Re: [TAF] wml://security/2011/dsa-2162.wml

To: debian-l10n-russian@lists.debian.org
Subject: Re: [TAF] wml://security/2011/dsa-2162.wml
From: Vladimir Zhbanov <vzhbanov@gmail.com>
Date: Wed, 16 Feb 2011 23:39:41 +0300
Message-id: <[🔎] 20110216203941.GB4566@localhost.localdomain>
In-reply-to: <[🔎] 20110216195310.GB14963@meissa>
References: <[🔎] 20110215010115.GA2484@meissa> <[🔎] 20110215010806.GA2533@meissa> <[🔎] 20110215210722.GC30259@localhost.localdomain> <[🔎] 20110216195310.GB14963@meissa>

On Wed, Feb 16, 2011 at 09:53:10PM +0200, Alexander Reshetov wrote:
> On Wed, Feb 16, 2011 at 12:07:22AM +0300, Vladimir Zhbanov wrote:
> > On Tue, Feb 15, 2011 at 03:08:06AM +0200, Alexander Reshetov wrote:
> > > Почти перевёл, но с первым предложением затруднения.
> > > И в целом не ясно как лучше переводить 'parsed'
> > > 
> > > > to parse past the end of the message.
> > > > to expose contents of a parsed
> > > 
> > > Есть у кого какие идеи?
> > > 
> > > <define-tag description>invalid memory access</define-tag>
> > > <define-tag moreinfo>
> > > <p>Neel Mehta обнаружил, что неправильно сформированное сообщение приветствия
> > > (ClientHello) может привести к тому, что OpenSSL to parse past the end of the message. 
> > > Это позволяет злоумышленнику привести приложение, использующее OpenSSL,
> > > к аварийному завершению из-за неправильного обращения к памяти. Кроме того,
> > > некоторые приложения могут быть подвержены показу содержимого обработанного
> > > запроса расширения nonce OSCP (OCSP nonce extension).</p>
> > > 
> > 
> > <p>Neel Mehta обнаружил, что неправильный формат посылки процедуры
> > согласования ClientHello может заставить OpenSSL обрабатывать данные за
> > пределами данной посылки. Это позволяет злоумышленникам взламывать
> > приложения с помощью OpenSSL, вызывая доступ к недопустимой области
> > памяти. Кроме того, некоторые приложения могут быть скомпрометированы
> > раскрытием содержимого расшифрованного расширения OCSP "nonce".</p>
> 
> А действительно "взламывать", а не "crash - разрушать"?
> И с помощью ли OpenSSL?
> 
> > This allows an attacker to crash an application using OpenSSL
> > by triggering an invalid memory access.
> 
> "application using OpenSSL" - какие приложения
> "by triggering an invalid memory access" - как/с помощью чего
> 
Да, действительно так. Прошу прощения.

Может быть так:
Это позволяет злоумышленникам вызывать фатальные сбои использующих
OpenSSL приложений обращением к недопустимой области памяти.

--
VZh

Reply to:

Follow-Ups:
- Re: [TAF] wml://security/2011/dsa-2162.wml
  - From: Alexander Reshetov <eof@debian-by.org>

References:
- [TAF] wml://security/2011/dsa-2162.wml
  - From: Alexander Reshetov <eof@debian-by.org>
- Re: [TAF] wml://security/2011/dsa-2162.wml
  - From: Alexander Reshetov <eof@debian-by.org>
- Re: [TAF] wml://security/2011/dsa-2162.wml
  - From: Vladimir Zhbanov <vzhbanov@gmail.com>
- Re: [TAF] wml://security/2011/dsa-2162.wml
  - From: Alexander Reshetov <eof@debian-by.org>

Prev by Date: [RFR4] wml://distrib/netinst.wml
Next by Date: Re: [TAF] wml://security/2011/dsa-2162.wml
Previous by thread: Re: [TAF] wml://security/2011/dsa-2162.wml
Next by thread: Re: [TAF] wml://security/2011/dsa-2162.wml
Index(es):
- Date
- Thread