[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:39277] [Translate] [SECURITY] [DSA-422-1] multiple CVS improvements
かねこです。
URL 等は元記事を確認ください。
------>8------------>8------------>8------------>8------------>8
- ------------------------------------------------------------------------
Debian Security Advisory DSA-422-1 security@debian.org
http://www.debian.org/security/ Wichert Akkerman
January 13, 2004
- ------------------------------------------------------------------------
Package : cvs
Vulnerability : multiple problems
Problem type : remote
Debian-specific: no
CVE Id(s) : CAN-2003-0977
CVS pserver のアカウントマネージメント (CVS リポジトリに対してリモートか
らアクセスする際に用います) は CVSROOT/passwd ファイルを各リポジトリで用
います。このファイルには、アカウントと認証情報以外に、その pserver アカ
ウントを用いる際に使うローカルの unix アカウント名も書かれています。CVS
では、どの unix アカウントを用いるかについてチェックを行っていないため、
CVSROOT/passwd を変更することができる人は誰でも、root を含む CVS サーバ
のどのローカルユーザのアクセス権限でも得ることができてしまいます。
これは上流のバージョン 1.11.11 で pserver を root で実行しないようにする
ことで修正されています。Debian では、この問題はバージョン
1.11.1p1debian-9 で二つの対策を用いて修正されています。
* pserver で、リポジトリアクセスの際に root を用いることを許さないように
変更。
* 新規に /etc/cvs-repouid を、システム管理者がレポジトリへのアクセスの際
に用いる unix アカウントを上書きできる機能として追加されています。この
変更についての詳細は、http://www.wiggy.net/code/cvs-repouid/ を参照く
ださい。
また、CVS pserver にはモジュールリクエストの解析にバグがあり、リポジトリ
害にファイルやディレクトリを作成することが可能でした。これも上流の
1.11.11 と Debian のバージョン 1.11.1p1debian-9 で修正されています。
最後に、'cvs init' と 'cvs-makerepos' で用いる umask の値は、レポジトリ作
成の際にグループライト許可を出さないように変更されました。
アップグレード手順
------------------
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
を用いて、apt-get パッケージマネージャに以下記載の sources.list を与えて
次のコマンドを使ってください。
apt-get update
これは内部データベースを更新します。
apt-get upgrade
これで修正されたパッケージをインストールします。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 3.0 愛称 woody
- ------------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
Size/MD5 checksum: 2621658 500965ab9702b31605f8c58aa21a6205
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
Size/MD5 checksum: 49416 74746359d1b7a9cd0459ddeaa6ec52a7
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc
Size/MD5 checksum: 681 c4089836fe7f6b777920dd37d09e982d
alpha architecture (DEC Alpha)
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb
Size/MD5 checksum: 1178446 3cf372c97a66e10408a1993c700e6455
arm architecture (ARM)
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb
Size/MD5 checksum: 1104912 99a2b7f564e27a90cb6ac38db7a9fa18
hppa architecture (HP PA RISC)
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb
Size/MD5 checksum: 1147010 b63a001a84b329e9d34881d7f5489538
i386 architecture (Intel ia32)
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb
Size/MD5 checksum: 1085664 6d7f9f5a8730595d9ad88560b7474816
ia64 architecture (Intel ia64)
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb
Size/MD5 checksum: 1270560 d7b54232097970cb7bdbded45509c45b
m68k architecture (Motorola Mc680x0)
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb
Size/MD5 checksum: 1065192 ba851f9e52e3e2997c4539f326447fcc
mips architecture (MIPS (Big Endian))
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb
Size/MD5 checksum: 1129342 129daa41b09beab02ec928d29804f013
mipsel architecture (MIPS (Little Endian))
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb
Size/MD5 checksum: 1130598 17e765475f74a5915506b469f5ddd136
powerpc architecture (PowerPC)
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb
Size/MD5 checksum: 1115824 1c16543513c2dd1ca7e76390b8203f86
s390 architecture (IBM S/390)
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb
Size/MD5 checksum: 1096674 91003d24a1db0be271fe41296a76390c
sparc architecture (Sun SPARC/UltraSPARC)
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb
Size/MD5 checksum: 1106822 e93a0f77253cadcfcce494f828f6fd2f
これらのファイルは次の版の安定版リリース時そちらに移されます。
- --
- ----------------------------------------------------------------------------
Debian Security team <team@security.debian.org>
http://www.debian.org/security/
Mailing-List: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
--------------------------- http://plaza25.mbn.or.jp/~efialtes
足跡 = 55A4 898A C765 F20A 1693 7882 579A 3339 D6ED 97E8