-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 - --- ../../english/security/2019/dsa-4564.wml 2019-11-15 11:48:21.553216931 +0500 +++ 2019/dsa-4564.wml 2019-11-15 12:16:06.317898491 +0500 @@ -1,110 +1,114 @@ - -<define-tag description>security update</define-tag> +#use wml::debian::translation-check translation="0cc922cd661d77cfeed7f482bce1cfba75c197ae" mindelta="1" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности</define-tag> <define-tag moreinfo> - -<p>Several vulnerabilities have been discovered in the Linux kernel that - -may lead to a privilege escalation, denial of service, or information - -leak.</p> +<p>В ядре Linux было обнаружено несколько уязвимостей, которые могут +приводить к повышению привилегий, отказу в обслуживании или утечке +информации.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12207";>CVE-2018-12207</a> - - <p>It was discovered that on Intel CPUs supporting hardware - - virtualisation with Extended Page Tables (EPT), a guest VM may - - manipulate the memory management hardware to cause a Machine Check - - Error (MCE) and denial of service (hang or crash).</p> - - - - <p>The guest triggers this error by changing page tables without a - - TLB flush, so that both 4 KB and 2 MB entries for the same virtual - - address are loaded into the instruction TLB (iTLB). This update - - implements a mitigation in KVM that prevents guest VMs from - - loading 2 MB entries into the iTLB. This will reduce performance - - of guest VMs.</p> + <p>Было обнаружено, что на ЦП Intel, поддерживающих виртуализацию + с расширенными таблицами страниц (EPT), гостевая виртуальная машина может + воздействовать на оборудование для управления памятью с целью вызова ошибки проверки + машины (MCE) и отказа в обслуживании (зависание или аварийная остановка).</p> + + <p>Гостевая система вызывает эту ошибку путём изменения таблицы страниц без + TLB-сброса таким образом, что и 4 КБ, и 2 МБ записи для одного и того же виртуального + адреса загружаются в инструкцию TLB (iTLB). Данное обновления реализует + снижение вреда в KVM, которое не позволяет гостевым виртуальным машинам загружать + 2 МБ записи в iTLB. Это снижает производительность + гостевых виртуальных машин.</p> - - <p>Further information on the mitigation can be found at + <p>Дополнительная информация о снижении вреда можно найти по адресу <url "https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/multihit.html";> - - or in the linux-doc-4.9 or linux-doc-4.19 package.</p> + или в пакетах linux-doc-4.9 и linux-doc-4.19.</p> - - <p>A qemu update adding support for the PSCHANGE_MC_NO feature, which - - allows to disable iTLB Multihit mitigations in nested hypervisors - - will be provided via DSA 4566-1.</p> + <p>Обновления для qemu, добавляющее поддержку возможности PSCHANGE_MC_NO, которая + позволяет отключать исправления iTLB Multihit во вложенных гипервизорах, + будет предоставлена в DSA 4566-1.</p> - - <p>Intel's explanation of the issue can be found at + <p>Объяснение этой проблемы, предоставленное Intel, можно найти по адресу <url "https://software.intel.com/security-software-guidance/insights/deep-dive-machine-check-error-avoidance-page-size-change-0";>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-0154";>CVE-2019-0154</a> - - <p>Intel discovered that on their 8th and 9th generation GPUs, - - reading certain registers while the GPU is in a low-power state - - can cause a system hang. A local user permitted to use the GPU - - can use this for denial of service.</p> + <p>Сотрудники Intel обнаружили, что на ЦП 8-го и 9-го поколений + чтение определённых регистров в то время, когда графический процессор + находится в состоянии экономии энергии, может + вызывать зависание системы. Локальный пользователь, имеющий права на использование + графического процессора, может использовать эту проблему для + вызова отказа в обслуживании.</p> - - <p>This update mitigates the issue through changes to the i915 - - driver.</p> + <p>Данное обновление снижает вред от этой проблемы путём изменений в драйвере + i915.</p> - - <p>The affected chips (gen8 and gen9) are listed at + <p>Подверженные проблеме чипы (gen8 и gen9) приведены по адресу <url "https://en.wikipedia.org/wiki/List_of_Intel_graphics_processing_units#Gen8";>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-0155";>CVE-2019-0155</a> - - <p>Intel discovered that their 9th generation and newer GPUs are - - missing a security check in the Blitter Command Streamer (BCS). A - - local user permitted to use the GPU could use this to access any - - memory that the GPU has access to, which could result in a denial - - of service (memory corruption or crash), a leak of sensitive - - information, or privilege escalation.</p> + <p>Сотрудники Intel обнаружили, что в их графических процессорах 9-го поколения, + а также в более новых процессорах, отсутствует проверка безопасности в + накопителе команд копирования битового массива (BCS). Локальный пользователь, имеющий права на + использование графического процессора, может использовать эту проблему для + доступа к любому региону памяти, в которому имеется доступ у графического процессора, + что может приводить к отказу в обслуживании (повреждение содержимого памяти + или аварийная остановка), утечке чувствительной информации или + повышений привилегий.</p> - - <p>This update mitigates the issue by adding the security check to - - the i915 driver.</p> + <p>Данное обновление снижает вред от этой проблемы путём добавления проверки + безопасности в драйвер i915.</p> - - <p>The affected chips (gen9 onward) are listed at + <p>Подверженные проблеме чипы (gen9 и последующие) приведены по адресу <url "https://en.wikipedia.org/wiki/List_of_Intel_graphics_processing_units#Gen9";>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11135";>CVE-2019-11135</a> - - <p>It was discovered that on Intel CPUs supporting transactional - - memory (TSX), a transaction that is going to be aborted may - - continue to execute speculatively, reading sensitive data from - - internal buffers and leaking it through dependent operations. - - Intel calls this <q>TSX Asynchronous Abort</q> (TAA).</p> + <p>Было обнаружено, что на ЦП Intel, поддерживающих транзакционную + память (TSX), транзакция, которую планируется отменить, может + продолжать выполнение спекулятивно, считывая чувствительные данные из + внутренних буферов и раскрывая их через зависимые операции. + Intel называет это <q>асинхронным прерыванием TSX</q> (TAA).</p> - - <p>For CPUs affected by the previously published Microarchitectural - - Data Sampling (MDS) issues + <p>Для подверженных проблеме ЦП, которые были подвержены ранее опубликованным проблемам + микроархитектурной выборки данных (MDS) (<a href="https://security-tracker.debian.org/tracker/CVE-2018-12126";>CVE-2018-12126</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2018-12127";>CVE-2018-12127</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2018-12130";>CVE-2018-12130</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2019-11091";>CVE-2019-11091</a>), - - the existing mitigation also mitigates this issue.</p> + существующий способ снижения вреда также снижает вред от данной проблемы.</p> - - <p>For processors that are vulnerable to TAA but not MDS, this update - - disables TSX by default. This mitigation requires updated CPU - - microcode. An updated intel-microcode package (only available in - - Debian non-free) will be provided via DSA 4565-1. The updated CPU - - microcode may also be available as part of a system firmware - - ("BIOS") update.</p> + <p>Для процессоров, уязвимых к TAA, но не к MDS, данное обновление + по умолчанию отключает TSX. Этот способ снижения вреда требует обновления микрокода + ЦП. Обновлённый пакет intel-microcode (доступен только в несвободном разделе + архива Debian) будет предоставлен в DSA 4565-1. Обновлённый микрокод ЦП + также может быть доступен в виде части обновления системной прошивки + ("BIOS").</p> - - <p>Further information on the mitigation can be found at + <p>Дополнительную информацию о снижении вреда можно найти по адресу <url "https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/tsx_async_abort.html";> or in the linux-doc-4.9 or linux-doc-4.19 package.</p> - - <p>Intel's explanation of the issue can be found at + <p>Объяснение данной проблемы, предоставленное Intel, можно найти по адресу <url "https://software.intel.com/security-software-guidance/insights/deep-dive-intel-transactional-synchronization-extensions-intel-tsx-asynchronous-abort";>.</p></li> </ul> - -<p>For the oldstable distribution (stretch), these problems have been fixed - -in version 4.9.189-3+deb9u2.</p> +<p>В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены +в версии 4.9.189-3+deb9u2.</p> - -<p>For the stable distribution (buster), these problems have been fixed in - -version 4.19.67-2+deb10u2.</p> +<p>В стабильном выпуске (buster) эти проблемы были исправлены в +версии 4.19.67-2+deb10u2.</p> - -<p>We recommend that you upgrade your linux packages.</p> +<p>Рекомендуется обновить пакеты linux.</p> - -<p>For the detailed security status of linux please refer to its security - -tracker page at: +<p>С подробным статусом поддержки безопасности linux можно ознакомиться на +соответствующей странице отслеживания безопасности по адресу <a href="https://security-tracker.debian.org/tracker/linux";>\ https://security-tracker.debian.org/tracker/linux</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2019/dsa-4564.data" - -# $Id: $ -----BEGIN PGP SIGNATURE-----
iQIzBAEBCgAdFiEE3mumcdV9mwCc9oZQXudu4gIW0qUFAl3OU9gACgkQXudu4gIW 0qV68xAAp4fD3Jl8LdHJIofAxqVHSxJkXs0ePwNEcJiIwj4ctwv7JgLPZFNweNJU gKHBHK4nzAu8+2OhFrhfLJ/Awj8l2sGuGXPN6HGPe45JaDFhuht36ST5EpZZszX2 ZYSWz2YlrS6kbMkl32RASpKqaDKtRTR8iC3q39AkpX9gE32INpz8eI+DhnZARQNo KnNy+6eE3741w8F4OMHUW2vMJWDJqQ9p9p4Iz5HFckVU1RPXp3z24iSNBLzPgJnM c25itYUrz+T9YNMf4YAuNhpcLv7SBFrgQweNo7+PpjSj2rtc+X+8Y6S4kqh7Bo2P Kl1tcX4Bx39Yp0gctmJS4HJJ1H1SlLUleIPiEqiQdm/GylIKbnFAmsYmsp88XbFw 1tYUeG5eYA3EBjAi3YO+ACyzu8NR2S+RoiCKoJD/1B/NEdQr8A3EcK43l6j4/MRm ANOMLM1dVs8KgWOsgn3VliY1IilUnw0dVADOxjMJlQTyYELqf97dRhAY0V/36tkg GNIj0573brO0tImupF+pBTUMgRwS42xtL64Jd835TK8dBSmTbJZQcgcbzcjKUZel j9ZSxYguzY3JcWrEOzFgT0FkdAbAZDFnFGYJg4fIhoSuLFVlEur9Ipc/f8/TTo+f nW4lAaQOSbxluJ/tGGp1mY1yVXrE8E42vQDa6skUyX8wU3eozew= =CfKa -----END PGP SIGNATURE-----
