Add japanese translations for security advisories

Author: azuchi

_data/navigation.yml

@@ -167,8 +167,8 @@ ja:
         title: "ライフサイクル"
         url:   "/ja/lifecycle"
       security-advisories:
-        title: "Security Advisories"
-        url:   "/en/security-advisories/"
+        title: "セキュリティアドバイザリ"
+        url:   "/ja/security-advisories/"
   contact:
     title: "コンタクト"
     submenu: true

_layouts/home.html

@@ -37,10 +37,12 @@ <h3><a href="{{ navigation.blog.url }}">Recent Posts</a></h3>
       {% assign english_posts=site.posts | where:"lang", 'en' | where:"type", 'posts' %}
       {% assign translated_posts=site.posts | where:"lang", page.lang | where:"type", 'posts' %}
       {% assign advisories=site.posts | where:"lang", 'en' | where:"type", 'advisory' %}
+      {% assign translated_advisories=site.posts | where:"lang", page.lang | where:"type", 'advisory' %}
       {% assign all=advisories | concat: english_posts | sort: "date" | reverse %}
+      {% assign translated_all=translated_advisories | concat: translated_posts | sort: "date" | reverse %}
       {% for default_post in all limit:5 %}
       {% assign post=default_post %}
-      {% for tpost in translated_posts %}
+      {% for tpost in translated_all %}
         {% if tpost.name == post.name %}{% assign found=true %}{% assign post=tpost %}{% break %}{% endif %}
       {% endfor %}
     <article>

_layouts/post-index.html

@@ -37,9 +37,11 @@ <h1>{{ page.title | xml_escape }}</h1>
     {% assign advisories=site.posts | where:"lang", 'en' | where:"type", 'advisory' %}
     {% assign all=advisories | concat: english_posts | sort: "date" | reverse %}
     {% assign translated_posts=site.posts | where:"lang", page.lang | where:"type", 'posts' %}
+    {% assign translated_advisories=site.posts | where:"lang", page.lang | where:"type", 'advisory' %}
+    {% assign translated_all=translated_advisories | concat: translated_posts | sort: "date" | reverse %}
     {% for default_post in all %}
       {% assign post=default_post %}
-      {% for tpost in translated_posts %}
+      {% for tpost in translated_all %}
         {% if tpost.name == post.name %}{% assign found=true %}{% assign post=tpost %}{% break %}{% endif %}
       {% endfor %}
       {% capture year %}{{ post.date | date: '%Y' }}{% endcapture %}

_posts/ja/pages/2024-06-26-security-advisories.md

@@ -0,0 +1,46 @@
+---
+title: セキュリティアドバイザリ
+name: Security Advisories
+id: ja-security-advisories
+permalink: /ja/security-advisories/
+layout: page
+type: pages
+lang: ja
+version: 1
+---
+{% include toc.html %}
+
+このページでは、Bitcoin Coreの脆弱性の開示に関するポリシーと、
+過去のセキュリティアドバイザリの概要を掲載しています。
+
+## ポリシー {#policy}
+
+脆弱性が報告されると、重大度のカテゴリが割り当てられます。私たちは脆弱性を4つのクラスで区別します。
+
+* **低**: 悪用が難しい、または影響が少ないバグ。たとえば、被害者のマシンへのアクセスを必要とするウォレットのバグなどです。
+
+* **中**: 影響が限定的なバグ。たとえば、ローカルネットワークのリモートクラッシュなどです。
+
+* **高**: 重大な影響を与えるバグ。たとえば、リモートクラッシュやローカルネットワークのリモートコード実行などです。
+
+* **クリティカル**: ネットワーク全体の完全性を脅かすバグ。たとえば、インフレーションやコイン盗難のバグなどです。
+
+重要度が**低**のバグは、修正バージョンがリリースされてから2週間後に公開されます。リリースと同時に事前の発表も行われます。
+
+重要度が**中**と**高**のバグは、[影響を受ける最後のリリースがEOLになって](/ja/lifecycle/)から2週間後に公開されます。
+  これは修正バージョンが最初にリリースされてから1年後です。事前の発表は公開の2週間前に行われます。
+
+重要度が**クリティカル**のバグは、アドホックな手順が必要になる可能性があるため、標準ポリシーでは考慮されません。
+  また、バグは脆弱性とはみなされない場合もあります。報告された問題が深刻であるとみなされても、
+  それが必ずしも情報公開の禁止措置が必要であるとは限りません。
+
+## 過去のセキュリティアドバイザリ {#past-security-advisories}
+
+{% assign advisories=site.posts | where:"lang", 'ja' | where:"type", 'advisory' | sort: "date" | reverse %}
+{% for advisory in advisories %}
+{% assign post=advisory %}
+  <article>
+    <h2><a href="{{ post.url }}" title="{{ post.title | xml_escape }}">{{ post.title }}</a></h2>
+    <p>{{ post.excerpt | markdownify | strip_html | truncate: 200 }}</p>
+  </article>
+{% endfor %}

