[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [DONE] wml://{security/2017/dsa-4031.wml}



Вс 12 ноя 2017 @ 16:42 Vladimir Zhbanov <vzhbanov@gmail.com>:

> On Sun, Nov 12, 2017 at 02:27:05PM +0500, Lev Lamberov wrote:
>>
>> Вс 12 ноя 2017 @ 08:46 Vladimir Zhbanov <vzhbanov@gmail.com>:
>>
>> > On Sun, Nov 12, 2017 at 01:30:05AM +0500, Lev Lamberov wrote:
>> >> - -    <p>Max Justicz reported that RubyGems is prone to an unsafe object
>> >> - -    deserialization vulnerability. When parsed by an application which
>> >> - -    processes gems, a specially crafted YAML formatted gem specification
>> >> - -    can lead to remote code execution.</p></li>
>> >> +    <p>Макс Джастич сообщил, что система RubyGems уязвима к десериализации небезопасного
>> >> +    объекта. Грамматический разбор, выполняемый приложением, обрабатывающим
>> >
>> >> +    модули, специально сформированной спецификации модуля в формате YAML
>> >
>> > специально сформированн_ая_ спецификаци_я_ модуля...
>>
>> Грамматический разбор [...] (чего?) специально сформированной
>> спецификации модуля [...]
>
> When parsed by an application which processes gems, a specially
> crafted YAML formatted gem specification can lead to remote code
> execution.
>
> Первая часть до запятой -- условие: "при грамматическом разборе
> приложением, использующим gems,"
>
> Вторая часть: a (specially crafted YAML formatted gem)
> specification can lead...
>
> _a_ здесь относится к _specification_
>
> То есть: некая (специально созданная в формате YAML gem-)
> спецификация может приводить...
>
> Если оставлять оригинальный вариант, то надо "грамматический
> разбор" переносить поближе к "специально сформированной
> спецификации...", иначе хрен поймёшь (прошу прощения за мой
> французский), о чём речь.

Сама по себе спецификация ни к чему не "приводит", "приводит" её
грамматический разбор.

Сделал так:

Грамматический разбор специально сформированной спецификации модуля в
формате YAML, выполняемый приложением, обрабатывающим модули, может
приводить к удалённому выполнению кода.

Пойдёт?


Reply to: