[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: dsa-1370 訳

From: Kobayashi Noritada <nori1@xxxxxxxxxxxxxxxxxxxxxxx>
Subject: Re: dsa-1370 訳
Date: Sat, 15 Sep 2007 15:40:38 +0900
List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
List-id: debian-www.debian.or.jp
List-owner: <mailto:debian-www-admin@debian.or.jp>
List-post: <mailto:debian-www@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
X-ml-name: debian-www
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-www@debian.or.jp
References: <20070915005628.241552e9.henrich@xxxxxxxxxxxxxx>
Message-id: <20070915.154036.41661366.nori1@xxxxxxxxxxxxxxxxxxxxxxx>
X-mail-count: 11572
X-mailer: Mew version 2.2 on Emacs 21.2 / Mule 5.0 (SAKAKI)

小林です。

From: Hideki Yamane
Subject: dsa-1370 訳
Date: Sat, 15 Sep 2007 00:56:31 +0900

> 
> 　やまねです。
> 　dsa-1370 訳です。査読願います。

ありがとうございます。コミットしました。

原文の1.1→1.5の変更を加えた上で、以下の修正・改善を加えました。

>     <p>libraries/common.lib.php 中の PMA_ArrayWalkRecursive 
> 関数がユーザから与えられた配列に対して再帰を制限していないため、
> コンテンツに依存しますが、攻撃者が多次元配列によってサービス不能 
> (DoS) 攻撃 (web サーバのクラッシュ) が可能になっています。</p>

小さなことですが、「〜が〜が可能になっています」が気になったので、
cause を訳して「を引き起こすこと」を入れました。

>     <p>index.php 中でのブラックリストが不完全であるという脆弱性によって、大文字の 
> &lt;/SCRIPT&gt; 終了タグに続けて任意の JavaScript あるいは HTML を 
> (1) db パラメータまたは (2) table パラメータ値に挿入することで、小文字の &lt;/script&gt; 
> に対しての防御を迂回して、攻撃者がリモートからクロスサイトスクリプティング (XSS) 
> 攻撃を引き起こせます。</p>

最後、cause や induce ではなく conduct なので「実行可能になります」としました。

>     <p>複数のクロスサイトスクリプティング (XSS) 脆弱性が存在しており、
> (1) browse_foreigners.php の fieldkey パラメータを使う、あるいは 
> (2) PMA_sanitize 関数に特定の値を与えることで、攻撃者がリモートから任意の 
> web スクリプトや HTML を挿入可能になります。</p></li>
> 
> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6942";>CVE-2006-6942</a>
> 
>     <p>複数のクロスサイトスクリプティング (XSS) 脆弱性によって、
> (a) db_operations.php を介した攻撃での (1) テーブル名へのコメント、
> (b) db_create.php での (2) db パラメータ、
> (3) db_operations.php での newname パラメータ、
> (c) querywindow.php での (4) query_history_latest パラメータ、
> (5) query_history_latest_db パラメータ、および (6) querydisplay_tab パラメータ、
> (d) sql.php での (7) pos パラメータをそれぞれ利用することで、攻撃者がリモートから任意の 
> HTML や web スクリプトを挿入可能になっています。</p>
> 
>     <p>この問題は旧安定版ディストリビューション (oldstable、コードネーム sarge) 
>     にのみ影響を与えます。</p></li>

「db_operations.php を介した攻撃での (1) テーブル名へのコメント」は、
db_operations.php でテーブル名へのコメントを利用するとコードを仕込んで
攻撃できる、ということなので、
特に対応する言葉が原文にない「を介した攻撃」は外しました。

その上で、「〜.php での〜パラメータ」はなんとなく違和感があったので、
すべて「〜.php で〜パラメータを」というかたちにしました。

以上、好みかもしれませんが……。

-- 
|:  Noritada KOBAYASHI
|:  Dept. of General Systems Studies,
|:  Graduate School of Arts and Sciences, Univ. of Tokyo
|:  E-mail: nori1@xxxxxxxxxxxxxxxxxxxxxxx (preferable)
|:          nori@xxxxxxxxxxxxxxxxxxx
|:  Key fingerprint = AB26 9533 81DA 997B 3C06  4380 19BB ADA0 695C 9F53

References:
- dsa-1370 訳
  - From: Hideki Yamane

Prev by Date: Re: dsa-1370 訳
Next by Date: Debian Web site Translation Update
Previous by thread: Re: dsa-1370 訳
Next by thread: dsa-1371 訳
Index(es):
- Date
- Thread