[Pkg-tcltk-commits] r1106 - in dotlrn/trunk/debian: . patches po

Thu Nov 25 13:08:26 UTC 2010

Author: geox-guest
Date: 2010-11-25 13:08:17 +0000 (Thu, 25 Nov 2010)
New Revision: 1106

Added:
   dotlrn/trunk/debian/patches/securityfix.dpatch
   dotlrn/trunk/debian/po/ja.po
Modified:
   dotlrn/trunk/debian/changelog
   dotlrn/trunk/debian/patches/00list
   dotlrn/trunk/debian/po/cs.po
   dotlrn/trunk/debian/po/vi.po
Log:
Fixed security issue and updated translations.



Modified: dotlrn/trunk/debian/changelog
===================================================================

--- dotlrn/trunk/debian/changelog	2010-11-25 13:08:11 UTC (rev 1105)
+++ dotlrn/trunk/debian/changelog	2010-11-25 13:08:17 UTC (rev 1106)
@@ -1,3 +1,17 @@
+dotlrn (2.5.0+dfsg-2) unstable; urgency=high
+
+  * Fixed severe vulnerability in the api-browser: it was possible to pass  
+    to the query parameter "path" a relative path, which might contain path
+    traversals like ../../.. . With these all files with read permissions
+    can be delivered via the server. Applied Patch: 
+    http://fisheye.openacs.org/changelog/OpenACS/?cs=oacs-5-5:gustafn:20101125091953
+  * Updated translations:
+    - Japanease. Closes: #602151
+    - Vietnamese. Closes: #599609
+    - Czech. Closes: #599608
+
+ -- Hector Romojaro <hromojaro at dia.uned.es>  Thu, 25 Nov 2010 13:48:29 +0100
+
 dotlrn (2.5.0+dfsg-1) unstable; urgency=high
 
   * Removed non DFSG files, check README.Debian for details. Closes: #591210

Modified: dotlrn/trunk/debian/patches/00list
===================================================================
--- dotlrn/trunk/debian/patches/00list	2010-11-25 13:08:11 UTC (rev 1105)
+++ dotlrn/trunk/debian/patches/00list	2010-11-25 13:08:17 UTC (rev 1106)
@@ -3,3 +3,4 @@
 interpreters-bashisms.dpatch
 install.dpatch
 xinha-iconset.dpatch
+securityfix.dpatch

Added: dotlrn/trunk/debian/patches/securityfix.dpatch
===================================================================
--- dotlrn/trunk/debian/patches/securityfix.dpatch	                        (rev 0)
+++ dotlrn/trunk/debian/patches/securityfix.dpatch	2010-11-25 13:08:17 UTC (rev 1106)
@@ -0,0 +1,22 @@
+#! /bin/sh /usr/share/dpatch/dpatch-run
+## securityfix.dpatch by Hector Romojaro <hromojaro at dia.uned.es>
+##
+## All lines beginning with `## DP:' are a description of the patch.
+## DP: No description.
+
+ at DPATCH@
+diff -urNad '--exclude=CVS' '--exclude=.svn' '--exclude=.git' '--exclude=.arch' '--exclude=.hg' '--exclude=_darcs' '--exclude=.bzr' trunk~/packages/acs-api-browser/www/content-page-view.tcl trunk/packages/acs-api-browser/www/content-page-view.tcl
+--- trunk~/packages/acs-api-browser/www/content-page-view.tcl	2003-05-17 11:38:28.000000000 +0200
++++ trunk/packages/acs-api-browser/www/content-page-view.tcl	2010-11-25 13:35:05.000000000 +0100
+@@ -50,6 +50,11 @@
+ 
+ set filename "[acs_root_dir]/$path"
+ 
++if {[regsub -all {[.][.]/} $filename "" shortened_filename]} {
++    ns_log notice "INTRUDER ALERT:\n\nsomesone tried to snarf '$filename'!\n  file exists: [file exists $filename]\n  user_id: [ad_conn user_id]\n  peer: [ad_conn peeraddr]\n"
++    set filename shortened_filename
++}
++
+ if {![file exists $filename] || [file isdirectory $filename]} {
+     set file_contents "file '$filename' not found"
+ } else {


Property changes on: dotlrn/trunk/debian/patches/securityfix.dpatch
___________________________________________________________________
Added: svn:executable
   + *

