Re: [TAF] wml://security/2011/dsa-2162.wml
On Wed, Feb 16, 2011 at 12:07:22AM +0300, Vladimir Zhbanov wrote:
> On Tue, Feb 15, 2011 at 03:08:06AM +0200, Alexander Reshetov wrote:
> > Почти перевёл, но с первым предложением затруднения.
> > И в целом не ясно как лучше переводить 'parsed'
> >
> > > to parse past the end of the message.
> > > to expose contents of a parsed
> >
> > Есть у кого какие идеи?
> >
> > <define-tag description>invalid memory access</define-tag>
> > <define-tag moreinfo>
> > <p>Neel Mehta обнаружил, что неправильно сформированное сообщение приветствия
> > (ClientHello) может привести к тому, что OpenSSL to parse past the end of the message.
> > Это позволяет злоумышленнику привести приложение, использующее OpenSSL,
> > к аварийному завершению из-за неправильного обращения к памяти. Кроме того,
> > некоторые приложения могут быть подвержены показу содержимого обработанного
> > запроса расширения nonce OSCP (OCSP nonce extension).</p>
> >
>
> <p>Neel Mehta обнаружил, что неправильный формат посылки процедуры
> согласования ClientHello может заставить OpenSSL обрабатывать данные за
> пределами данной посылки. Это позволяет злоумышленникам взламывать
> приложения с помощью OpenSSL, вызывая доступ к недопустимой области
> памяти. Кроме того, некоторые приложения могут быть скомпрометированы
> раскрытием содержимого расшифрованного расширения OCSP "nonce".</p>
А действительно "взламывать", а не "crash - разрушать"?
И с помощью ли OpenSSL?
> This allows an attacker to crash an application using OpenSSL
> by triggering an invalid memory access.
"application using OpenSSL" - какие приложения
"by triggering an invalid memory access" - как/с помощью чего
Reply to: