[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[DONE] wml://security/2014/dsa-284{2,3}.wml

Cheers!
Lev Lamberov
--- english/security/2014/dsa-2842.wml	2014-01-13 21:50:30.000000000 +0100
+++ russian/security/2014/dsa-2842.wml	2014-01-13 23:48:30.926253080 +0100
@@ -1,12 +1,13 @@
-<define-tag description>denial of service</define-tag>
+#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov"
+<define-tag description>отказ в обслуживании</define-tag>
 <define-tag moreinfo>
-<p>Alvaro Munoz discovered a XML External Entity (XXE) injection in the
-Spring Framework which can be used for conducting CSRF and DoS attacks
-on other sites.</p>
-
-<p>The Spring OXM wrapper did not expose any property for disabling entity
-resolution when using the JAXB unmarshaller. There are four possible
-source implementations passed to the unmarshaller:</p>
+<p>Альваро Мунос обнаружил инъекцию внешней сущности XML (XXE) в
+Spring Framework, которая может использоваться для осуществления CSRF-атак и DoS-атак
+на другие сайты.</p>
+
+<p>Обёртка Spring OXM не раскрывает свойства для отключения разрешения сущности при
+использовании демаршалера JAXB. Имеется четыре возможных реализации
+источников, передаваемых демаршалеру:</p>
 
 <ul>
 <li>DOMSource</li>
@@ -15,36 +16,37 @@
 <li>StreamSource</li>
 </ul>
 
-<p>For a DOMSource, the XML has already been parsed by user code
-and that code is responsible for protecting against XXE.</p>
+<p>В DOMSource данные XML уже грамматически разобраны пользовательским кодом,
+и этот код ответственен за защиту от XXE.</p>
 
-<p>For a StAXSource, the XMLStreamReader has already been created
-by user code and that code is responsible for protecting
-against XXE.</p>
-
-<p>For SAXSource and StreamSource instances, Spring processed
-external entities by default thereby creating this
-vulnerability.</p>
-
-<p>The issue was resolved by disabling external entity processing
-by default and adding an option to enable it for those users
-that need to use this feature when processing XML from a
-trusted source.</p>
-
-<p>It was also identified that Spring MVC processed user provided
-XML with JAXB in combination with a StAX XMLInputFactory
-without disabling external entity resolution. External entity
-resolution has been disabled in this case.</p>
+<p>В StAXSource XMLStreamReader уже был создан
+пользовательским кодом, и этот код ответственен за защиту
+от XXE.</p>
+
+<p>В случае SAXSource и StreamSource Spring обрабатывает
+внешние сущности по умолчанию, что, таким образом, создаёт
+данную уязвимость.</p>
+
+<p>Проблема была решена путём отключения обработки внешних сущностей по умолчанию и
+добавления опции по её включению для тех пользователей, которым
+нужно её использовать при обработке XML из
+доверенного источника.</p>
+
+<p>Также было обнаружено, что Spring MVC обрабатывает предоставленный пользователем
+XML с JAXB вместе с StAX XMLInputFactory
+без отключения разрешения внешних сущностей. Разрешение внешних сущностей
+в этом случае было отключено.</p>
 
-<p>For the stable distribution (wheezy), this problem has been fixed in
-version 3.0.6.RELEASE-6+deb7u1.</p>
+<p>В стабильном выпуске (wheezy) эта проблема была исправлена в
+версии 3.0.6.RELEASE-6+deb7u1.</p>
 
-<p>For the unstable distribution (sid), this problem has been fixed in
-version 3.0.6.RELEASE-10.</p>
+<p>В нестабильном выпуске (sid) эта проблема была исправлена в
+версии 3.0.6.RELEASE-10.</p>
 
-<p>We recommend that you upgrade your libspring-java packages.</p>
+<p>Рекомендуется обновить пакеты libspring-java.</p>
 </define-tag>
 
 # do not modify the following line
 #include "$(ENGLISHDIR)/security/2014/dsa-2842.data"
 # $Id: dsa-2842.wml,v 1.1 2014/01/13 20:50:30 kaare Exp $
+