Modified: dotlrn/trunk/debian/po/cs.po
===================================================================
--- dotlrn/trunk/debian/po/cs.po	2010-11-25 13:08:11 UTC (rev 1105)
+++ dotlrn/trunk/debian/po/cs.po	2010-11-25 13:08:17 UTC (rev 1106)
@@ -15,10 +15,11 @@
 msgstr ""
 "Project-Id-Version: dbconfig-common\n"
 "Report-Msgid-Bugs-To: dotlrn @packages.debian.org\n"
-"POT-Creation-Date: 2010-01-06 07:06+0100\n"
+"POT-Creation-Date: 2010-01-18 16:06+0100\n"
 "PO-Revision-Date: 2010-01-19 11:36+0100\n"
 "Last-Translator: Miroslav Kure <kurem at debian.cz>\n"
 "Language-Team: Czech <debian-l10n-czech at lists.debian.org>\n"
+"Language: cs\n"
 "MIME-Version: 1.0\n"
 "Content-Type: text/plain; charset=UTF-8\n"
 "Content-Transfer-Encoding: 8bit\n"
@@ -26,14 +27,12 @@
 #. Type: string
 #. Description
 #: ../templates:1001
-#| msgid "Host running the ${dbvendor} server for ${pkg}:"
 msgid "Host running the PostgreSQL server for dotLRN:"
 msgstr "Počítač, na kterém běží PostgreSQL server pro dotLRN:"
 
 #. Type: string
 #. Description
 #: ../templates:1001
-#| msgid "Please provide the hostname of a remote ${dbvendor} server."
 msgid "Please provide the hostname of a remote PostgreSQL server."
 msgstr "Zadejte prosím jméno počítače vzdáleného PostgreSQL serveru."
 
@@ -50,7 +49,6 @@
 #. Type: string
 #. Description
 #: ../templates:2001
-#| msgid "Name of the database's administrative user:"
 msgid "Database administrator username:"
 msgstr "Uživatelské jméno správce databáze:"
 
@@ -67,7 +65,6 @@
 #. Type: password
 #. Description
 #: ../templates:3001
-#| msgid "Name of the database's administrative user:"
 msgid "Database administrator password:"
 msgstr "Heslo správce databáze:"
 
@@ -90,7 +87,6 @@
 #. Type: note
 #. Description
 #: ../templates:4001
-#| msgid "The passwords you supplied do not match.  Please try again."
 msgid ""
 "The two passwords you entered were not the same. Please enter a password "
 "again."
@@ -105,10 +101,6 @@
 #. Type: string
 #. Description
 #: ../templates:5001
-#| msgid ""
-#| "Please provide a ${dbvendor} username for ${pkg} to register with the "
-#| "database server.  A ${dbvendor} user is not necessarily the same as a "
-#| "system login, especially if the database is on a remote server."
 msgid ""
 "Please provide a PostgreSQL username for dotLRN to register with the "
 "database server.  A PostgreSQL user is not necessarily the same as a system "
@@ -121,7 +113,6 @@
 
 #. Type: string
 #. Description
-
 #: ../templates:5001
 msgid ""
 "This is the user which will own the database, tables and other objects to be "
@@ -147,7 +138,6 @@
 #. Type: password
 #. Description
 #: ../templates:7001
-#| msgid "Password confirmation:"
 msgid "Database owner password confirmation:"
 msgstr "Potvrzení hesla vlastníka databáze:"
 
@@ -167,7 +157,7 @@
 #. Description
 #: ../templates:8001
 msgid ""
-"Please specify whether /etc/postgresql/.../pg_hba.conf should  allow the "
+"Please specify whether /etc/postgresql/.../pg_hba.conf should allow the "
 "dotLRN user to access the database."
 msgstr ""
 "Rozhodněte se, zda se má v souboru /etc/postgresql/.../pg_hba.conf povolit "

Added: dotlrn/trunk/debian/po/ja.po
===================================================================
--- dotlrn/trunk/debian/po/ja.po	                        (rev 0)
+++ dotlrn/trunk/debian/po/ja.po	2010-11-25 13:08:17 UTC (rev 1106)
@@ -0,0 +1,123 @@
+# Copyright (C) 2010 Nobuhiro Iwamatsu <iwamatsu at debian.org>
+# This file is distributed under the same license as the dotlrn package.
+# Nobuhiro Iwamatsu <iwamatsu at debian.org>, 2010.
+msgid ""
+msgstr ""
+"Project-Id-Version: dotlrn_2.5.0+dfsg-1\n"
+"Report-Msgid-Bugs-To: dotlrn @packages.debian.org\n"
+"POT-Creation-Date: 2010-01-18 16:06+0100\n"
+"PO-Revision-Date: 2010-11-02 07:59+0900\n"
+"Last-Translator: Nobuhiro Iwamatsu <iwamatsu at debian.org>\n"
+"Language-Team: Japanese <debian-japanese at lists.debian.org>\n"
+"MIME-Version: 1.0\n"
+"Content-Type: text/plain; charset=utf-8\n"
+"Content-Transfer-Encoding: 8bit\n"
+
+#. Type: string
+#. Description
+#: ../templates:1001
+msgid "Host running the PostgreSQL server for dotLRN:"
+msgstr "dotLRN 用の PostgreSQL サーバを動かしているホスト:"
+
+#. Type: string
+#. Description
+#: ../templates:1001
+msgid "Please provide the hostname of a remote PostgreSQL server."
+msgstr "リモートの PostgreSQL サーバのホスト名を入力してください。"
+
+#. Type: string
+#. Description
+#: ../templates:1001
+msgid "You must have already arranged for the administrative account to be able to remotely create databases and grant privileges."
+msgstr "データベースの作成と権限の許可がリモートから可能な管理者アカウントを、あらかじめ用意しておく必要があります。"
+
+#. Type: string
+#. Description
+#: ../templates:2001
+msgid "Database administrator username:"
+msgstr "データベース管理者ユーザ名:"
+
+#. Type: string
+#. Description
+#: ../templates:2001
+msgid "Please enter the PostgreSQL administrator username, needed for the database creation."
+msgstr "データベースの作成に必要な、PostgreSQL の管理者ユーザ名を入力してください。"
+
+#. Type: password
+#. Description
+#: ../templates:3001
+msgid "Database administrator password:"
+msgstr "データベース管理者パスワード:"
+
+#. Type: password
+#. Description
+#: ../templates:3001
+msgid "Please enter the PostgreSQL administrator password, needed for the database creation."
+msgstr "データベースの作成に必要な、PostgreSQL の管理者パスワードを入力してください。"
+
+#. Type: note
+#. Description
+#: ../templates:4001
+msgid "Password mismatch"
+msgstr "パスワードが合致しません"
+
+#. Type: note
+#. Description
+#: ../templates:4001
+msgid "The two passwords you entered were not the same. Please enter a password again."
+msgstr "入力された2つのパスワードが異なります。もう一度パスワードを入力してください。"
+
+#. Type: string
+#. Description
+#: ../templates:5001
+msgid "Database username for dotLRN:"
+msgstr "dotLRN のデータベースユーザ名:"
+
+#. Type: string
+#. Description
+#: ../templates:5001
+msgid "Please provide a PostgreSQL username for dotLRN to register with the database server.  A PostgreSQL user is not necessarily the same as a system login, especially if the database is on a remote server."
+msgstr "dotLRN がデータベースサーバに登録するのに使う PostgreSQL ユーザ名を入力してください。特にデータベースがリモートのサーバにある場合はそうですが、PostgreSQL ユーザはシステムログインユーザと同じである必要はありません。"
+
+#. Type: string
+#. Description
+#: ../templates:5001
+msgid "This is the user which will own the database, tables and other objects to be created by this installation.  This user will have complete freedom to insert, change or delete data in the database."
+msgstr "これは、今回のインストールで作成されるデータベース、テーブルその他を所有するユーザです。このユーザはデータベース内でデータの insert、変更、消去を全く自由に行うことができます。"
+
+#. Type: password
+#. Description
+#: ../templates:6001
+msgid "Database owner password:"
+msgstr "データベース所有者のパスワード:"
+
+#. Type: password
+#. Description
+#: ../templates:6001
+msgid "Please enter the password of the dotLRN database owner."
+msgstr "dotLRN のデータベース所有者のパスワードを入力してください。"
+
+#. Type: password
+#. Description
+#: ../templates:7001
+msgid "Database owner password confirmation:"
+msgstr "データベース所有者のパスワード確認:"
+
+#. Type: password
+#. Description
+#: ../templates:7001
+msgid "Please confirm the password of the dotLRN database owner."
+msgstr "dotLRN のデータベース所有者のパスワードを確認してください。"
+
+#. Type: boolean
+#. Description
+#: ../templates:8001
+msgid "Grant PostgreSQL access to the dotLRN user?"
+msgstr "dotLRN ユーザに対して PostgerSQL へのアクセスを承諾しますか?"
+
+#. Type: boolean
+#. Description
+#: ../templates:8001
+msgid "Please specify whether /etc/postgresql/.../pg_hba.conf should allow the dotLRN user to access the database."
+msgstr "/etc/postgresql/.../pg_hba.conf で dotLRN ユーザにデータベースへのアクセスを許可するかどうかを指定してください。"
+

Modified: dotlrn/trunk/debian/po/vi.po
===================================================================
--- dotlrn/trunk/debian/po/vi.po	2010-11-25 13:08:11 UTC (rev 1105)
+++ dotlrn/trunk/debian/po/vi.po	2010-11-25 13:08:17 UTC (rev 1106)
@@ -6,10 +6,11 @@
 msgstr ""
 "Project-Id-Version: dotlrn\n"
 "Report-Msgid-Bugs-To: dotlrn @packages.debian.org\n"
-"POT-Creation-Date: 2010-01-06 07:06+0100\n"
+"POT-Creation-Date: 2010-01-18 16:06+0100\n"
 "PO-Revision-Date: 2010-02-11 19:15+0930\n"
 "Last-Translator: Clytie Siddall <clytie at riverland.net.au>\n"
 "Language-Team: Vietnamese <vi-VN at googlegroups.com>\n"
+"Language: vi\n"
 "MIME-Version: 1.0\n"
 "Content-Type: text/plain; charset=UTF-8\n"
 "Content-Transfer-Encoding: 8bit\n"
@@ -19,48 +20,55 @@
 #. Type: string
 #. Description
 #: ../templates:1001
-#| msgid "Host running the ${dbvendor} server for ${pkg}:"
 msgid "Host running the PostgreSQL server for dotLRN:"
 msgstr "Máy chạy trình phục vụ PostgreSQL cho dotLRN:"
 
 #. Type: string
 #. Description
 #: ../templates:1001
-#| msgid "Please provide the hostname of a remote ${dbvendor} server."
 msgid "Please provide the hostname of a remote PostgreSQL server."
 msgstr "Hãy cung cấp tên máy của một máy phục vụ PostgreSQL chạy từ xa."
 
 #. Type: string
 #. Description
 #: ../templates:1001
-msgid "You must have already arranged for the administrative account to be able to remotely create databases and grant privileges."
-msgstr "Để có khả năng tạo cơ sở dữ liệu và cấp quyền truy cập một cách từ xa, trước tiên bạn cần phải thiết lập tài khoản quản trị."
+msgid ""
+"You must have already arranged for the administrative account to be able to "
+"remotely create databases and grant privileges."
+msgstr ""
+"Để có khả năng tạo cơ sở dữ liệu và cấp quyền truy cập một cách từ xa, trước "
+"tiên bạn cần phải thiết lập tài khoản quản trị."
 
 #. Type: string
 #. Description
 #: ../templates:2001
-#| msgid "Name of the database's administrative user:"
 msgid "Database administrator username:"
 msgstr "Tên người dùng quản trị cơ sở dữ liệu:"
 
 #. Type: string
 #. Description
 #: ../templates:2001
-msgid "Please enter the PostgreSQL administrator username, needed for the database creation."
-msgstr "Hãy gõ tên người dùng của quản trị PostgreSQL, cần thiết để tạo cơ sở dữ liệu."
+msgid ""
+"Please enter the PostgreSQL administrator username, needed for the database "
+"creation."
+msgstr ""
+"Hãy gõ tên người dùng của quản trị PostgreSQL, cần thiết để tạo cơ sở dữ "
+"liệu."
 
 #. Type: password
 #. Description
 #: ../templates:3001
-#| msgid "Name of the database's administrative user:"
 msgid "Database administrator password:"
 msgstr "Mật khẩu quản trị cơ sở dữ liệu:"
 
 #. Type: password
 #. Description
 #: ../templates:3001
-msgid "Please enter the PostgreSQL administrator password, needed for the database creation."
-msgstr "Hãy gõ mật khẩu của quản trị PostgreSQL, cần thiết để tạo cơ sở dữ liệu."
+msgid ""
+"Please enter the PostgreSQL administrator password, needed for the database "
+"creation."
+msgstr ""
+"Hãy gõ mật khẩu của quản trị PostgreSQL, cần thiết để tạo cơ sở dữ liệu."
 
 #. Type: note
 #. Description
@@ -71,7 +79,9 @@
 #. Type: note
 #. Description
 #: ../templates:4001
-msgid "The two passwords you entered were not the same. Please enter a password again."
+msgid ""
+"The two passwords you entered were not the same. Please enter a password "
+"again."
 msgstr "Bạn đã gõ hai mật khẩu không trùng nhau. Hãy gõ lại mật khẩu."
 
 #. Type: string
@@ -83,18 +93,27 @@
 #. Type: string
 #. Description
 #: ../templates:5001
-#| msgid ""
-#| "Please provide a ${dbvendor} username for ${pkg} to register with the "
-#| "database server.  A ${dbvendor} user is not necessarily the same as a "
-#| "system login, especially if the database is on a remote server."
-msgid "Please provide a PostgreSQL username for dotLRN to register with the database server.  A PostgreSQL user is not necessarily the same as a system login, especially if the database is on a remote server."
-msgstr "Hãy cung cấp một tên người dùng PostgreSQL cho dotLRN đăng ký với máy phục vụ cơ sở dữ liệu. Người dùng PostgreSQL không nhất thiết là trùng với sự đăng nhập hệ thống, đặc biệt nếu cơ sở dữ liêu nằm trên máy phục vụ chạy từ xa."
+msgid ""
+"Please provide a PostgreSQL username for dotLRN to register with the "
+"database server.  A PostgreSQL user is not necessarily the same as a system "
+"login, especially if the database is on a remote server."
+msgstr ""
+"Hãy cung cấp một tên người dùng PostgreSQL cho dotLRN đăng ký với máy phục "
+"vụ cơ sở dữ liệu. Người dùng PostgreSQL không nhất thiết là trùng với sự "
+"đăng nhập hệ thống, đặc biệt nếu cơ sở dữ liêu nằm trên máy phục vụ chạy từ "
+"xa."
 
 #. Type: string
 #. Description
 #: ../templates:5001
-msgid "This is the user which will own the database, tables and other objects to be created by this installation.  This user will have complete freedom to insert, change or delete data in the database."
-msgstr "Đây là người dùng sẽ sở hữu cơ sơ dữ liệu, các bảng và đối tượng đều sẽ được tạo trong việc cài đặt này. Người dùng này sẽ có mọi quyền chèn, thay đổi và xóa dữ liệu trong cơ sở dữ liệu."
+msgid ""
+"This is the user which will own the database, tables and other objects to be "
+"created by this installation.  This user will have complete freedom to "
+"insert, change or delete data in the database."
+msgstr ""
+"Đây là người dùng sẽ sở hữu cơ sơ dữ liệu, các bảng và đối tượng đều sẽ được "
+"tạo trong việc cài đặt này. Người dùng này sẽ có mọi quyền chèn, thay đổi và "
+"xóa dữ liệu trong cơ sở dữ liệu."
 
 #. Type: password
 #. Description
@@ -111,7 +130,6 @@
 #. Type: password
 #. Description
 #: ../templates:7001
-#| msgid "Password confirmation:"
 msgid "Database owner password confirmation:"
 msgstr "Xác nhận mật khẩu sở hữu cơ sở dữ liệu:"
 
@@ -130,6 +148,9 @@
 #. Type: boolean
 #. Description
 #: ../templates:8001
-msgid "Please specify whether /etc/postgresql/.../pg_hba.conf should  allow the dotLRN user to access the database."
-msgstr "Hãy xác định nếu tập tin cấu hình « /etc/postgresql/.../pg_hba.conf » có nên cho phép người dùng dotLRN truy cập đến cơ sở dữ liệu hay không."
-
+msgid ""
+"Please specify whether /etc/postgresql/.../pg_hba.conf should allow the "
+"dotLRN user to access the database."
+msgstr ""
+"Hãy xác định nếu tập tin cấu hình « /etc/postgresql/.../pg_hba.conf » có nên "
+"cho phép người dùng dotLRN truy cập đến cơ sở dữ liệu hay không."


