DSAs

16/02/2009 - 23:00 von debian | Report spam

Hallo,

hier endlich mal wieder einige DSAs. Ich habe mich mit 1721 und 1722
ziemlich schwer getan, es wà¤re gut, wenn mal jemand mit etwas mehr
technischem Verstand einen Blick drauf werfen könnte.

Es wirft sich fà¼r mich die Frage auf, ob àœbersetzungen von jemandem
wie mir, der manchmal nicht genau weiàŸ, worum es geht, à¼berhaupt
nà¼tzlich sind oder eher verwirren. Vor allem, weil ich das Gefà¼hl
habe, dass die Originale manchmal nicht so richtig prà¤zise sind. Wenn
ich dann noch nicht richtig prà¤zise àœbersà¤tze gibt es wohl hin und
wieder einen Stille-Post-Effekt.

Man könnte sich sowieso fragen, wie wichtig es ist, die DSAs à¼berhaupt
zu à¼bersetzen. Gibt es jemanden, der mit den DSAs im Prinzip etwas
anfangen kann, der aber kein English versteht? Vielleicht sollte ich
lieber die Zeit, die ich dafà¼r aufwenden kann, damit verbringen,
etwas zu à¼bersetzen, was auch der "Normalbevölkerung" nutzt.

Ich habe auch eine Anmerkung bezà¼glich copyadvisatory.pl. Es entstehen
hà¤ufiger Sà¤tze wie

"Fà¼r die Unstable-Distribution (Sid) wurden diese Probleme in Version
behoben version 4.2.6-1."

Ich habe dann immer das Gefà¼hl, dass das à„ndern dieser Sà¤tze bei mir
là¤nger dauert, als alles selber zu tippen. Das ist teilweise ein
Wortstellungsproblem, teilweise sind in der àœbersetzung aber auch
Begriffe enthalten, die im englischen Text nicht stehen (Version):

s/(?:,)?( )?these problems have been fixed in/$1wurden diese Probleme
in Version behoben/;

Wer betreut das Skript momentan? Im Skript selber ist bei 2006
Schluss: "Written in 2000-2006 by Peter Karlsson". Vielleicht könnte
man da ein oder zwei Dinge à¤ndern.

Viele Grà¼àŸe,
Volker

name="dsa-1720.wml"
filename="dsa-1720.wml"

<define-tag description>mehrere Verwundbarkeiten</define-tag>
<define-tag moreinfo>
<p>In TYPO3, einem System für die Betreuung von Web-Inhalten, wurden
mehrere entfernt auszunutzende Verwundbarkeiten entdeckt.</p>

<p>Marcus Krause und Michael Stucki vom TYPO3 Sicherheitsteam entdeckten,
dass der jumpUrl-Mechanismus geheime Streuwerte (<q>hashes</q>) enthüllt,
was es entfernten Angreifern ermöglicht, die Zugangskontrolle zu umgehen,
indem sie den korrekten Wert als URL-Parameter vorlegen. Dies ermöglicht
es, den Inhalt beliebiger Dateien zu lesen.</p>

<p>Jelmer de Hen und Dmitry Dulepov entdeckten mehrere Verwundbarkeiten
für Site-übergreifendes Skripting im Backend der Benutzerschnittstelle,
die es entfernten Angreifern erlaubt, beliebige Webskripte oder HTML-Code
einzuschleusen.</p>

<p>Da es sehr wahrscheinlich ist, dass Ihr Chiffrierschlüssel ungeschützt
war, empfehlen wir Ihnen, den Schlüssel mit Hilfe des Installationsprogrammes
zu àndern, nachdem sie das Update installiert haben.</p>

<p>Für die Stable-Distribution (Etch) wurden diese Probleme in Version
4.0.2+debian-8 behoben.</p>

<p>Für die Testing-Distribution (Lenny) wurden diese Probleme in Version
4.2.5-1+lenny1 behoben.</p>

<p>Für die Unstable-Distribution (Sid) wurden diese Probleme in Version
4.2.6-1 behoben.</p>

