Re: [rfr] webwml://security/2004/dsa-{532,533,534}.wml

[Nobuhiro IMAI <nov@xxxxxxxxxxxx>]

いまいです。

From: SUGIYAMA Tomoaki <tomos@xxxxxxxxxxxxxxxx>
Subject: Re: [rfr] webwml://security/2004/dsa-{532,533,534}.wml
Date: Mon, 23 Aug 2004 00:54:18 +0900

> > > ========================== dsa-532.wml ==========================
> > > <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0700";>CAN-2004-0700</a>
> > >   <p>Apache 1.3.31 の mod_ssl 2.8.19 の ssl_engine_log.c 中の
> > >   ssl_log 関数にフォーマット文字列バグがあり、
> > >   リモートの攻撃者が特定の HTTPS のログにフォーマット文字列を含めることで
> > >   任意のコードが実行される恐れがあります。</p>
> 
> > 確認ですが、原文には 2 箇所に messages と出てくるのですが、それぞれ
> > 「コード」と「フォーマット文字列」で問題ありませんか？
> 
> 二つ目の messages は，「フォーマット文字列」というよりも
> 「ログ (メッセージ)」の方でしょうか?

はい。読み違えてました。

> 一つ目の messages は直訳風だと
> 
>  Apache 1.3.31 の mod_ssl 2.8.19 の ssl_engine_log.c の ssl_log 関数
>  のフォーマット文字列バグは、HTTPS の特定のログメッセージの中のフォー
>  マット文字列指定子によって、リモートの攻撃者が任意のメッセージを実行
>  するのを許可する可能性があります。
> 
> と「コード」とはありませんが，"任意のメッセージ" が実質は "コード"
> ということであれば問題ないと思うのですが，どうなのでしょう。
> 
> ちなみに http://www.kb.cert.org/vuls/id/303448 の Overview 辺りでは
> 
>  There is a format string vulnerability in the ssl_log() function of
>  the mod_ssl module that could allow an attacker to potentially
>  execute arbitrary code.
> 
> と，「コード (を実行)」になっているようでした。

なるほど。この部分は元の訳のままにしておきます。

stable 用のバージョン案内の部分は "these problems" となっているので、
「この」を「これらの」に直しました。
# 他にもいくつか同様の修正をしています。


> dsa-533.wml，dsa-534.wml に関しては，いまいさんが出してくださった
> 修正案で良いのではと思いました。
> ＃ dsa-533.wml の "リモートの" は原文に remote がないのであれば
> ＃ "(リモートの)" もなくて良いかもと思いました。

(リモートの) は外しておきます。
--
Nobuhiro IMAI <nov@xxxxxxxxxxxx>
Key fingerprint = F39E D552 545D 7C64 D690  F644 5A15 746C BD8E 7106