wml 2016-04-07 03:10:35.0 > +0500 > +++ russian/security/2015/dla-266.wml 2016-05-04 11:57:51.832786253 +0500 > @@ -1,31 +1,32 @@ > - -LTS security update > +#use wml::debian::translation-check translation="1.1" maintainer="Lev > Lamberov" > +обновление безопасности LTS > > - -This upload to Debian squeeze-lts fixes three issues found in the > libxml2 > - -package. > +Данная загрузка в Debian squeeze-lts исправляет три проблемы, > обнаруженные в пакете > +libxml2. > > (1) href="https://security-tracker.debian.org/tracker/CVE-2015-1819;>CVE-2015-1819 > / #782782 > > - -Florian Weimer from Red Hat reported an issue against libxml2, where a > - -parser which uses libxml2 chokes on a crafted XML document, allocating > - -gigabytes of data. This is a fine line issue between API misuse and a bug > - -in libxml2. This issue got addressed in libxml2 upstream and the patch > - -has been backported to libxml2 in squeeze-lts. > +Флориан Ваймер из Red Hat сообщил о проблеме в libxml2, при которой код > +для выполнения грамматического разбора, использующий фильтры libxml2 для > работы со специально сформированным документом XML, выделяет > +несколько гигобайт данных. Эта проблема представляет собой тонкую грань > между неправильным использованием API и ошибкой гиг_а_байт > +в libxml2. Проблема решена в основной ветке разработки libxml2, заплата > +была адаптирована для libxml2 в squeeze-lts. > > (2) #782985 > > - -Jun Kokatsu reported an out-of-bounds memory access in libxml2. By > - -entering an unclosed html comment the libxml2 parser didn't stop parsing > - -at the end of the buffer, causing random memory to be included in the > - -parsed comment that was returned to the evoking application. > - - > - -In the Shopify application (where this issue was originally discovered), > - -this caused ruby objects from previous http requests to be disclosed in > - -the rendered page. > +Джун Кокатсу сообщил о доступе за пределами выделенного буфера памяти в > libxml2. Получая > +незакрытый комментарий html, код грамматического разбора libxml2 не > останавливается > +в конце буфера, что приводит к доступу к случайному региону памяти, > содержимое которого > +включается в комментарий, передаваемый приложению. > + > +В приложении Shopify (в
[DONE] wml://security/2015/dla-26{6,3}.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/security/2015/dla-263.wml 2016-04-08 01:24:54.0 +0500 +++ russian/security/2015/dla-263.wml 2016-05-04 12:02:27.804238970 +0500 @@ -1,31 +1,32 @@ - -LTS security update +#use wml::debian::translation-check translation="1.2" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -Two vulnerabilities were identified in the Ruby language interpreter, - -version 1.9.1. +РинÑеÑпÑеÑаÑоÑе ÑзÑка Ruby веÑÑии 1.9.1 бÑло обнаÑÑжено +две ÑÑзвимоÑÑи. https://security-tracker.debian.org/tracker/CVE-2012-5371;>CVE-2012-5371 - -Jean-Philippe Aumasson identified that Ruby computed hash values - -without properly restricting the ability to trigger hash collisions - -predictably, allowing context-dependent attackers to cause a denial - -of service (CPU consumption). This is a different