_posts/ja/posts/2018-09-20-notice.md

@@ -4,7 +4,7 @@ name: cve-2018-17144-full-disclosure
 id: ja-cve-2018-17144-full-disclosure
 lang: ja
 permalink: /ja/2018/09/20/notice/
-type: posts
+type: advisory
 layout: post
 
 ## If this is a new post, reset this counter to 1.

_posts/ja/posts/2024-07-03-disclose-bip70-crash.md

@@ -0,0 +1,46 @@
+---
+title: 悪意あるBIP72 URIによるクラッシュの開示（バージョン 0.19.2 以下）
+name: blog-disclose-bip70-crash
+id: ja-blog-disclose-bip70-crash
+lang: ja
+permalink: /ja/2024/07/03/disclose-bip70-crash/
+type: advisory
+layout: post
+
+## If this is a new post, reset this counter to 1.
+version: 1
+
+## Only true if release announcement or security annoucement. English posts only
+announcement: 0
+
+excerpt: >
+  Bitcoin CoreのBIP70の実装は、BIP72 URIを開くと密かにクラッシュする可能性があります。
+---
+
+Bitcoin-Qtは、[BIP72](https://github.com/bitcoin/bips/blob/master/bip-0072.mediawiki) URIを開く際にクラッシュする可能性がありました。
+
+この問題の重大度は**中**です。
+
+## 詳細 {#details}
+
+[BIP72](https://github.com/bitcoin/bips/blob/master/bip-0072.mediawiki)は、BIP21 URIスキームを拡張し、支払い要求をフェッチするためのパラメーター`r`を保持します。
+攻撃者は、パラメーター`r`に含まれるURLに単に非常に大きなファイルを指定するだけで、
+Bitcoin-Qtは十分なメモリを割り当てようとし、クラッシュします。
+
+被害者は、騙されて不正な支払い要求を開いてしまう可能性があります。大きなダウンロードはバックグラウンドで行われ、
+アプリケーションのメモリが不足するまでGUIにはほとんど何も出力されません。
+
+## 貢献 {#attribution}
+
+責任を持って問題を開示し、PoCを提供したMichael Ford (Fanquake)に感謝します。
+
+## タイムライン {#timeline}
+
+- 2019-08-12 Michael FordがCory FieldsとWladimir Van Der Laanにバグを報告
+- 2019-10-16 Michael FordはBIP70のサポートを完全に廃止するためにPR[#17165](https://github.com/bitcoin/bitcoin/pull/17165)を公開
+- 2019-10-26 MichaelのPRがBitcoin Coreにマージされる
+- 2020-06-03 Bitcoin Core バージョン 0.20.0がリリースされる
+- 2021-09-13 脆弱性のある最後のBitcoin Coreのバージョン (0.19.0)がEOLになる
+- 2024-07-03 公開
+
+{% include references.md %}

_posts/ja/posts/2024-07-03-disclose-getdata-cpu.md

@@ -0,0 +1,48 @@
+---
+title: 悪意あるP2PメッセージによるCPU DoSの開示（バージョン0.19.2以下）
+name: blog-disclose-getdata-cpu
+id: ja-blog-disclose-getdata-cpu
+lang: ja
+permalink: /ja/2024/07/03/disclose-getdata-cpu/
+type: advisory
+layout: post
+
+## If this is a new post, reset this counter to 1.
+version: 1
+
+## Only true if release announcement or security annoucement. English posts only
+announcement: 0
+
+excerpt: >
+  不正な`GETDATA`メッセージが受信ノードで無限ループを引き起こし、スレッドに割り当てられたCPUの100%を使用します。
+---
+
+不正な`GETDATA`が受信ノードで無限ループを引き起こし、このスレッドに割り当てられたCPUを100%使用し、
+その接続でのこれ以上の進行ができなくなる可能性がありました。
+
+この問題の重大度は**低**です。
+
+## 詳細 {#details}
+
+Bitcoin Core 0.20.0より前のバージョンでは、攻撃者（またはバグのあるクライアント）が
+`GETDATA`メッセージを送信して、net_processingスレッドが100%で回り始め、
+攻撃ピアのメッセージ処理が進捗しなくなる可能性がありました。
+他のピアからのメッセージの処理は進むので、それ以上の影響は小さなCPU DoSに過ぎません（攻撃ピアの処理が進まないことは問題ではありません）。
+また、ピア毎の長期メモリ使用量が1.5MB増加します。
+
+John Newberyは、この問題を修正するために[PR #18808](https://github.com/bitcoin/bitcoin/pull/18808)を公開し、進捗がないことだけを開示しました。
+
+## 貢献 {#attribution}
+
+このバグを発見し、責任ある開示をし修正したJohn Newberyに感謝します。
+
+## タイムライン {#timeline}
+
+- 2020-04-29 John Newberyが#18808を公開
+- 2020-05-08 John Newberyがメールで彼の発見を報告
+- 2020-05-12 #18808がマージされる
+- 2020-06-03 Bitcoin Core バージョン 0.20.0が修正と共にリリースされる
+- 2021-09-13 脆弱性のある最後のバージョンのBitcoin Core(0.19.x)がEOLになる
+- 2024-07-03 公開
+
+{% include references.md %}

_posts/ja/posts/2024-07-03-disclose-header-spam.md

@@ -0,0 +1,47 @@
+---
+title: 低難易度ヘッダーを使用したメモリDoSの開示（バージョン0.14.3以下）
+name: blog-disclose-header-spam-checkpoint-bypass
+id: ja-blog-disclose-header-spam-checkpoint-bypass
+lang: ja
+permalink: /ja/2024/07/03/disclose-header-spam/
+type: advisory
+layout: post
+
+## If this is a new post, reset this counter to 1.
+version: 1
+
+## Only true if release announcement or security annoucement. English posts only
+announcement: 0
+
+excerpt: >
+  Bitcoin Core 0.12.0からBitcoin Core 0.15.0未満で、ノードに最小難易度のヘッダーがスパム送信される可能性があり、これを利用してOOMによりクラッシュする可能性がありました。
+---
+
+Bitcoin Core 0.12.0からBitcoin Core 0.15.0未満で、ノードに最小難易度のヘッダーがスパム送信される可能性があり、これを利用してOOMによりクラッシュする可能性がありました。
+
+この問題の重大度は**中**です。
+
+## 詳細 {#details}
+
+[ヘッダーの事前同期](https://github.com/bitcoin/bitcoin/pull/25717)が導入される前は、ノードは難易度の低いヘッダーによるスパムを避けるため、
+チェックポイントのみに依存していました。
+
+Bitcoin Core 0.12.0では、最後のチェックポイントの高さより前にヘッダーが分岐した場合のチェックが、
+`mapBlockIndex`にヘッダーを格納した後に移動されました。これにより、攻撃者は、
+親がジェネシスブロックであるヘッダー（作成に必要な難易度は1）をスパムすることで、
+そのようなブロックがチェックポイントロジックをバイパスするため、マップを無制限に拡大させることができました。
+
+## 貢献 {#attribution}
+
+このバグを発見し責任をもって開示したCory Fieldsに感謝します。
+
+## タイムライン {#timeline}
+
+- 2017-08-08 Cory Fieldsがバグを非公開で報告
+- 2017-08-11 Pieter Wuilleが修正のために[PR #11028](https://github.com/bitcoin/bitcoin/pull/11028)を公開
+- 2017-08-14 PR #11028がマージされる
+- 2017-09-14 Bitcoin Core バージョン 0.15.0が修正と共にリリースされる
+- 2018-10-03 脆弱性のある最後のバージョンのBitcoin Core (0.14.3)がEOLになる
+- 2024-07-03 公開
+
+{% include references.md %}

_posts/ja/posts/2024-07-03-disclose-inv-buffer-blowup.md

@@ -0,0 +1,48 @@
+---
+title: 悪意あるP2PメッセージによるメモリDoSの開示（バージョン0.19.2以下）
+name: blog-disclose-inv-buffer-blowup
+id: ja-blog-disclose-inv-buffer-blowup
+lang: ja
+permalink: /ja/2024/07/03/disclose-inv-buffer-blowup/
+type: advisory
+layout: post
+
+## If this is a new post, reset this counter to 1.
+version: 1
+
+## Only true if release announcement or security annoucement. English posts only
+announcement: 0
+
+excerpt: >
+  Bitcoin Coreの旧バージョンに影響するDoS脆弱性の開示
+---
+
+特別に細工された`INV`メッセージを受信すると、ノードは大量のメモリを強制的に割り当てざるを得なくなる可能性がありました。
+これは、使用可能なメモリが少ないノードや接続数の多いノードで特に問題になります。
+
+この問題の重大度は**中**です。
+
+## 詳細 {#details}
+
+50,000個のブロック項目で満たされた`INV`メッセージは、1回の`ProcessMessages()`呼び出しで、
+50,000個の`getheaders`応答を送信する可能性があります。各応答は、ロケーターを含む約1kBです。
+このすべてが一度に送信バッファに入れられます。
+攻撃者はデータの受信を拒否するだけで、50MBのバッファが空になるのを防ぐことができます。
+
+John Newberyは、受信した`INV`毎に1つの`GETHEADERS`を送信することによる帯域幅の増加を口実に、
+この問題を修正するための[PR #18962](https://github.com/bitcoin/bitcoin/pull/18962)を公開しました。
+
+## 貢献 {#attribution}
+
+このバグを発見し、責任を持って開示し修正したJohn Newberyに感謝します。
+
+## タイムライン {#timeline}
+
+- 2020-05-08 John Newberyが発見した内容をメールで報告
+- 2020-05-12 John Newberyが#18962を公開
+- 2020-05-14 #18962がマージされる
+- 2020-06-03 Bitcoin Core バージョン 0.20.0が修正と共にリリースされる
+- 2021-09-13 脆弱性のある最後のバージョンのBitcoin Core(0.19.x)がEOLになる
+- 2024-07-03 公開
+
+{% include references.md %}

_posts/ja/posts/2024-07-03-disclose-orphan-dos.md

@@ -0,0 +1,53 @@
+---
+title: 悪意あるP2PメッセージによるCPU DoS/停止の開示（バージョン0.17.2以下）
+name: blog-disclose-orphan-dos
+id: ja-blog-disclose-orphan-dos
+lang: ja
+permalink: /ja/2024/07/03/disclose-orphan-dos/
+type: advisory
+layout: post
+
+## If this is a new post, reset this counter to 1.
+version: 1
+
+## Only true if release announcement or security annoucement. English posts only
+announcement: 0
+
+excerpt: >
+  特別に細工された未承認トランザクションのオーファンを処理する際に、ノードが数時間停止する可能性がありました。
+---
+
+特別に細工された未承認トランザクションのオーファンを処理する際に、ノードが数時間停止する可能性がありました。
+
+この問題の重大度は**高**です。
+
+## 詳細 {#details}
+
+トランザクションをmempoolに受け入れた後、ノードはオーファントランザクションのキャッシュを調べて、
+新しく受け入れられたトランザクションによりオーファントランザクションが受け入れ可能になるかどうか調べます。
+この探索は2次関数的で、新しく受け入れれたトランザクションの各アウトプットに対して、
+（100件に制限されている）キャッシュされたオーファントランザクションをすべて調べます。
+オーファントランザクションを無効でありながら検証にコストがかかるよう特別に細工すると、
+ノードが数時間停止する可能性があります。
+
+この停止は、（オーファンが有効であるかどうかにかかわらず）オーファンとの一致が見つかった際に
+新しいメッセージを処理するためにオーファンの解決を中断することで、
+Pieter Wuilleによって[PR #15644](https://github.com/bitcoin/bitcoin/pull/15644)で修正されました。
+
+## 貢献 {#attribution}
+
+このバグを責任を持って開示し、修正に関するフィードバックを提供してくれたsec.eineに感謝します。
+
+## タイムライン {#timeline}
+
+- 2019-03-19 sec.eineがメールでGreg Maxwellにこの問題を報告
+- 2019-03-21 Greg Maxwellが提案されたパッチに関する情報を返信
+- 2019-03-22 sec.eineがパッチについてフィードバックを提供（「堅実で、[..]注意を引かない」）
+- 2019-03-22 Pieter WuilleがPR #15644を公開
+- 2019-04-01 PR #15644がマージされる
+- 2019-05-18 Bitcoin Core バージョン 0.18.0が修正と共にリリースされる
+- 2020-07-22 PR review clubで問題が[部分的に開示される](https://bitcoincore.reviews/15644#l-285)
+- 2020-08-01 脆弱性のある最後のバージョンのBitcoin Core version (0.17.x)がEOLになる
+- 2024-07-03 公開
+
+{% include references.md %}