<p>Wir empfehlen Ihnen, Ihr typo3-Paket zu aktualisieren.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1720.data"
# $Id: dsa-1720.wml,v 1.1 2009-02-10 18:58:46 joey Exp $
#use wml::debian::translation-check translation="1.1"

name="dsa-1721.wml"
filename="dsa-1721.wml"

<define-tag description>mehrere Verwundbarkeiten</define-tag>
<define-tag moreinfo>
<p>Mehrere lokale Verwundbarkeiten wurden im PAM-Modul für MIT Kerberos
entdeckt. Das <q>Common Vulnerabilities and Exposures</q>-Projekt
identifiziert folgende Probleme:</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvenam...</a>

<p>Russ Allbery entdeckte, dass das Kerberos-PAM-Modul Konfigurationseinstellungen
aus Umgebungsvariablen verwendet, wenn es aus einem setuid-Kontext gestartet wurde.
Wenn ein Angreifer mit Hilfe der PAM-Authentifikation ein setuid-Programm
mit Kerberos-Einstellungen versieht, die es unter seine Kontrolle bringen,
kann das zu lokaler Privilegienerweiterung führen.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvenam...</a>

<p>Derek Chan entdeckte, dass das Kerberos-PAM-Modul es erlaubt,
Benutzer-Credentials zu reinitialisieren, wenn es aus einem
setuid-Kontext gestartet wurde. Das kann zu einer lokalen Privilegienerweiterung
oder lokaler Diensteverweigerung (<q>denial of service</q>) durch
Überschreiben der Credential-Cache-Datei führen.</p></li>

</ul>

<p>Für die Stable-Distribution (Etch) wurden diese Probleme in Version
2.6-1etch1 behoben.</p>

<p>Für die kommende Stable-Distribution (Lenny) wurden diese Probleme in
Version 3.11-4 behoben.</p>

<p>Für die Unstable-Distribution (Sid) werden diese Probleme bald behoben
sein.</p>

<p>Wir empfehlen Ihnen, Ihr libpam-krb5-Paket zu aktualisieren.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1721.data"
# $Id: dsa-1721.wml,v 1.1 2009-02-12 23:21:00 spaillar Exp $
#use wml::debian::translation-check translation="1.1"

name="dsa-1724.wml"
filename="dsa-1724.wml"

<define-tag description>mehrere Verwundbarkeiten</define-tag>
<define-tag moreinfo>
<p>In Moodle, einem Online-Betreuungssystem für Kurse, wurden mehrere
Verwundbarkeiten entdeckt. Das <q>Common Vulnerabilities and Exposures</q>-Projekt
identifiziert die folgenden Probleme:</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvenam...</a>

<p>Informationen, die in den <q>log tables</q> gespeichert ist, wurde
nicht angemessen bereinigt, wodurch Angreifer beliebigen Code einschleusen
konnten.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvenam...</a>

<p>Gewisse Eingaben über die Funktion "Login as" wurde nicht angemessen
bereinigt, was das Einschleusen beliebiger Webskripte erlaubte.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvenam...</a>

<p>Dmitry E. Oboukhov entdeckte, dass das SpellCheker-Plugin auf unsichere
Art und Weise Temporàrdateien erstellte, was Diensteverweigerungsangriffe
(<q>denial of service</q>) erlaubte. Das Plugin wird durch dieses
Update entfernt, da es nicht genutzt wird.</p></li>

</ul>

<p>Für die Stable-Distribution (Etch) wurden diese Probleme in Version
1.6.3-2+etch2 behoben.</p>

<p>Für die Testing-Distribution (Lenny) wurden diese Probleme in Version
1.8.2.dfsg-3+lenny1 behoben.</p>

<p>Für die Unstable-Distribution (Sid) wurden diese Probleme in Version
1.8.2.dfsg-4 behoben.</p>

<p>Wir empfehlen Ihnen, Ihr moodle-Paket zu aktualisieren.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1724.data"
# $Id: dsa-1724.wml,v 1.1 2009-02-13 20:39:45 joey Exp $
#use wml::debian::translation-check translation="1.1"

name="dsa-1725.wml"
filename="dsa-1725.wml"

<define-tag description>Programmierfehler</define-tag>
<define-tag moreinfo>
<p>Bas van Schaik entdeckte, dass WebSVN, ein Werkzeug, mit dem
Subversion-Depots über das Internet angesehen werden können, den Zugriff
auf private Depots nicht erfolgreich beschrànkt, wodurch entfernte
Angreifer maßgebliche Teile derer Inhalte lesen können.</p>

<p>Die alte Stable-Distribution (Etch) ist nicht von diesem Problem betroffen.</p>

<p>Für die Stable-Distribution (Lenny) wurde dieses Problem in
Version 2.0-4+lenny1 behoben.</p>

<p>Für die Unstable-Distribution (Sid) wurde dieses Problem ebenfalls in
Version 2.0-4+lenny1 behoben.</p>

<p>Wir empfehlen Ihnen, Ihr websvn-Paket zu aktualisieren.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1725.data"
# $Id: dsa-1725.wml,v 1.1 2009-02-15 16:34:53 spaillar Exp $
#use wml::debian::translation-check translation="1.1"

name="dsa-1722.wml"
filename="dsa-1722.wml"

<define-tag description>Programmierfehler</define-tag>
<define-tag moreinfo>
<p>Derek Chan entdeckte, dass das PAM-Modul für die Heimdal-Kerberos-Implementierung
es erlaubt, Benutzer-Credentials zu reinitialisieren, wenn es aus einem
setuid-Kontext gestartet wurde. Das kann zu einer lokalen Privilegienerweiterung
oder einer lokalen Diensteverweigerung (<q>denial of service</q>) durch
Überschreiben der Credential-Cache-Datei führen.</p>

<p>Für die Stable-Distribution (Etch) wurde dieses Problem in
Version 2.5-1etch1 behoben.</p>

<p>Für die kommende Stable-Distribution (Lenny) wurde dieses Problem in
Version 3.10-2.1 behoben.</p>

<p>Für die Unstable-Distribution (Sid) wird dieses Problem bald behoben sein.</p>

<p>Wir empfehlen Ihnen, Ihr libpam-heimdal-Paket zu aktualisieren.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1722.data"
# $Id: dsa-1722.wml,v 1.1 2009-02-12 23:21:00 spaillar Exp $
#use wml::debian::translation-check translation="1.1"

name="dsa-1723.wml"
filename="dsa-1723.wml"

<define-tag description>unzureichende Eingabebereinigung</define-tag>
<define-tag moreinfo>
<p>Michael Brooks entdeckte, dass phpMyAdmin, ein Tool für die Administration
von MySQL über das Internet, Eingaben unzureichend bereinigt. Dies erlaubt
es entfernten Angreifern, Code auf dem Webserver auszuführen.</p>

<p>Für die Stable-Distribution (Etch) wurde dieses Problem in Version
2.9.1.1-10 behoben.</p>

<p>Für die Testing- (Lenny) und Unstable-Distribution (Sid) wurde dieses
Problem in Version 2.11.8.1-5 behoben.</p>

<p>Wir empfehlen Ihnen, Ihr phpmyadmin-Paket zu aktualisieren.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1723.data"
# $Id: dsa-1723.wml,v 1.1 2009-02-12 23:21:00 spaillar Exp $
#use wml::debian::translation-check translation="1.1"



To UNSUBSCRIBE, email to debian-l10n-german-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
 

Lesen sie die antworten

#1 Jens Seidel
18/02/2009 - 16:50 | Warnen spam
Hallo Volker,

On Mon, Feb 16, 2009 at 10:49:55PM +0100, wrote:
hier endlich mal wieder einige DSAs. Ich habe mich mit 1721 und 1722
ziemlich schwer getan, es wàre gut, wenn mal jemand mit etwas mehr
technischem Verstand einen Blick drauf werfen könnte.



hàtte diese E-Mail doch bald vergessen :-)

Ich habe dir Dateien eingecheckt (vielen Dank!) und korrekturgelesen (ohne
Vergleich mit Original). Schaue bitte mal meine Änderungen durch.

Es wirft sich für mich die Frage auf, ob Übersetzungen von jemandem
wie mir, der manchmal nicht genau weiß, worum es geht, überhaupt
nützlich sind oder eher verwirren. Vor allem, weil ich das Gefühl
habe, dass die Originale manchmal nicht so richtig pràzise sind. Wenn
ich dann noch nicht richtig pràzise Übersàtze gibt es wohl hin und
wieder einen Stille-Post-Effekt.



Glaubst du, ich kann es besser? Ich bin selber Programmierer und technisch
war ich mal sehr gewieft aber trotzdem habe ich oft ràtseln müssen, habe mir
die Original-Advisories angeschaut, ebenso wie Patches und Code der die
Schwachstellen ausnutzt, gegoogelt, ...

Ein paar Dinge wie Pufferüberlauf, Formatierungsschwachstellen usw. sagen
mir etwas, vieles andere, insbesondere netzwerkspezifisches aber auch nicht.

Also zumindest ich freue mich über deine Übersetzungen ...

Man könnte sich sowieso fragen, wie wichtig es ist, die DSAs überhaupt
zu übersetzen. Gibt es jemanden, der mit den DSAs im Prinzip etwas
anfangen kann, der aber kein English versteht? Vielleicht sollte ich
lieber die Zeit, die ich dafür aufwenden kann, damit verbringen,
etwas zu übersetzen, was auch der "Normalbevölkerung" nutzt.



Tja, das ist die Frage. DSAs haben den Vorteil klein zu sein, aber diese
so nebenbei zu übersetzen schafft wohl nur Helge :-) Es ist ziemlich
zeitaufwendig und positive Rückmeldungen (oder überhaupt Rückmeldungen)
gibt es maximal! eine pro Jahr.

Sieh es so: Übersetzungen der DSA verbessern dein Wissen bezüglich
Debian, speziellen Software-Paketen und dem Vorgehen. Außerdem erwecken
sie den Eindruck, dass die Web-Seite von Debian aktiv betreut wird.

Außerdem bin ich sicher, dass sie gelesen werden, ich habe nur keine
Ahnung von wie vielen (5-50 oder von Hunderten, Tausenden???).
Vielleicht sollten wir mal auf debian-german-user nachfragen?

Interessanterweise werden die Debian-Sicherheitsgutachten auch von anderen
übersetzt (ebenso wie die vonn SuSE, ...). Es gibt da einen deutschen,
kommerziellen Dienst (in einem Wissenschaftsnetz?), der diese deutschen
Übersetzungen per Mailingliste vertreibt.

Ich fand dies in der Vergangenheit durch Zufall beim Suchen nach einer
optimalen Übersetzung heraus. Diese externen Übersetzungen können aber von
uns nicht genutzt werden, da sie kommerziell sind. Ich hatte mal
nachgefragt, ob eine Relizenzierung möglich wàre, aber die Diskussion ist
wohl irgendwie im Sande verlaufen.

Ich habe auch eine Anmerkung bezüglich copyadvisatory.pl. Es entstehen
hàufiger Sàtze wie

"Für die Unstable-Distribution (Sid) wurden diese Probleme in Version
behoben version 4.2.6-1."

Ich habe dann immer das Gefühl, dass das Ändern dieser Sàtze bei mir
lànger dauert, als alles selber zu tippen. Das ist teilweise ein



Bei mir nicht. Ich àndere schneller, als etwas neu zu schreiben.

Wortstellungsproblem, teilweise sind in der Übersetzung aber auch
Begriffe enthalten, die im englischen Text nicht stehen (Version):

s/(?:,)?( )?these problems have been fixed in/$1wurden diese Probleme
in Version behoben/;

Wer betreut das Skript momentan? Im Skript selber ist bei 2006
Schluss: "Written in 2000-2006 by Peter Karlsson". Vielleicht könnte
man da ein oder zwei Dinge àndern.



Klar ist es nicht optimal. Du kannst daran àndern, was immer du möchtest.
Ich kenne mich mit Perl nicht sehr gut aus. Früher hàtte ich solch eine
Sprache in ein, zwei Tagen gelernt (habe auch ein Buch dazu rumliegen),
aber heutzutage ... :-)

Jens


To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Ähnliche fragen