diff options
Diffstat (limited to 'documentation/content/ru/books/porters-handbook/security/_index.po')
| -rw-r--r-- | documentation/content/ru/books/porters-handbook/security/_index.po | 858 |
1 files changed, 858 insertions, 0 deletions
diff --git a/documentation/content/ru/books/porters-handbook/security/_index.po b/documentation/content/ru/books/porters-handbook/security/_index.po new file mode 100644 index 0000000000..7d28e22d9c --- /dev/null +++ b/documentation/content/ru/books/porters-handbook/security/_index.po @@ -0,0 +1,858 @@ +# SOME DESCRIPTIVE TITLE +# Copyright (C) YEAR The FreeBSD Project +# This file is distributed under the same license as the FreeBSD Documentation package. +# Vladlen Popolitov <vladlenpopolitov@list.ru>, 2025. +msgid "" +msgstr "" +"Project-Id-Version: FreeBSD Documentation VERSION\n" +"POT-Creation-Date: 2025-09-18 22:05+0300\n" +"PO-Revision-Date: 2025-08-20 04:45+0000\n" +"Last-Translator: Vladlen Popolitov <vladlenpopolitov@list.ru>\n" +"Language-Team: Russian <https://translate-dev.freebsd.org/projects/" +"documentation/booksporters-handbooksecurity_index/ru/>\n" +"Language: ru\n" +"MIME-Version: 1.0\n" +"Content-Type: text/plain; charset=UTF-8\n" +"Content-Transfer-Encoding: 8bit\n" +"Plural-Forms: nplurals=3; plural=n%10==1 && n%100!=11 ? 0 : n%10>=2 && " +"n%10<=4 && (n%100<10 || n%100>=20) ? 1 : 2;\n" +"X-Generator: Weblate 4.17\n" + +#. type: Yaml Front Matter Hash Value: description +#: documentation/content/en/books/porters-handbook/security/_index.adoc:1 +#, no-wrap +msgid "Security instructions when making a FreeBSD Port" +msgstr "Инструкции по безопасности при создании порта FreeBSD" + +#. type: Yaml Front Matter Hash Value: title +#: documentation/content/en/books/porters-handbook/security/_index.adoc:1 +#, no-wrap +msgid "Chapter 12. Security" +msgstr "Глава 12. Безопасность портов" + +#. type: Title = +#: documentation/content/en/books/porters-handbook/security/_index.adoc:14 +#, no-wrap +msgid "Security" +msgstr "Безопасность" + +#. type: Title == +#: documentation/content/en/books/porters-handbook/security/_index.adoc:52 +#, no-wrap +msgid "Why Security is So Important" +msgstr "Почему безопасность так важна" + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:58 +msgid "" +"Bugs are occasionally introduced to the software. Arguably, the most " +"dangerous of them are those opening security vulnerabilities. From the " +"technical viewpoint, such vulnerabilities are to be closed by exterminating " +"the bugs that caused them. However, the policies for handling mere bugs and " +"security vulnerabilities are very different." +msgstr "" +"Ошибки в программном обеспечении появляются случайно. Возможно, самые " +"опасные из них те, что создают уязвимости безопасности. С технической точки " +"зрения подобные уязвимости должны быть закрыты путем исправления вызывающих " +"их ошибок. Тем не менее, политики обработки несущественных ошибок и " +"уязвимостей очень различаются." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:64 +msgid "" +"A typical small bug affects only those users who have enabled some " +"combination of options triggering the bug. The developer will eventually " +"release a patch followed by a new version of the software, free of the bug, " +"but the majority of users will not take the trouble of upgrading immediately " +"because the bug has never vexed them. A critical bug that may cause data " +"loss represents a graver issue. Nevertheless, prudent users know that a lot " +"of possible accidents, besides software bugs, are likely to lead to data " +"loss, and so they make backups of important data; in addition, a critical " +"bug will be discovered really soon." +msgstr "" +"Обычная небольшая ошибка затрагивает только тех пользователей, которые " +"задействуют некоторые комбинации настроек, активирующие эту ошибку. " +"Разработчик в конечном счете выпустит патч, а зачтем новую версию " +"программного обеспечения, свободного от ошибки, но большинство пользователей " +"не посчитают нужным сразу же произвести обновление, поскольку эта ошибка " +"никогда у них не проявлялась. Критическая ошибка, которая может приводить к " +"потере данных, представляет серьезную проблему. Тем не менее, " +"предусмотрительные пользователи знают, что большинство возможных " +"происшествий, и среди них программные ошибки, скорее всего приводят к потере " +"данных, поэтому они выполняют резервное копирование важных данных; " +"дополнительно, критическая ошибка будет обнаружена очень скоро." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:72 +msgid "" +"A security vulnerability is all different. First, it may remain unnoticed " +"for years because often it does not cause software malfunction. Second, a " +"malicious party can use it to gain unauthorized access to a vulnerable " +"system, to destroy or alter sensitive data; and in the worst case the user " +"will not even notice the harm caused. Third, exposing a vulnerable system " +"often assists attackers to break into other systems that could not be " +"compromised otherwise. Therefore closing a vulnerability alone is not " +"enough: notify the audience of it in the most clear and comprehensive " +"manner, which will allow them to evaluate the danger and take appropriate " +"action." +msgstr "" +"С уязвимостью безопасности всё иначе. Во-первых, она может сохраняться " +"необнаруженной целые годы, потому что чаще всего не вызывает ошибок в " +"работе. Во-вторых, компания злоумышленников может использовать ее для " +"получения неавторизованного доступа к уязвимой системе, уничтожить или " +"подменить важные данные; в худшем случае пользователь даже не заметит " +"нанесенный урон. В-третьих, взлом уязвимой системы часто упрощает задачу " +"проникновения атакующих в другие системы, которые не могут быть " +"скомпрометированы иначе. Таким образом, устранение уязвимости как таковой " +"недостаточно: следует разослать всем заинтересованным уведомления в наиболее " +"понятной и исчерпывающей форме, что позволит оценить риск и предпринять " +"подходящие меры." + +#. type: Title == +#: documentation/content/en/books/porters-handbook/security/_index.adoc:74 +#, no-wrap +msgid "Fixing Security Vulnerabilities" +msgstr "Исправление уязвимостей безопасности" + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:82 +msgid "" +"While on the subject of ports and packages, a security vulnerability may " +"initially appear in the original distribution or in the port files. In the " +"former case, the original software developer is likely to release a patch or " +"a new version instantly. Update the port promptly with respect to the " +"author's fix. If the fix is delayed for some reason, either " +"crossref:porting-dads[dads-noinstall,mark the port as `FORBIDDEN`] or " +"introduce a patch file to the port. In the case of a vulnerable port, just " +"fix the port as soon as possible. In either case, follow crossref:port-" +"upgrading[port-upgrading,the standard procedure for submitting changes] " +"unless having rights to commit it directly to the ports tree." +msgstr "" +"Что касается портов и пакетов, уязвимость безопасности изначально может " +"появиться в исходном дистрибутиве или файлах порта. В первом случае, " +"разработчик исходного программного обеспечения скорее всего сразу же " +"выпустит патч или новую версию, и вам лишь понадобится сразу обновить порт в " +"соответствии с исправлением автора. Если исправление по какой-то причине " +"задерживается, вам следует либо crossref:porting-dads[dads-" +"noinstall,пометить порт как `FORBIDDEN`], либо добавить в порт ваш " +"собственный патч. В случае уязвимости порта просто исправьте этот порт как " +"можно скорее. В любом случае нужно следовать crossref:port-upgrading[port-" +"upgrading,стандартной процедуре отправки вашего изменения], если вы не " +"обладаете правами на коммит изменения непосредственно в дерево портов." + +#. type: delimited block = 4 +#: documentation/content/en/books/porters-handbook/security/_index.adoc:87 +msgid "" +"Being a ports committer is not enough to commit to an arbitrary port. " +"Remember that ports usually have maintainers, must be respected." +msgstr "" +"Быть коммиттером портов недостаточно для коммита произвольного порта. " +"Помните, что обычно у портов есть сопровождающие, мнение которых вы должны " +"учитывать." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:95 +msgid "" +"Please make sure that the port's revision is bumped as soon as the " +"vulnerability has been closed. That is how the users who upgrade installed " +"packages on a regular basis will see they need to run an update. Besides, a " +"new package will be built and distributed over FTP and WWW mirrors, " +"replacing the vulnerable one. Bump `PORTREVISION` unless `DISTVERSION` has " +"changed in the course of correcting the vulnerability. That is, bump " +"`PORTREVISION` if adding a patch file to the port, but do not bump it if " +"updating the port to the latest software version and thus already touched " +"`DISTVERSION`. Please refer to the crossref:makefiles[makefile-naming-" +"revepoch,corresponding section] for more information." +msgstr "" +"Пожалуйста, убедитесь, что ревизия порта после закрытия уязвимости " +"увеличена. Вот как пользователи, обновляющие установленные пакеты на " +"постоянной основе, увидят, что им нужно запустить обновление. Кроме того, " +"новый пакет будет собран и распространен через FTP и WWW зеркала, замещая " +"уязвимый. Если в процессе исправления уязвимости не было изменено значение " +"`PORTVERSION`, то должно быть увеличено значение `PORTREVISION`. Вам следует " +"увеличить значение `PORTREVISION` после добавления в порт файла с патчем, но " +"не когда вы обновили порт до последней версии программного обеспечения, " +"попутно затронув при этом `PORTVERSION`. За дальнейшей информацией " +"обращайтесь к crossref:makefiles[makefile-naming-revepoch,соответствующему " +"разделу]." + +#. type: Title == +#: documentation/content/en/books/porters-handbook/security/_index.adoc:97 +#, no-wrap +msgid "Keeping the Community Informed" +msgstr "Обеспечение сообщества информацией" + +#. type: Title === +#: documentation/content/en/books/porters-handbook/security/_index.adoc:100 +#, no-wrap +msgid "The VuXML Database" +msgstr "База данных VuXML" + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:108 +msgid "" +"A very important and urgent step to take as early after a security " +"vulnerability is discovered as possible is to notify the community of port " +"users about the jeopardy. Such notification serves two purposes. First, if " +"the danger is really severe it will be wise to apply an instant workaround. " +"For example, stop the affected network service or even deinstall the port " +"completely until the vulnerability is closed. Second, a lot of users tend " +"to upgrade installed packages only occasionally. They will know from the " +"notification that they _must_ update the package without delay as soon as a " +"corrected version is available." +msgstr "" +"Очень важным и первостепенным шагом при действии как можно раньше после " +"раскрытия уязвимости является уведомление сообщества пользователей порта об " +"опасности. Такие уведомления служат двум целям. Во-первых, в случае " +"действительно серьезной угрозы, будет посоветовано применить мгновенное " +"воздействие. Например, остановить затрагиваемый сетевой сервис или даже " +"удалить порт целиком, пока уязвимость не будет устранена. Во-вторых, масса " +"пользователей имеет тенденцию обновлять установленные пакеты только от " +"случая к случаю. Из уведомления они узнают, что _должны_ обновить пакет без " +"промедления сразу же после появления исправленной версии." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:112 +msgid "" +"Given the huge number of ports in the tree, a security advisory cannot be " +"issued on each incident without creating a flood and losing the attention of " +"the audience when it comes to really serious matters. Therefore security " +"vulnerabilities found in ports are recorded in https://vuxml.freebsd.org/" +"[the FreeBSD VuXML database]. The Security Officer Team members also " +"monitor it for issues requiring their intervention." +msgstr "" +"Учитывая огромное число портов в дереве, невозможно по каждому случаю " +"выпускать бюллетень безопасности без создания флуда и потери внимания " +"сообщества к моменту появления действительно серьезных причин. Поэтому " +"уязвимости безопасности, обнаруженные в портах, записываются в http://" +"vuxml.freebsd.org/[базу данных FreeBSD VuXML]. Члены Команды Офицеров " +"Безопасности также отслеживают её на предмет появления вопросов, требующих " +"их вмешательства." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:115 +msgid "" +"Committers can update the VuXML database themselves, assisting the Security " +"Officer Team and delivering crucial information to the community more " +"quickly. Those who are not committers or have discovered an exceptionally " +"severe vulnerability should not hesitate to contact the Security Officer " +"Team directly, as described on the https://www.freebsd.org/security/" +"#how[FreeBSD Security Information] page." +msgstr "" +"Если вы обладаете правами коммиттера, вы можете сам обновить базу данных " +"VuXML. Так вы поможете Команде Офицеров Безопасности и своевременно пошлете " +"ценную информацию сообществу. Тем не менее, если вы не являетесь коммиттером " +"или верите, что нашли исключительно серьезную уязвимость, то не задумываясь " +"свяжитесь с Командой Офицеров Безопасности напрямую как это описано на " +"странице https://www.freebsd.org/security/#how[информационной безопасности " +"FreeBSD]." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:121 +msgid "" +"The VuXML database is an XML document. Its source file " +"[.filename]#vuln.xml# is kept right inside the port package:security/" +"vuxml[]. Therefore the file's full pathname will be [.filename]#PORTSDIR/" +"security/vuxml/vuln.xml#. Each time a security vulnerability is discovered " +"in a port, please add an entry for it to that file. Until familiar with " +"VuXML, the best thing to do is to find an existing entry fitting the case at " +"hand, then copy it and use it as a template." +msgstr "" +"База данных VuXML является документом XML. Его исходный файл " +"[.filename]#vuln.xml# содержится прямо внутри порта package:security/" +"vuxml[]. Следовательно, полное имя пути к файлу будет [.filename]#PORTSDIR/" +"security/vuxml/vuln.xml#. Каждый раз, при обнаружении вами в порте " +"уязвимости безопасности добавьте об этом запись в этот файл. Пока вы не " +"знакомы с VuXML, лучшее, что вы можете сделать, это найти существующую " +"запись, подпадающую под ваш случай, затем скопировать ее и использовать в " +"качестве шаблона." + +#. type: Title === +#: documentation/content/en/books/porters-handbook/security/_index.adoc:123 +#, no-wrap +msgid "A Short Introduction to VuXML" +msgstr "Короткое вступление в VuXML" + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:135 +msgid "" +"The full-blown XML format is complex, and far beyond the scope of this " +"book. However, to gain basic insight on the structure of a VuXML entry only " +"the notion of tags is needed. XML tag names are enclosed in angle " +"brackets. Each opening <tag> must have a matching closing </tag>. Tags may " +"be nested. If nesting, the inner tags must be closed before the outer ones. " +"There is a hierarchy of tags, that is, more complex rules of nesting them. " +"This is similar to HTML. The major difference is that XML is " +"e__X__tensible, that is, based on defining custom tags. Due to its " +"intrinsic structure XML puts otherwise amorphous data into shape. VuXML is " +"particularly tailored to mark up descriptions of security vulnerabilities." +msgstr "" +"В совокупности XML является очень сложным форматом, и его описание выходит " +"далеко за рамки этой книги. Тем не менее, для достижения основного понимания " +"структуры записи VuXML вам понадобится всего лишь понять теги. Имена тегов " +"XML обрамляются в угловые скобки. Каждый открывающий <tag> должен иметь " +"совпадающий закрывающий </tag>. Теги могут быть вложенными. При вложенности " +"внутренние теги должны быть закрыты до закрытия внешних. Существует иерархия " +"тегов, т.е. более сложные правила вкладывания тегов. Это похоже на HTML. " +"Основное отличие в расширяемости XML, т.е. в определении собственных тегов. " +"Из-за своей характерной структуры XML придает форму разрозненным данным. В " +"частности, XML подходит для разметки описаний уязвимостей безопасности." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:137 +msgid "Now consider a realistic VuXML entry:" +msgstr "Теперь рассмотрим настоящую запись VuXML:" + +#. type: delimited block . 4 +#: documentation/content/en/books/porters-handbook/security/_index.adoc:184 +#, no-wrap +msgid "" +"<vuln vid=\"f4bc80f4-da62-11d8-90ea-0004ac98a7b9\"> <.>\n" +" <topic>Several vulnerabilities found in Foo</topic> <.>\n" +" <affects>\n" +" <package>\n" +" <name>foo</name> <.>\n" +" <name>foo-devel</name>\n" +" <name>ja-foo</name>\n" +" <range><ge>1.6</ge><lt>1.9</lt></range> <.>\n" +" <range><ge>2.*</ge><lt>2.4_1</lt></range>\n" +" <range><eq>3.0b1</eq></range>\n" +" </package>\n" +" <package>\n" +" <name>openfoo</name> <.>\n" +" <range><lt>1.10_7</lt></range> <.>\n" +" <range><ge>1.2,1</ge><lt>1.3_1,1</lt></range>\n" +" </package>\n" +" </affects>\n" +" <description>\n" +" <body xmlns=\"http://www.w3.org/1999/xhtml\">\n" +" <p>J. Random Hacker reports:</p> <.>\n" +" <blockquote\n" +" cite=\"http://j.r.hacker.com/advisories/1\">\n" +" <p>Several issues in the Foo software may be exploited\n" +" via carefully crafted QUUX requests. These requests will\n" +" permit the injection of Bar code, mumble theft, and the\n" +" readability of the Foo administrator account.</p>\n" +" </blockquote>\n" +" </body>\n" +" </description>\n" +" <references> <.>\n" +" <freebsdsa>SA-10:75.foo</freebsdsa> <.>\n" +" <freebsdpr>ports/987654</freebsdpr> <.>\n" +" <cvename>CVE-2023-48795</cvename> <.>\n" +" <certvu>740169</certvu> <.>\n" +" <uscertta>SA10-99A</uscertta> <.>\n" +" <mlist msgid=\"201075606@hacker.com\">http://marc.theaimsgroup.com/?l=bugtraq&m=203886607825605</mlist> <.>\n" +" <url>http://j.r.hacker.com/advisories/1</url> <.>\n" +" </references>\n" +" <dates>\n" +" <discovery>2010-05-25</discovery> <.>\n" +" <entry>2010-07-13</entry> <.>\n" +" <modified>2010-09-17</modified> <.>\n" +" </dates>\n" +"</vuln>\n" +msgstr "" +"<vuln vid=\"f4bc80f4-da62-11d8-90ea-0004ac98a7b9\"> <.>\n" +" <topic>Several vulnerabilities found in Foo</topic> <.>\n" +" <affects>\n" +" <package>\n" +" <name>foo</name> <.>\n" +" <name>foo-devel</name>\n" +" <name>ja-foo</name>\n" +" <range><ge>1.6</ge><lt>1.9</lt></range> <.>\n" +" <range><ge>2.*</ge><lt>2.4_1</lt></range>\n" +" <range><eq>3.0b1</eq></range>\n" +" </package>\n" +" <package>\n" +" <name>openfoo</name> <.>\n" +" <range><lt>1.10_7</lt></range> <.>\n" +" <range><ge>1.2,1</ge><lt>1.3_1,1</lt></range>\n" +" </package>\n" +" </affects>\n" +" <description>\n" +" <body xmlns=\"http://www.w3.org/1999/xhtml\">\n" +" <p>J. Random Hacker reports:</p> <.>\n" +" <blockquote\n" +" cite=\"http://j.r.hacker.com/advisories/1\">\n" +" <p>Several issues in the Foo software may be exploited\n" +" via carefully crafted QUUX requests. These requests will\n" +" permit the injection of Bar code, mumble theft, and the\n" +" readability of the Foo administrator account.</p>\n" +" </blockquote>\n" +" </body>\n" +" </description>\n" +" <references> <.>\n" +" <freebsdsa>SA-10:75.foo</freebsdsa> <.>\n" +" <freebsdpr>ports/987654</freebsdpr> <.>\n" +" <cvename>CVE-2023-48795</cvename> <.>\n" +" <certvu>740169</certvu> <.>\n" +" <uscertta>SA10-99A</uscertta> <.>\n" +" <mlist msgid=\"201075606@hacker.com\">http://marc.theaimsgroup.com/?l=bugtraq&m=203886607825605</mlist> <.>\n" +" <url>http://j.r.hacker.com/advisories/1</url> <.>\n" +" </references>\n" +" <dates>\n" +" <discovery>2010-05-25</discovery> <.>\n" +" <entry>2010-07-13</entry> <.>\n" +" <modified>2010-09-17</modified> <.>\n" +" </dates>\n" +"</vuln>\n" + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:187 +msgid "" +"The tag names are supposed to be self-explanatory so we shall take a closer " +"look only at fields which needs to be filled in:" +msgstr "" +"Имена тегов должны быть самодокументируемыми, чтобы мы сфокусировались " +"только на полях, нужных нам для заполнения:" + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:190 +msgid "" +"This is the top-level tag of a VuXML entry. It has a mandatory attribute, " +"`vid`, specifying a universally unique identifier (UUID) for this entry (in " +"quotes). Generate a UUID for each new VuXML entry (and do not forget to " +"substitute it for the template UUID unless writing the entry from scratch). " +"Use man:uuidgen[1] to generate a VuXML UUID." +msgstr "" +"Это тег верхнего уровня записи VuXML. У него есть обязательный атрибут " +"`vid`, указывающий на универсальный уникальный идентификатор (UUID) для этой " +"записи (в кавычках). Вы должны формировать UUID для каждой новой записи " +"VuXML (и не забудьте заменить ее для шаблона UUID, если вы не пишете запись " +"с нуля). Для получения VuXML UUID вы можете использовать man:uuidgen[1]." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:192 +msgid "This is a one-line description of the issue found." +msgstr "Однострочное описание найденной проблемы." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:194 +msgid "" +"The names of packages affected are listed there. Multiple names can be given " +"since several packages may be based on a single master port or software " +"product. This may include stable and development branches, localized " +"versions, and slave ports featuring different choices of important build-" +"time configuration options." +msgstr "" +"Здесь перечислены имена затронутых пакетов. Может быть дано несколько имен, " +"поскольку некоторые пакеты могут быть основаны на одном главном порте или " +"программном продукте. Сюда можно включить стабильную ветвь и ветвь " +"разработки, локализованные версии и подчиненные порты, зависящие от " +"различного выбора важных вариантов конфигурации, указанных на этапе " +"построения." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:198 +#, no-wrap +msgid "" +"Affected versions of the package(s) are specified there as one or more ranges using a combination of `<lt>`, `<le>`, `<eq>`, `<ge>`, and `<gt>` elements. Check that the version ranges given do not overlap.\n" +"In a range specification, `\\*` (asterisk) denotes the smallest version number. In particular, `2.*` is less than `2.a`. Therefore an asterisk may be used for a range to match all possible `alpha`, `beta`, and `RC` versions. For instance, `<ge>2.*</ge><lt>3.*</lt>` will selectively match every `2.x` version while `<ge>2.0</ge><lt>3.0</lt>` will not since the latter misses `2.r3` and matches `3.b`.\n" +"The above example specifies that affected are versions `1.6` and up to but not including `1.9`, versions `2.x` before `2.4_1`, and version `3.0b1`." +msgstr "" +"Затронутые версии пакета(ов) указаны там как один или несколько диапазонов с использованием комбинации элементов `<lt>`, `<le>`, `<eq>`, `<ge>` и `<gt>`. Убедитесь, что указанные диапазоны версий не перекрываются.\n" +"В спецификации диапазона `\\*` (звёздочка) обозначает наименьший номер версии. В частности, `2.*` меньше, чем `2.a`. Таким образом, звёздочка может использоваться в диапазоне для соответствия всем возможным версиям `alpha`, `beta` и `RC`. Например, `<ge>2.*</ge><lt>3.*</lt>` выборочно соответствует каждой версии `2.x`, тогда как `<ge>2.0</ge><lt>3.0</lt>` — нет, поскольку последний пропускает `2.r3` и включает `3.b`.\n" +"Приведённый пример указывает, что затронуты версии `1.6` и выше, но не включая `1.9`, версии `2.x` до `2.4_1` и версия `3.0b1`." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:200 +msgid "" +"Several related package groups (essentially, ports) can be listed in the " +"`<affected>` section. This can be used if several software products (say " +"FooBar, FreeBar and OpenBar) grow from the same code base and still share " +"its bugs and vulnerabilities. Note the difference from listing multiple " +"names within a single <package> section." +msgstr "" +"Некоторые связанные группы пакетов (в конечном счете, порты) могут быть " +"указаны в разделе `<affected>`. Это можно использовать, если некоторые " +"программные продукты (скажем, FooBar, FreeBar and OpenBar) являются " +"производными от общей кодовой базы и всё еще совместно используют её ошибки " +"и уязвимости. Имейте в виду отличие от перечисления множественных имён в " +"одном разделе <package>." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:202 +msgid "" +"The version ranges have to allow for `PORTEPOCH` and `PORTREVISION` if " +"applicable. Please remember that according to the collation rules, a version " +"with a non-zero `PORTEPOCH` is greater than any version without `PORTEPOCH`, " +"for example, `3.0,1` is greater than `3.1` or even than `8.9`." +msgstr "" +"Диапазоны версий должны учитывать `PORTEPOCH` и `PORTREVISION`, если это " +"применимо. Пожалуйста, помните, что в соответствии с правилами сравнения " +"строк версия с ненулевым значением `PORTEPOCH` выше, чем любая версия без " +"`PORTEPOCH`, например, `3.0,1` выше, чем `3.1` или даже `8.9`." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:204 +msgid "" +"This is a summary of the issue. XHTML is used in this field. At least " +"enclosing `<p>` and `</p>` has to appear. More complex mark-up may be used, " +"but only for the sake of accuracy and clarity: No eye candy please." +msgstr "" +"Сводная информация о проблеме. В этом поле используется XHTML. По крайней " +"мере, должны быть обрамляющие `<p>` и `</p>`. Может быть использована более " +"сложная разметка, но только в целях аккуратности и ясности: без эстетства, " +"пожалуйста." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:206 +msgid "" +"This section contains references to relevant documents. As many references " +"as apply are encouraged." +msgstr "" +"Этот раздел содержит ссылки на имеющие отношение документы. Приветствуется " +"как можно большее количество ссылок." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:208 +msgid "" +"This is a https://www.freebsd.org/security/#adv[FreeBSD security advisory]." +msgstr "" +"Это https://www.freebsd.org/security/#adv[бюллетень безопасности FreeBSD]." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:210 +msgid "This is a https://www.freebsd.org/support/[FreeBSD problem report]." +msgstr "Это https://www.freebsd.org/support/[сообщение об ошибке FreeBSD]." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:212 +msgid "This is a https://cve.mitre.org/[MITRE CVE] identifier." +msgstr "Идентификатор https://cve.mitre.org/[MITRE CVE]." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:214 +msgid "This is a https://www.kb.cert.org/vuls/[US-CERT] vulnerability note." +msgstr "Это https://www.kb.cert.org/vuls/[SecurityFocus Bug ID]." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:216 +msgid "" +"This is a https://www.cisa.gov/news-events/cybersecurity-advisories[US-CERT] " +"Technical Cyber Security Alert." +msgstr "" +"Бюллетень безопасности https://www.cisa.gov/news-events/cybersecurity-" +"advisories[US-CERT]." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:218 +msgid "" +"This is a URL to an archived posting in a mailing list. The attribute " +"`msgid` is optional and may specify the message ID of the posting." +msgstr "" +"URL к архивному сообщению в списке рассылки. Атрибут `msgid` является " +"необязательным и может указывать на message ID сообщения." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:220 +msgid "" +"This is a generic URL. Only it if none of the other reference categories " +"apply." +msgstr "" +"Это общий URL. Используйте его только если ни одна из других категорий " +"ссылок не подходит." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:222 +msgid "This is the date when the issue was disclosed (_YYYY-MM-DD_)." +msgstr "Это дата, когда проблема была раскрыта (_ГГГГ-ММ-ДД_)." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:224 +msgid "This is the date when the entry was added (_YYYY-MM-DD_)." +msgstr "Это дата добавления записи (_ГГГГ-ММ-ДД_)." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:226 +msgid "" +"This is the date when any information in the entry was last modified (_YYYY-" +"MM-DD_). New entries must not include this field. Add it when editing an " +"existing entry." +msgstr "" +"Это дата, когда любая информация в записи была последний раз изменена (_ГГГГ-" +"ММ-ДД_). Новые записи не должны включать это поле. Добавьте его при " +"редактировании существующей записи." + +#. type: Title === +#: documentation/content/en/books/porters-handbook/security/_index.adoc:228 +#, no-wrap +msgid "Testing Changes to the VuXML Database" +msgstr "Тестирование ваших изменений в базе данных VuXML" + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:231 +msgid "" +"This example describes a new entry for a vulnerability in the package " +"`dropbear` that has been fixed in version `dropbear-2013.59`." +msgstr "" +"Этот пример описывает новую запись об уязвимости в пакете `dropbear`, " +"которая была исправлена в версии `dropbear-2013.59`." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:233 +msgid "" +"As a prerequisite, install a fresh version of package:security/vuxml[] port." +msgstr "" +"В качестве предварительного условия установите свежую версию порта " +"package:security/vuxml[]." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:236 +msgid "" +"First, check whether there already is an entry for this vulnerability. If " +"there were such an entry, it would match the previous version of the " +"package, `2013.58`:" +msgstr "" +"Сначала проверьте, есть ли уже запись об этой уязвимости. Если бы такая " +"запись существовала, она соответствовала бы предыдущей версии пакета " +"`2013.58`:" + +#. type: delimited block . 4 +#: documentation/content/en/books/porters-handbook/security/_index.adoc:240 +#, no-wrap +msgid "% pkg audit dropbear-2013.58\n" +msgstr "% pkg audit dropbear-2013.58\n" + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:243 +msgid "If there is none found, add a new entry for this vulnerability." +msgstr "Если запись не найдена, добавьте новую запись для этой уязвимости." + +#. type: delimited block . 4 +#: documentation/content/en/books/porters-handbook/security/_index.adoc:248 +#, no-wrap +msgid "" +"% cd ${PORTSDIR}/security/vuxml\n" +"% make newentry\n" +msgstr "" +"% cd ${PORTSDIR}/security/vuxml\n" +"% make newentry\n" + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:252 +msgid "" +"If the vulnerability has a https://cve.mitre.org/[MITRE CVE] identifier, the " +"following command can be used instead:" +msgstr "" +"Если уязвимость имеет идентификатор https://cve.mitre.org/[MITRE CVE], можно " +"использовать следующую команду:" + +#. type: delimited block . 4 +#: documentation/content/en/books/porters-handbook/security/_index.adoc:257 +#, no-wrap +msgid "" +"% cd ${PORTSDIR}/security/vuxml\n" +"% make newentry CVE_ID=CVE-YYYY-XXXXX\n" +msgstr "" +"% cd ${PORTSDIR}/security/vuxml\n" +"% make newentry CVE_ID=CVE-YYYY-XXXXX\n" + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:260 +msgid "where `CVE-YYYYY-XXXX` is a valid CVE identifier." +msgstr "где `CVE-YYYYY-XXXX` является действительным идентификатором CVE." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:263 +msgid "" +"If the vulnerability is a FreeBSD Security Advisory, the following command " +"can be used instead:" +msgstr "" +"Если уязвимость относится к FreeBSD Security Advisory, вместо этого можно " +"использовать следующую команду:" + +#. type: delimited block . 4 +#: documentation/content/en/books/porters-handbook/security/_index.adoc:268 +#, no-wrap +msgid "" +"% cd ${PORTSDIR}/security/vuxml\n" +"% make newentry SA_ID=FreeBSD-SA-YY-XXXXXX.asc\n" +msgstr "" +"% cd ${PORTSDIR}/security/vuxml\n" +"% make newentry SA_ID=FreeBSD-SA-YY-XXXXXX.asc\n" + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:271 +msgid "" +"where `FreeBSD-SA-YY-XXXXXX.asc` is a published https://www.freebsd.org/" +"security/advisories/[FreeBSD Security Advisory]." +msgstr "" +"где `FreeBSD-SA-YY-XXXXXX.asc` является опубликованным https://" +"www.freebsd.org/security/advisories/[FreeBSD Security Advisory]." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:273 +msgid "Verify its syntax and formatting:" +msgstr "Проверьте его синтаксис и форматирование:" + +#. type: delimited block . 4 +#: documentation/content/en/books/porters-handbook/security/_index.adoc:277 +#, no-wrap +msgid "% make validate\n" +msgstr "% make validate\n" + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:282 +msgid "" +"The previous command generates the [.filename]#vuln-flat.xml# file. It can " +"also be generated with:" +msgstr "" +"Предыдущая команда создает файл [.filename]#vuln-flat.xml#. Его также можно " +"создать с помощью:" + +#. type: delimited block . 4 +#: documentation/content/en/books/porters-handbook/security/_index.adoc:286 +#, no-wrap +msgid "% make vuln-flat.xml\n" +msgstr "% make vuln-flat.xml\n" + +#. type: delimited block = 4 +#: documentation/content/en/books/porters-handbook/security/_index.adoc:291 +msgid "" +"At least one of these packages needs to be installed: package:textproc/" +"libxml2[], package:textproc/jade[]." +msgstr "" +"Должен быть установлен хотя бы один из следующих пакетов: package:textproc/" +"libxml2[], package:textproc/jade[]." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:294 +msgid "" +"Verify that the `<affected>` section of the entry will match the correct " +"packages:" +msgstr "" +"Проверьте, что раздел `<affected>` записи соответствует правильным пакетам:" + +#. type: delimited block . 4 +#: documentation/content/en/books/porters-handbook/security/_index.adoc:298 +#, no-wrap +msgid "% pkg audit -f ${PORTSDIR}/security/vuxml/vuln-flat.xml dropbear-2013.58\n" +msgstr "% pkg audit -f ${PORTSDIR}/security/vuxml/vuln-flat.xml dropbear-2013.58\n" + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:301 +msgid "Make sure that the entry produces no spurious matches in the output." +msgstr "Убедитесь, что запись не создает ложных совпадений в выводе." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:303 +msgid "Now check whether the right package versions are matched by the entry:" +msgstr "Теперь проверьте, соответствуют ли записи правильные версии пакетов:" + +#. type: delimited block . 4 +#: documentation/content/en/books/porters-handbook/security/_index.adoc:312 +#, no-wrap +msgid "" +"% pkg audit -f ${PORTSDIR}/security/vuxml/vuln-flat.xml dropbear-2013.58 dropbear-2013.59\n" +"dropbear-2012.58 is vulnerable:\n" +"dropbear -- exposure of sensitive information, DoS\n" +"CVE: CVE-2013-4434\n" +"CVE: CVE-2013-4421\n" +"WWW: https://portaudit.FreeBSD.org/8c9b48d1-3715-11e3-a624-00262d8b701d.html\n" +msgstr "" +"% pkg audit -f ${PORTSDIR}/security/vuxml/vuln-flat.xml dropbear-2013.58 dropbear-2013.59\n" +"dropbear-2012.58 is vulnerable:\n" +"dropbear -- exposure of sensitive information, DoS\n" +"CVE: CVE-2013-4434\n" +"CVE: CVE-2013-4421\n" +"WWW: https://portaudit.FreeBSD.org/8c9b48d1-3715-11e3-a624-00262d8b701d.html\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/porters-handbook/security/_index.adoc:314 +#, no-wrap +msgid "1 problem(s) in the installed packages found.\n" +msgstr "1 problem(s) in the installed packages found.\n" + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:317 +msgid "The former version matches while the latter one does not." +msgstr "Предыдущая версия совпадает, а последняя — нет." + +#. type: Title === +#: documentation/content/en/books/porters-handbook/security/_index.adoc:319 +#, no-wrap +msgid "VuXML new entry checklist" +msgstr "Контрольный список для новой записи в VuXML" + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:323 +msgid "" +"Check the name of the port. Sometimes the upstream project name is not " +"exactly the same as the port name." +msgstr "" +"Проверьте название порта. Иногда имя проекта в вышестоящем репозитории не " +"полностью совпадает с именем порта." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:327 +msgid "" +"Add all flavors. When a port has flavors all the package names need to be " +"added as a `<package>` in the entry. Use the following script to generate " +"all flavored package names:" +msgstr "" +"Добавить все флейворы. Если у порта есть варианты, все имена пакетов должны " +"быть добавлены в запись как `<package>`. Используйте следующий скрипт для " +"генерации всех имен пакетов с вариантами:" + +#. type: delimited block . 4 +#: documentation/content/en/books/porters-handbook/security/_index.adoc:331 +#, no-wrap +msgid "% for flavor in $(make -V FLAVORS); do FLAVOR=\"${flavor}\" make -VPKGNAME;done\n" +msgstr "% for flavor in $(make -V FLAVORS); do FLAVOR=\"${flavor}\" make -VPKGNAME;done\n" + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:336 +msgid "" +"Check if the port has `PORTEPOCH`. The above script snippet helps with " +"that. If the port uses `PORTEPOCH` it is mandatory to add it to the " +"`<range>` tag." +msgstr "" +"Проверить, имеет ли порт `PORTEPOCH`. Приведённый выше фрагмент скрипта " +"помогает в этом. Если порт использует `PORTEPOCH`, обязательно добавить его " +"в тег `<range>`." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:340 +msgid "" +"Double check ranges. In the case of ranges limited on both sides, make sure " +"that the `<ge>` and `<lt>` elements are inside the same `<range>` tag. " +"Otherwise the entry might end up defining an overlapping range." +msgstr "" +"Перепроверьте диапазоны. В случае диапазонов, ограниченных с обеих сторон, " +"убедитесь, что элементы `<ge>` и `<lt>` находятся внутри одного тега " +"`<range>`. В противном случае запись может определить перекрывающийся " +"диапазон." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:349 +msgid "" +"Cross-check derivatives. Check whether derivatives or forks of the project " +"included in the ports tree are also affected. For example, if a " +"vulnerability is discovered in package:www/firefox[], assess whether " +"derivatives like package:www/librewolf[], package:www/waterfox[] or other " +"similar projects share the same vulnerability. Include all affected " +"derivatives in the VuXML entry, ensuring that users of these ports are " +"informed. Also check if there are Linux versions of the same port in the " +"tree. For instance, package:databases/sqlite3[] vulnerabilities most likely " +"affect packages like package:databases/linux-c7-sqlite3[] too." +msgstr "" +"Проверка производных версий. Если в вышестоящем проекте обнаружена " +"уязвимость, проверьте, затронуты ли также производные или форки проекта, " +"включённые в дерево портов. Например, если уязвимость обнаружена в " +"package:www/firefox[], оцените, есть ли такая же уязвимость в производных, " +"таких как package:www/librewolf[], package:www/waterfox[] или других " +"подобных проектах. Включите все затронутые производные в запись VuXML, чтобы " +"пользователи этих портов были проинформированы. Также проверьте наличие " +"Linux-версий этого порта в дереве. Например, уязвимости в package:databases/" +"sqlite3[] скорее всего затрагивают и пакеты вроде package:databases/linux-c7-" +"sqlite3[]." + +#. type: Plain text +#: documentation/content/en/books/porters-handbook/security/_index.adoc:349 +msgid "Do not commit an entry without running `make validate` first." +msgstr "Не делайте коммит записи, не запустив сначала `make validate`." + +#, no-wrap +#~ msgid "Cross-checking Derivatives" +#~ msgstr "Перекрестная проверка производных" |