[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: dpkg man page 査読依頼 (20111030)



たかはしもとのぶです。

頂いた点は、基本的に修正、加筆しました。

From: victory <victory.deb@xxxxxxxxx>
Date: Mon, 31 Oct 2011 14:03:53 +0900

> On Mon, 31 Oct 2011 03:28:47 +0900
> TAKAHASHI Motonobu wrote:
> 
> > #. type: Plain text
> > #: dpkg-buildflags.1:198
> > msgid ""
> > "This setting (enabled by default) adds B<-Wformat -Wformat-security -"
> > "Werror=format-security> to B<CFLAGS> and B<CXXFLAGS>. This will warn about "
> > "improper format string uses, and will fail when format functions are used in "
> > "a way that that represent possible security problems. At present, this warns "
> > "about calls to B<printf> and B<scanf> functions where the format string is "
> > "not a string literal and there are no format arguments, as in B<printf(foo);"
> > "> instead of B<printf(\"%s\", foo);> This may be a security hole if the "
> > "format string came from untrusted input and contains \"%n\"."
> > msgstr ""
> > "この設定 (デフォルト有効) により、B<CFLAGS> および B<CXXFLAGS> に"
> > " B<-Wformat -Wformat-security -Werror=format-security> が追加される。"
> > "これにより、不適切なフォーマット文字列の使用に関する警告が行われ、"
> > "フォーマット関数が潜在的にセキュリティ問題を引き起こすような使用をされて"
> > "いる場合に処理を失敗させる。"
> 
> At present以降抜けてるぽい

すみません。

-----
現在、これは、B<printf> と B<scanf> 関数の"
"呼び出しで、フォーマット文字列が文字列リテラル以外かつフォーマットに関する"
"引数がないもの、例えば B<printf(\"%s\", foo);</b> ではなく B<printf(foo);> "
"のようなものについて警告する。フォーマット文字列が信頼できない入力から"
もたらされ、\"%n\" を含んでいる場合に、この呼び出しはセキュリティホー
ルとなりうる。"
-----

としてみました。

> > #. type: Plain text
> > #: dpkg-buildflags.1:210
> > "This is especially useful for old, crufty code.  Additionally, format "
> > "strings in writable memory that contain '%n' are blocked. If an application "
> > "depends on such a format string, it will need to be worked around."
> > "これは、古い汚いコードには特に有用である。これに加えて、'%n' を含む、"
> > "メモリに書き込みを行うフォーマット文字列が抑止される。アプリケーションが"
> > "こうしたフォーマット文字列に依存している場合は、個別に対処する必要がある。"
> 
> これに加え、メモリに書き込みを行うフォーマット文字列に '%n' を含むものが抑止される

すみません。かねこさんからも指摘されていたとおり修正しました。

> > #. type: Plain text
> > #: dpkg-buildflags.1:222
> > "vulnerabilities into denial of service or into non-issues (depending on the "
> > "サービス拒否に留めたり、問題の発生を抑止したりすることができる。"
> 
> 無力化とかでもいいかも

その方がいいですね。といういうことで直しました。

---
TAKAHASHI Motonobu <monyo@xxxxxxxxx>