[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [DONE] wml://{security/2017/dsa-4031.wml}



On Sun, Nov 12, 2017 at 02:27:05PM +0500, Lev Lamberov wrote:
> 
> Вс 12 ноя 2017 @ 08:46 Vladimir Zhbanov <vzhbanov@gmail.com>:
> 
> > On Sun, Nov 12, 2017 at 01:30:05AM +0500, Lev Lamberov wrote:
> >> - -    <p>Max Justicz reported that RubyGems is prone to an unsafe object
> >> - -    deserialization vulnerability. When parsed by an application which
> >> - -    processes gems, a specially crafted YAML formatted gem specification
> >> - -    can lead to remote code execution.</p></li>
> >> +    <p>Макс Джастич сообщил, что система RubyGems уязвима к десериализации небезопасного
> >> +    объекта. Грамматический разбор, выполняемый приложением, обрабатывающим
> >
> > скорее "небезопасной десериализации объекта"
> 
> Исправил.
> 
> >> +    модули, специально сформированной спецификации модуля в формате YAML
> >
> > специально сформированн_ая_ спецификаци_я_ модуля...
> 
> Грамматический разбор [...] (чего?) специально сформированной
> спецификации модуля [...]

When parsed by an application which processes gems, a specially
crafted YAML formatted gem specification can lead to remote code
execution.

Первая часть до запятой -- условие: "при грамматическом разборе
приложением, использующим gems,"

Вторая часть: a (specially crafted YAML formatted gem)
specification can lead...

_a_ здесь относится к _specification_

То есть: некая (специально созданная в формате YAML gem-)
спецификация может приводить...

Если оставлять оригинальный вариант, то надо "грамматический
разбор" переносить поближе к "специально сформированной
спецификации...", иначе хрен поймёшь (прошу прощения за мой
французский), о чём речь.

> 
> >> +    эмуляторе терминала жертвы (при чтении журналов).</p></li>
> >
> > в оригинале без скобок, без них и в переводе неплохо будет, на мой взгляд
> 
> Исправил. Спасибо!
> 

-- 
  Vladimir


Reply to: