diff options
| -rw-r--r-- | debian/changelog | 13 | ||||
| -rw-r--r-- | debian/patches-applied/pam-limits-nofile-fd-setsize-cap | 58 | ||||
| -rw-r--r-- | debian/patches-applied/series | 1 | ||||
| -rw-r--r-- | debian/po/sv.po | 4 | ||||
| -rw-r--r-- | debian/po/tr.po | 57 |
5 files changed, 115 insertions, 18 deletions
diff --git a/debian/changelog b/debian/changelog index f1877394..7512ec77 100644 --- a/debian/changelog +++ b/debian/changelog @@ -1,3 +1,16 @@ +pam (1.1.8-4) UNRELEASED; urgency=medium + + * Updated Swedish translation to correct a typo, thanks to Anders Jonsson + and Martin Bagge. Closes: #743875 + * Updated Turkish translation, thanks to Mert Dirik <mertdirik@gmail.com>. + (closes: #756756) + * d/applied-patches/pam-limits-nofile-fd-setsize-cap: cap the default + soft nofile limit read from pid 1 to FD_SETSIZE. Thanks to Robie Basak + <robie.basak@ubuntu.com> for the patch. Closes: #783105. + * Acknowledge security NMU. + + -- Steve Langasek <vorlon@debian.org> Wed, 09 Apr 2014 14:04:10 -0700 + pam (1.1.8-3.1) unstable; urgency=high * Non-maintainer upload by the Security Team. diff --git a/debian/patches-applied/pam-limits-nofile-fd-setsize-cap b/debian/patches-applied/pam-limits-nofile-fd-setsize-cap new file mode 100644 index 00000000..176d7845 --- /dev/null +++ b/debian/patches-applied/pam-limits-nofile-fd-setsize-cap @@ -0,0 +1,58 @@ +From: Robie Basak <robie.basak@ubuntu.com> +Subject: pam_limits: cap the default soft nofile limit read from pid 1 to FD_SETSIZE + +Cap the default soft nofile limit read from pid 1 to FD_SETSIZE since +larger values can cause problems with fd_set overflow and systemd sets +itself higher. + +See: +https://lists.ubuntu.com/archives/ubuntu-devel/2010-September/031446.html +http://www.outflux.net/blog/archives/2014/06/13/5-year-old-glibc-select-weakness-fixed/ +https://sourceware.org/bugzilla/show_bug.cgi?id=10352 +https://github.com/systemd/systemd/commit/4096d6f5879aef73e20dd7b62a01f447629945b0 + +pam_limits reads the default limits from /proc/1/limits. Previously, +using upstart, this resulted in a 1024 nofile soft limit on Ubuntu +systems by default. Using systemd, this results in a limit of 65536 +instead. This is not the intention of systemd upstream. See systemd +commit 4096d6f for an explanation of systemd's behaviour. + +If we want to make such a change to the default distribution soft limit +in PAM, we should do it deliberately and carefully, not accidentally. A +change should consider what uses select(2) and might inadvertently (and +incorrectly) assume that file descriptors will always fit into an +fd_set, what vulnerabilities or crashes the change could consequently +create, and whether the protection now present with FORTIFY_SOURCE is +suitably enabled in all relevant builds. + +So this keeps the soft limit at 1024 for now. The hard limit will rise +to 65536 along with systemd. Anything that knows that it will not be +buggy with respect to fd_set and FD_SETSIZE, such as by using poll(2) or +epoll(7) instead of select(2), can always raise the soft limit itself +without issue. + +20:54 <rbasak> slangasek: [...] I'm also not sure how to go about +upstreaming this as pam_limits seems to be heavily patched already. + +Forwarded: no +Reviewed-by: Adam Conrad <adconrad@ubuntu.com> +Reviewed-by: Martin Pitt <martin.pitt@ubuntu.com> +Last-Update: 2015-04-22 + +--- a/modules/pam_limits/pam_limits.c ++++ b/modules/pam_limits/pam_limits.c +@@ -439,6 +439,14 @@ static void parse_kernel_limits(pam_hand + pl->limits[i].src_hard = LIMITS_DEF_KERNEL; + } + fclose(limitsfile); ++ ++ /* Cap the default soft nofile limit read from pid 1 to FD_SETSIZE ++ * since larger values can cause problems with fd_set overflow and ++ * systemd sets itself higher. */ ++ if (pl->limits[RLIMIT_NOFILE].src_soft == LIMITS_DEF_KERNEL && ++ pl->limits[RLIMIT_NOFILE].limit.rlim_cur > FD_SETSIZE) { ++ pl->limits[RLIMIT_NOFILE].limit.rlim_cur = FD_SETSIZE; ++ } + } + + static int init_limits(pam_handle_t *pamh, struct pam_limit_s *pl, int ctrl) diff --git a/debian/patches-applied/series b/debian/patches-applied/series index 4e9b4839..d0e5fe69 100644 --- a/debian/patches-applied/series +++ b/debian/patches-applied/series @@ -23,3 +23,4 @@ lib_security_multiarch_compat pam-loginuid-in-containers cve-2013-7041.patch cve-2014-2583.patch +pam-limits-nofile-fd-setsize-cap diff --git a/debian/po/sv.po b/debian/po/sv.po index dd57b1f7..f56344ee 100644 --- a/debian/po/sv.po +++ b/debian/po/sv.po @@ -9,7 +9,7 @@ msgstr "" "Project-Id-Version: pam 0.99.7.1-5\n" "Report-Msgid-Bugs-To: pam@packages.debian.org\n" "POT-Creation-Date: 2011-10-30 15:05-0400\n" -"PO-Revision-Date: 2011-12-06 21:31+0100\n" +"PO-Revision-Date: 2014-04-08 11:37+0200\n" "Last-Translator: Martin Bagge / brother <brother@bsnet.se>\n" "Language-Team: Swedish <debian-l10n-swedish@lists.debian.org>\n" "Language: sv\n" @@ -134,7 +134,7 @@ msgid "" msgstr "" "Pluggable Authentication Modules (PAM) hanterar hur autentisering, " "identifiering och byte av lösenord ska utföras på systemet. Dessutom " -"hanteras särskilda åtgärder som ska vidtas vid uppstarta av " +"hanteras särskilda åtgärder som ska vidtas vid uppstart av " "användarsessioner." #. Type: multiselect diff --git a/debian/po/tr.po b/debian/po/tr.po index ef0563e4..960ce5e8 100644 --- a/debian/po/tr.po +++ b/debian/po/tr.po @@ -8,15 +8,15 @@ msgstr "" "Project-Id-Version: pam 0.99.7.1-5\n" "Report-Msgid-Bugs-To: pam@packages.debian.org\n" "POT-Creation-Date: 2011-10-30 15:05-0400\n" -"PO-Revision-Date: 2009-01-01 19:20+0200\n" +"PO-Revision-Date: 2014-08-01 14:42+0200\n" "Last-Translator: Mert Dirik <mertdirik@gmail.com>\n" "Language-Team: Debian L10n Turkish <debian-l10n-turkish@lists.debian.org>\n" -"Language: \n" +"Language: tr\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" -"X-Poedit-Language: Turkish\n" "Plural-Forms: nplurals=1; plural=0;\n" +"X-Generator: Poedit 1.5.4\n" #. Type: string #. Description @@ -48,7 +48,6 @@ msgstr "Görüntü yöneticisinin elle yeniden başlatılması gerekli" #. Type: error #. Description #: ../libpam0g.templates:2001 -#, fuzzy #| msgid "" #| "The kdm, wdm, and xdm display managers require a restart for the new " #| "version of libpam, but there are X login sessions active on your system " @@ -60,11 +59,11 @@ msgid "" "terminated by this restart. You will therefore need to restart these " "services by hand before further X logins will be possible." msgstr "" -"kdm, wdm ve xdm görüntü yöneticileri, libpam'ın yeni sürümünden " -"yararlanabilmek için yeniden başlatılmalı; fakat sisteminizde etkin X " -"oturumları var. Görüntü yöneticisi yeniden başlatılırsa bu oturumlar da " -"kapatılır. Bu yüzden ileride yeni X oturumları açabilmek için bu hizmetleri " -"elle yeniden başlatmanız gerekecek. " +"wdm ve xdm görüntü yöneticileri, libpam'ın yeni sürümünden yararlanabilmek " +"için yeniden başlatılmalı; fakat sisteminizde etkin X oturumları var. " +"Görüntü yöneticisi yeniden başlatılırsa bu oturumlar da kapatılır. Bu " +"yüzden ileride yeni X oturumları açabilmek için bu hizmetleri elle yeniden " +"başlatmanız gerekecek. " #. Type: error #. Description @@ -94,7 +93,7 @@ msgstr "" #. Description #: ../libpam0g.templates:4001 msgid "Restart services during package upgrades without asking?" -msgstr "" +msgstr "Paket yükseltme esnasında hizmetler sorulmadan yeniden başlatılsın mı?" #. Type: boolean #. Description @@ -108,18 +107,26 @@ msgid "" "necessary restarts will be done for you automatically so you can avoid being " "asked questions on each library upgrade." msgstr "" +"Sisteminizde libpam, libc ve libssl gibi bazı kitaplıklar yükseltildiğinde " +"yeniden başlatılması gereken bazı hizmetler kurulu. Yeniden başlatma " +"işlemleri sisteminizin sunduğu hizmetlerde kesintilere neden olabileceğinden " +"dolayı her yükseltme işlemi esnasında yeniden başlatmak istediğiniz " +"hizmetler size sorulacaktır. Eğer bu sorunun sorulmasını istemiyorsanız bu " +"seçeneği kullanabilirsiniz. Bu seçenek seçildiği takdirde bir kitaplık " +"yükseltmesi yapılırken gereken tüm yeniden başlatma işlemleri size " +"sorulmaksızın otomatik olarak yapılacaktır." #. Type: title #. Description #: ../libpam-runtime.templates:1001 msgid "PAM configuration" -msgstr "" +msgstr "PAM yapılandırması" #. Type: multiselect #. Description #: ../libpam-runtime.templates:2001 msgid "PAM profiles to enable:" -msgstr "" +msgstr "Etkinleştirilecek PAM profilleri:" #. Type: multiselect #. Description @@ -130,6 +137,10 @@ msgid "" "allowing configuration of additional actions to take when starting user " "sessions." msgstr "" +"Takılabilir Doğrulama Modülleri (PAM), sistemdeki kimlik doğrulama, izin " +"verme ve parola değiştirme işlemlerinin ne şekilde idare edileceğine karar " +"veren ve ayrıca kullanıcı oturumları başlatılırken atılması gereken adımları " +"yapılandırmaya yarayan bir sistemdir." #. Type: multiselect #. Description @@ -139,12 +150,16 @@ msgid "" "adjust the behavior of all PAM-using applications on the system. Please " "indicate which of these behaviors you wish to enable." msgstr "" +"Bazı PAM modül paketleri, sistemde mevcut olan ve PAM kullanan tüm " +"uygulamaların davranışlarını otomatik olarak ayarlamaya yarayan profiller " +"sağlar. Lütfen bu davranışlardan hangisini etkinleştirmek istediğinizi " +"belirtin." #. Type: error #. Description #: ../libpam-runtime.templates:3001 msgid "Incompatible PAM profiles selected." -msgstr "" +msgstr "Uyumsuz PAM profilleri seçildi" #. Type: error #. Description @@ -152,19 +167,20 @@ msgstr "" #. PAM profile names. #: ../libpam-runtime.templates:3001 msgid "The following PAM profiles cannot be used together:" -msgstr "" +msgstr "Şu PAM profilleri birarada kullanılamaz:" #. Type: error #. Description #: ../libpam-runtime.templates:3001 msgid "Please select a different set of modules to enable." -msgstr "" +msgstr "Lütfen farklı bir modül kümesi seçin." #. Type: boolean #. Description #: ../libpam-runtime.templates:4001 msgid "Override local changes to /etc/pam.d/common-*?" msgstr "" +"/etc/pam.d/common-* konumundaki yerel değişiklikler görmezden gelinsin mi?" #. Type: boolean #. Description @@ -176,12 +192,17 @@ msgid "" "decline this option, you will need to manage your system's authentication " "configuration by hand." msgstr "" +"/etc/pam.d/common-{auth,account,password,session} dosyalarından bir ya da " +"daha fazlası yerel olarak değiştirilmiş. Lütfen bu yerel değişikliklerin " +"sistem tarafından sağlanan yapılandırma ile değiştirilmesine izin verip " +"vermediğinizi belirtin. Bu seçeneği kabul etmediğiniz takdirde sistemin " +"kimlik doğrulama yapılandırmasını elinizle ayarlamanız gerekecektir." #. Type: error #. Description #: ../libpam-runtime.templates:5001 msgid "No PAM profiles have been selected." -msgstr "" +msgstr "Hiçbir PAM profili seçilmedi." #. Type: error #. Description @@ -191,6 +212,10 @@ msgid "" "all users access without authenticating, and is not allowed. Please select " "at least one PAM profile from the available list." msgstr "" +"Sistemde kullanılmak üzere hiçbir PAM modülü seçilmedi. Bu durum tüm " +"kullanıcılara hiçbir kimlik doğrulamaya maruz kalmaksızın erişim izni " +"verilmesi anlamına gelir ve bu duruma izin verilmemektedir. Lütfen mevcut " +"profiller listesinden en az bir PAM profili seçin." #. Type: error #. Description |