vulnerability than +Ðан=Филипп ÐмаÑÑон опÑеделил, ÑÑо Ruby вÑÑиÑлÑÐµÑ Ñ ÐµÑ-знаÑÐµÐ½Ð¸Ñ Ð±ÐµÐ· +ÑооÑвеÑÑÑвÑÑÑего огÑаниÑÐµÐ½Ð¸Ñ Ð²Ð¾Ð·Ð¼Ð¾Ð¶Ð½Ð¾ÑÑи пÑедÑказаÑÑ ÑÑÐ¾Ð»ÐºÐ½Ð¾Ð²ÐµÐ½Ð¸Ñ +Ñ ÐµÑей, ÑÑо позволÑÐµÑ Ð·Ð»Ð¾ÑмÑÑленникам в завиÑимоÑÑи Ð¾Ñ ÐºÐ¾Ð½ÑекÑÑа вÑзÑваÑÑ Ð¾Ñказ +в обÑлÑживании (ÑÑезмеÑное поÑÑебление ÑеÑÑÑÑов ЦÐ). ÐÑо ÑÑзвимоÑÑÑ Ð¾ÑлиÑаеÑÑÑ Ð¾Ñ https://security-tracker.debian.org/tracker/CVE-2011-4815;>CVE-2011-4815. https://security-tracker.debian.org/tracker/CVE-2013-0269;>CVE-2013-0269 - -Thomas Hollstegge and Ben Murphy found that the JSON gem for Ruby - -allowed remote attackers to cause a denial of service (resource - -consumption) or bypass the mass assignment protection mechanism via - -a crafted JSON document that triggers the creation of arbitrary Ruby - -symbols or certain internal objects./li> +Ð¢Ð¾Ð¼Ð°Ñ Ð¥Ð¾Ð»Ð»ÑÑеге и Ðен ÐÑÑÑи обнаÑÑжили, ÑÑо модÑÐ»Ñ JSON Ð´Ð»Ñ Ruby +позволÑÐµÑ ÑдалÑннÑм злоÑмÑÑленникам вÑзÑваÑÑ Ð¾Ñказ в обÑлÑживании (ÑÑезмеÑное поÑÑебление +ÑеÑÑÑÑов) или Ð¾Ð±Ñ Ð¾Ð´Ð¸ÑÑ Ð¼ÐµÑ Ð°Ð½Ð¸Ð·Ð¼ заÑиÑÑ Ð¼Ð°ÑÑовÑÑ Ð½Ð°Ð·Ð½Ð°Ñений Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ +ÑпеÑиалÑно ÑÑоÑмиÑованного докÑменÑа JSON, пÑиводÑÑего к ÑÐ¾Ð·Ð´Ð°Ð½Ð¸Ñ Ð¿ÑоизволÑнÑÑ Ñимволов +Ruby или опÑеделÑннÑÑ Ð²Ð½ÑÑÑÐµÐ½Ð½Ð¸Ñ Ð¾Ð±ÑекÑов./li> - -For the squeeze distribution, theses vulnerabilities have been fixed in - -version 1.9.2.0-2+deb6u5 of ruby1.9.1. We recommend that you upgrade - -your ruby1.9.1 package. +РвÑпÑÑке squeeze ÑÑи ÑÑзвимоÑÑи бÑли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ Ð² +веÑÑии 1.9.2.0-2+deb6u5 пакеÑа ruby1.9.1. РекомендÑеÑÑÑ Ð¾Ð±Ð½Ð¾Ð²Ð¸ÑÑ +Ð¿Ð°ÐºÐµÑ ruby1.9.1. # do not modify the following line - --- english/security/2015/dla-266.wml 2016-04-07 03:10:35.0 +0500 +++ russian/security/2015/dla-266.wml 2016-05-04 11:57:51.832786253 +0500 @@ -1,31 +1,32 @@ - -LTS security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи LTS - -This upload to Debian squeeze-lts fixes three issues found in the libxml2 - -package. +ÐÐ°Ð½Ð½Ð°Ñ Ð·Ð°Ð³ÑÑзка в Debian squeeze-lts иÑпÑавлÑÐµÑ ÑÑи пÑоблемÑ, обнаÑÑженнÑе в пакеÑе +libxml2. (1) https://security-tracker.debian.org/tracker/CVE-2015-1819;>CVE-2015-1819 / #782782 - -Florian Weimer from Red Hat reported an issue against libxml2, where a - -parser which uses libxml2 chokes on a crafted XML document, allocating - -gigabytes of data. This is a fine line issue between API misuse and a bug - -in libxml2. This issue got addressed in libxml2 upstream and the patch - -has been backported to libxml2 in squeeze-lts. +ФлоÑиан ÐÐ°Ð¹Ð¼ÐµÑ Ð¸Ð· Red Hat ÑообÑил о пÑоблеме в libxml2, пÑи коÑоÑой код +Ð´Ð»Ñ Ð²ÑÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ Ð³ÑаммаÑиÑеÑкого ÑазбоÑа, иÑполÑзÑÑÑий ÑилÑÑÑÑ libxml2 Ð´Ð»Ñ ÑабоÑÑ Ñо ÑпеÑиалÑно ÑÑоÑмиÑованнÑм докÑменÑом XML, вÑделÑÐµÑ +неÑколÑко Ð³Ð¸Ð³Ð¾Ð±Ð°Ð¹Ñ Ð´Ð°Ð½Ð½ÑÑ . ÐÑа пÑоблема пÑедÑÑавлÑÐµÑ Ñобой ÑонкÑÑ Ð³ÑÐ°Ð½Ñ Ð¼ÐµÐ¶Ð´Ñ Ð½ÐµÐ¿ÑавилÑнÑм иÑполÑзованием API и оÑибкой +в libxml2. ÐÑоблема ÑеÑена в оÑновной веÑке ÑазÑабоÑки libxml2, заплаÑа +бÑла адапÑиÑована Ð´Ð»Ñ libxml2 в squeeze-lts. (2) #782985 - -Jun Kokatsu reported an out-of-bounds