--- english/security/2014/dsa-2843.wml	2014-01-13 22:52:57.000000000 +0100
+++ russian/security/2014/dsa-2843.wml	2014-01-13 23:56:31.606269882 +0100
@@ -1,44 +1,46 @@
-<define-tag description>buffer overflow</define-tag>
+#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov"
+<define-tag description>переполнение буфера</define-tag>
 <define-tag moreinfo>
-<p>Two buffer overflow vulnerabilities were reported in Graphviz, a rich
-collection of graph drawing tools. The Common Vulnerabilities and
-Exposures project identifies the following issues:</p>
+<p>Было сообщено о двух переполнениях буфера в Graphviz, богатом
+наборе инструментов рисования. Проект Common Vulnerabilities and
+Exposures определяет следующие проблемы:</p>
 
 <ul>
 
 <li><a href="http://security-tracker.debian.org/tracker/CVE-2014-0978";>CVE-2014-0978</a>
 
-    <p>It was discovered that user-supplied input used in the yyerror()
-    function in lib/cgraph/scan.l is not bound-checked before beeing
-    copied into an insufficiently sized memory buffer. A
-    context-dependent attacker could supply a specially crafted input
-    file containing a long line to cause a stack-based buffer overlow,
-    resulting in a denial of service (application crash) or potentially
-    allowing the execution of arbitrary code.</p></li>
+    <p>Было обнаружено, что переданный пользователем ввод, используемый в функции yyerror()
+    в lib/cgraph/scan.l, не проверяется на предмет нарушения предельного размера до его копирования
+    в буфер памяти недостаточного объема. Атакующий
+    может передать специально сформированный вводный файл, содержащий
+    длинную строку, чтобы вызвать переполнение динамической памяти,
+    приводящей к отказу в обслуживании (аварийное завершение приложения) или потенциальному
+    выполнению произвольного кода.</p></li>
 
 <li><a href="http://security-tracker.debian.org/tracker/CVE-2014-1236";>CVE-2014-1236</a>
 
-    <p>Sebastian Krahmer reported an overflow condition in the chkNum()
-    function in lib/cgraph/scan.l that is triggered as the used regular
-    expression accepts an arbitrary long digit list. With a specially
-    crafted input file, a context-dependent attacker can cause a
-    stack-based buffer overflow, resulting in a denial of service
-    (application crash) or potentially allowing the execution of
-    arbitrary code.</p></li>
+    <p>Себастиан Крамер сообщил о состоянии переполнения в функции chkNum()
+    в lib/cgraph/scan.l, которое возникает когда используемое регулярное
+    выражение принимает произвольно длинный список чисел. При помощи специально
+    сформированного вводного файла атакующий может вызвать
+    переполнение динамической памяти, приводящее к отказу в обслуживании
+    (аварийное завершение приложения) или потенциальному выполнению
+    произвольного кода.</p></li>
 
 </ul>
 
-<p>For the oldstable distribution (squeeze), these problems have been fixed in
-version 2.26.3-5+squeeze2.</p>
+<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в
+версии 2.26.3-5+squeeze2.</p>
 
-<p>For the stable distribution (wheezy), these problems have been fixed in
-version 2.26.3-14+deb7u1.</p>
+<p>В стабильном выпуске (wheezy) эти проблемы были исправлены в
+версии 2.26.3-14+deb7u1.</p>
 
-<p>For the unstable distribution (sid), these problems will be fixed soon.</p>
+<p>В нестабильном выпуске (sid) эти проблемы будут исправлены позже.</p>
 
-<p>We recommend that you upgrade your graphviz packages.</p>
+<p>Рекомендуется обновить пакеты graphviz.</p>
 </define-tag>
 
 # do not modify the following line
 #include "$(ENGLISHDIR)/security/2014/dsa-2843.data"
 # $Id: dsa-2843.wml,v 1.1 2014/01/13 21:52:57 carnil Exp $
+
Reply to: