[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:23746] [SECURITY] New version of xchat released (update) (from debian-security-announce@lists.debian.org)

From: Hiroshi KISE <fuyuneko@xxxxxxxxxxxx>
Subject: [debian-users:23746] [SECURITY] New version of xchat released (update) (from debian-security-announce@lists.debian.org)
Date: Fri, 1 Sep 2000 00:36:24 +0900
X-dispatcher: imput version 991025(IM133)
X-envelope-to: <debian-users@debian.or.jp>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 3.0pl#17]; post only (only members can post)
References: <200008301436.QAA20617@xxxxxxxxxxxxxxx>
Message-id: <200008311536.AAA20569@xxxxxxxxxxxx>
X-mail-count: 23746
X-mailer: Mew version 1.94.1 on Emacs 20.7 / Mule 4.0 (HANANOEN)

debian-security-announce@lists.debian.orgに流れた情報です。参考訳を
つけてみました。

From: Wichert Akkerman <wichert@xxxxxxx>
Subject: [SECURITY] New version of xchat released (update)
Date: Wed, 30 Aug 2000 16:36:32 +0200
> ------------------------------------------------------------------------
> Debian Security Advisory                             security@debian.org
> http://www.debian.org/security/                         Wichert Akkerman
> August 30, 2000
> ------------------------------------------------------------------------

> Package        : xchat
> Problem type   : remote exploit
> Debian-specific: no

パッケージ名: xchat
問題の種類  : リモートからの不正利用
Debian 特有 : いいえ


> The version of X-Chat that was distributed with Debian GNU/Linux 2.2
> has a vulnerability in the URL handling code: when a user clicks on
> a URL X-Chat will start netscape to view its target. However it
> did not check the URL for shell metacharacters, and this could be
> abused to trick xchat into executing arbitraty commands.

Debian GNU/Linux 2.2 として配布されているバージョンの X-Chat には、
URL を解釈するプログラムに不正利用される弱点があります。この
プログラムは、ユーザが X-Chat の URL をクリックすると、そのURL 先を
みるために Netscape を起動するというものです。しかし、このプログラムは 
URL のシェルメタキャラクタをチェックしていないため、URL に仕掛けをして 
xchat をだまし、任意のコマンドを実行させることができます。


> This has been fixed in version 1.4.3-0.1, and we recommend you
> upgrade your xchat package(s) immediately.

以上の問題は、バージョン 1.4.3-0.1 で修正されました。できるだけ
はやく xchat パッケージをアップグレードすることをお勧めします。


> Update: the powerpc packages mentioned in the first release of this
> advisory were linked with a version of libgtk that is not available
> in Debian GNU/Linux 2.2. They have been recompiled with the correct
> version and reuploaded.

更新情報: 最初の advisory に記述されている PowerPC 用のパッケージは、
Debian GNU/Linux 2.2 に存在しない libgtk にリンクされていました。
このパッケージは、すでに再コンパイル、アップロードされました。
(最初の advisory は、debian-users@debian.or.jp メイリングリストに
転載していません)


> wget url
>         will fetch the file for you
> dpkg -i file.deb
>         will install the referenced file.

wget url
     によってファイルを入手し、
dpkg -i file.deb
     で、指定したファイルをインストールしてください。


> Debian GNU/Linux 2.2 alias potato
> ---------------------------------

Debian GNU/Linux 2.2 別名 potato


>   Potato was released for the alpha, arm, i386, m68k, powerpc and sparc
>   architectures.

Potato は、Alpha、ARM、i386、m68k、PowerPC、そして SPARC アーキテクチャ
用にリリースされています。

>   Source archives:
>     http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3-0.1.diff.gz
>       MD5 checksum: 5cbdb48ac125bbbfb5be77dc4bfc8807
>     http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3-0.1.dsc
>       MD5 checksum: 5270a711fea64ba2aa8c69aecd58b337
>     http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3.orig.tar.gz
>       MD5 checksum: 2c7c49888490bb3725b693c804ee28a1

>   Architecture indendent archives:
>     http://security.debian.org/dists/stable/updates/main/binary-all/xchat-common_1.4.3-0.1_all.deb
>       MD5 checksum: f4bee55efca7a60383db25b161752e25

>   Alpha architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat-gnome_1.4.3-0.1_alpha.deb
>       MD5 checksum: 3f71beeecce1500a18d642d03e37515e
>     http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat-text_1.4.3-0.1_alpha.deb
>       MD5 checksum: 921b36d41254be307ad60c1bf00648c3
>     http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat_1.4.3-0.1_alpha.deb
>       MD5 checksum: 7523c9d010fa28a9f615bdde8c7b91d3

>   ARM architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-arm/xchat-gnome_1.4.3-0.1_arm.deb
>       MD5 checksum: 4088d38fcde4d8a138f74641d115255c
>     http://security.debian.org/dists/stable/updates/main/binary-arm/xchat-text_1.4.3-0.1_arm.deb
>       MD5 checksum: 0e272f1b53b711bfe484014ba88c3fb7
>     http://security.debian.org/dists/stable/updates/main/binary-arm/xchat_1.4.3-0.1_arm.deb
>       MD5 checksum: 4d754fedb2aa23a9ebbc0e2ec8843ad1

>   Intel ia32 architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-i386/xchat-gnome_1.4.3-0.1_i386.deb
>       MD5 checksum: 17619affa0c55c6d84d9410892e14621
>     http://security.debian.org/dists/stable/updates/main/binary-i386/xchat-text_1.4.3-0.1_i386.deb
>       MD5 checksum: 2cea1081ebf9d4fc2e12ff8b72414fb8
>     http://security.debian.org/dists/stable/updates/main/binary-i386/xchat_1.4.3-0.1_i386.deb
>       MD5 checksum: 5d8b1a7789ca73b6b63b48ab79c10ebf

>   Motorola 680x0 architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat-gnome_1.4.3-0.1_m68k.deb
>       MD5 checksum: 016ad3766a6e9dee782b46e3f8e7a5d4
>     http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat-text_1.4.3-0.1_m68k.deb
>       MD5 checksum: 7c4cfbc98b78f6ed2529db91d35cdaae
>     http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat_1.4.3-0.1_m68k.deb
>       MD5 checksum: 5e5289f266d935fbd0b6d6dce3cb1c7d

>   PowerPC architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat-gnome_1.4.3-0.1_powerpc.deb
>       MD5 checksum: 2b0ad87fde7d7d51ae255c93af94cef5
>     http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat-text_1.4.3-0.1_powerpc.deb
>       MD5 checksum: 72831b0ae0538048b1c67cba19f534d0
>     http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat_1.4.3-0.1_powerpc.deb
>       MD5 checksum: d09aab5ec885854fe7f2e79833a3830c

>   Sun Sparc architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat-gnome_1.4.3-0.1_sparc.deb
>       MD5 checksum: 1e11fc5b34aecae873a3533628baa888
>     http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat-text_1.4.3-0.1_sparc.deb
>       MD5 checksum: 7294d7cfa92a40ce80f0eb4c69a545f8
>     http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat_1.4.3-0.1_sparc.deb
>       MD5 checksum: 8bc2c465ec59636cc2b94b515f7c22c5

>   These files will be moved into
>   ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ soon.

これらのファイルは、近々
ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/
に移動します。


> For not yet released architectures please refer to the appropriate
> directory ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ .

まだリリースされていないアーキテクチャに関しては、対応するディレクトリ
ftp://ftp.debian.org/debian/dists/sid/binary-$arch/
を参照するようお願いします。


> --
> ----------------------------------------------------------------------------
> For apt-get: deb http://security.debian.org/ stable/updates main
> For dpkg-ftp:ftp://security.debian.org/debian-security dists/stable/updates/main
> Mailing list: debian-security-announce@lists.debian.org

-- 
喜瀬“冬猫”浩＠南国沖縄

Attachment: pgpZm8RSsWaq0.pgp
Description: PGP signature

Follow-Ups:
- [debian-users:23749] Re: [SECURITY] New version of xchat released (update) (from debian-security-announce@lists.debian.org)
  - From: Hiroshi KISE

Next by Date: [debian-users:23747] Re: exim で同一ドメインにメール送信するには？
Next by thread: [debian-users:23749] Re: [SECURITY] New version of xchat released (update) (from debian-security-announce@lists.debian.org)
Index(es):
- Date
- Thread