Re: [DONE] wml://{security/2017/dsa-4031.wml}
On Sun, Nov 12, 2017 at 02:27:05PM +0500, Lev Lamberov wrote:
>
> Вс 12 ноя 2017 @ 08:46 Vladimir Zhbanov <vzhbanov@gmail.com>:
>
> > On Sun, Nov 12, 2017 at 01:30:05AM +0500, Lev Lamberov wrote:
> >> - - <p>Max Justicz reported that RubyGems is prone to an unsafe object
> >> - - deserialization vulnerability. When parsed by an application which
> >> - - processes gems, a specially crafted YAML formatted gem specification
> >> - - can lead to remote code execution.</p></li>
> >> + <p>Макс Джастич сообщил, что система RubyGems уязвима к десериализации небезопасного
> >> + объекта. Грамматический разбор, выполняемый приложением, обрабатывающим
> >
> > скорее "небезопасной десериализации объекта"
>
> Исправил.
>
> >> + модули, специально сформированной спецификации модуля в формате YAML
> >
> > специально сформированн_ая_ спецификаци_я_ модуля...
>
> Грамматический разбор [...] (чего?) специально сформированной
> спецификации модуля [...]
When parsed by an application which processes gems, a specially
crafted YAML formatted gem specification can lead to remote code
execution.
Первая часть до запятой -- условие: "при грамматическом разборе
приложением, использующим gems,"
Вторая часть: a (specially crafted YAML formatted gem)
specification can lead...
_a_ здесь относится к _specification_
То есть: некая (специально созданная в формате YAML gem-)
спецификация может приводить...
Если оставлять оригинальный вариант, то надо "грамматический
разбор" переносить поближе к "специально сформированной
спецификации...", иначе хрен поймёшь (прошу прощения за мой
французский), о чём речь.
>
> >> + эмуляторе терминала жертвы (при чтении журналов).</p></li>
> >
> > в оригинале без скобок, без них и в переводе неплохо будет, на мой взгляд
>
> Исправил. Спасибо!
>
--
Vladimir
Reply to: