File access between time of check and use (TOCTOU) | Файл или папка могут изменить состояние из-за гонки доступа |
File descriptor exposure to child process | Скопированный дескриптор файла используется в нескольких процессах |
File manipulation after chroot without chdir | Связанные с путем уязвимости для файла, которым управляют после вызова chroot |
Inappropriate I/O operation on device files | Операция может привести к уязвимостям системы обеспечения безопасности или системному отказу |
Unsafe call to a system function | Несанированный аргумент команды имеет годные для использования уязвимости |
Use of non-secure temporary file | Временное сгенерированное имя файла, не безопасное |
Vulnerable path manipulation | Параметр пути с/../,/abs/path/, или другие небезопасные элементы |
Bad order of dropping privileges | Пропущенный выше поднятые привилегии прежде, чем пропустить ниже поднятые привилегии |
Privilege drop not verified | Атакующий может получить непреднамеренный поднятый доступ к программе |
Umask used with chmod-style arguments | Аргумент к umask позволяет внешнему пользователю слишком много управления |
Vulnerable permission assignments | Аргумент дает полномочия чтения/записи/поиска внешним пользователям |
Unsafe standard encryption function | Функция не повторно используема или использует опасный алгоритм шифрования |
Unsafe standard function | Функция, небезопасная в связанных с безопасностью целях |
Use of dangerous standard function | Опасные функции вызывают возможное переполнение буфера в целевом буфере |
Use of obsolete standard function | Устаревшие стандартные программы могут вызвать проблемы мобильности и уязвимости системы обеспечения безопасности |
Deterministic random output from constant seed | Стандартная программа отбора использует постоянный seed, делающий детерминированный выход |
Predictable random output from predictable seed | Стандартная программа отбора использует предсказуемый seed, делающий предсказуемый выход |
Vulnerable pseudo-random number generator | Используя криптографически слабый генератор псевдослучайного числа |
Errno not checked | errno не проверяется на состояние ошибки после вызова функции |
Execution of a binary from a relative path can be controlled by an external actor | Команда с относительным путем уязвима для вредоносной атаки |
Function pointer assigned with absolute address | Константное выражение используется, когда функциональный адрес уязвим для инжекции кода |
Incorrect order of network connection operations | Сокет правильно не устанавливается из-за плохого порядка шагов связи или недостающих шагов |
Information leak via structure padding | Дополнение байтов может содержать уязвимую информацию |
Load of library from a relative path can be controlled by an external actor | Библиотека, загруженная с относительным путем, уязвима для вредоносных атак |
Mismatch between data length and size | Аргумент размера данных не вычисляется из фактической длины данных |
Missing case for switch condition | переключите переменную, не покрытую случаями, и случай по умолчанию отсутствует |
Misuse of readlink() | Третий аргумент readlink не оставляет пробел для пустого терминатора строки в буфере |
Returned value of a sensitive function not checked | Чувствительные функции, вызванные, не проверяя на неожиданные возвращаемые значения и ошибки |
Sensitive data printed out | Функция распечатывает уязвимые данные |
Sensitive heap memory not cleared before release | Уязвимые данные, не очищенные или выпущенные стандартной программой памяти |
Uncleared sensitive data in stack | Переменная в стеке не очищена и содержит уязвимые данные |
Группы дефекта средства поиска ошибки
Средства проверки дефекта Средства поиска Ошибки классифицируются в группы, такие как поток данных, параллелизм, числовой, и так далее.
1. Если смысл перевода понятен, то лучше оставьте как есть и не придирайтесь к словам, синонимам и тому подобному. О вкусах не спорим.
2. Не дополняйте перевод комментариями “от себя”. В исправлении не должно появляться дополнительных смыслов и комментариев, отсутствующих в оригинале. Такие правки не получится интегрировать в алгоритме автоматического перевода.
3. Сохраняйте структуру оригинального текста - например, не разбивайте одно предложение на два.
4. Не имеет смысла однотипное исправление перевода какого-то термина во всех предложениях. Исправляйте только в одном месте. Когда Вашу правку одобрят, это исправление будет алгоритмически распространено и на другие части документации.
5. По иным вопросам, например если надо исправить заблокированное для перевода слово, обратитесь к редакторам через форму технической поддержки.