[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:50054] [Translate] [SECURITY] [DSA 1473-1] New scponly packages fix arbitrary code execution
かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。
------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1473 security@debian.org
http://www.debian.org/security/ Florian Weimer
January 21, 2008 http://www.debian.org/security/faq
- ------------------------------------------------------------------------
Package : scponly
Vulnerability : 設計ミス
Problem type : リモート
Debian-specific: いいえ
CVE Ids : CVE-2007-6350, CVE-2007-6415
Debian Bug : 437148
Joachim Breitner さんにより、scponly の Subversion サポートは本質的に安
全ではなく、任意コードの実行を許すことが発見されました。更に調査を進めた
ところ、rsync と Unison サポートにも同様の問題がありました。この一連の問
題に CVE-2007-6350 という番号が与えられました。
さらに、特定のオプションを使った scp を起動することで、任意のコマンド実
行が可能であることが発見されました (CVE-2007-6415)。
この更新では、scponly パッケージから Subversion, rsync および Unison サ
ポートを削除し、scp が危険なオプションで起動されないようにしました。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ
ョン 4.6-1etch1 で修正されています。
旧安定版 (oldstable) ディストリビューション (sarge) では、これらの問題は
バージョン 4.0-1sarge2 で修正されています。
不安定版ディストリビューション (sid) では、近く修正予定です。
直ぐに scponly パッケージをアップグレードすることを勧めます。
アップグレード手順
------------------
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、
apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian 3.1 (oldstable)
- ----------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0.orig.tar.gz
Size/MD5 checksum: 85053 1706732945996865ed0cccd440b64fc1
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge2.diff.gz
Size/MD5 checksum: 27490 380ea78eb602749989c8031a4f916c79
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge2.dsc
Size/MD5 checksum: 892 f37d3236975bdb6742eba5ac788c40c2
alpha architecture (DEC Alpha)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge2_alpha.deb
Size/MD5 checksum: 31322 c4d3637ba9ab71b2a05e1633de4abae4
amd64 architecture (AMD x86_64 (AMD64))
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge2_amd64.deb
Size/MD5 checksum: 30228 05493720ebd6da8ea4b44d7fc98b3337
arm architecture (ARM)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge2_arm.deb
Size/MD5 checksum: 28806 2e38b46c8da8a2f118da64fb8d099ebd
hppa architecture (HP PA RISC)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge2_hppa.deb
Size/MD5 checksum: 30170 44b3383c7f63172f63791b99784e67a8
i386 architecture (Intel ia32)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge2_i386.deb
Size/MD5 checksum: 29322 62413a011d04721bb4b6f9a3d9496e27
ia64 architecture (Intel ia64)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge2_ia64.deb
Size/MD5 checksum: 33034 c0673fdff69d062fc32231d3f3221405
m68k architecture (Motorola Mc680x0)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge2_m68k.deb
Size/MD5 checksum: 29002 b060925bb242e68612a358860e53db0b
mips architecture (MIPS (Big Endian))
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge2_mips.deb
Size/MD5 checksum: 38442 4ae4a933ef2cd0bf527590af79a48065
mipsel architecture (MIPS (Little Endian))
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge2_mipsel.deb
Size/MD5 checksum: 38390 e89fd088bfe33f2af1b2b4ca44c11ba7
powerpc architecture (PowerPC)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge2_powerpc.deb
Size/MD5 checksum: 29704 5a6676d270e93eea5265354d907f7cbe
s390 architecture (IBM S/390)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge2_s390.deb
Size/MD5 checksum: 29958 54f012f9d6b8eb9153458a5b9e2fba34
sparc architecture (Sun SPARC/UltraSPARC)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge2_sparc.deb
Size/MD5 checksum: 29270 66aba25ee7275478105d2c586920516a
Debian 4.0 (stable)
- -------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.6-1etch1.diff.gz
Size/MD5 checksum: 28528 a588cb9138820d73f16bc81ffc4f8e20
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.6-1etch1.dsc
Size/MD5 checksum: 890 c02dfefb7289fcb09e9ac83d7cf78655
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.6.orig.tar.gz
Size/MD5 checksum: 96578 0425cb868cadd026851238452f1db907
alpha architecture (DEC Alpha)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.6-1etch1_alpha.deb
Size/MD5 checksum: 35464 acdec90eeea809b0cac14ad16d9914a3
amd64 architecture (AMD x86_64 (AMD64))
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.6-1etch1_amd64.deb
Size/MD5 checksum: 34214 2bb425113107e4e471c15685333f1a0a
arm architecture (ARM)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.6-1etch1_arm.deb
Size/MD5 checksum: 32754 68e9b0b7c579679728c403af931a1510
hppa architecture (HP PA RISC)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.6-1etch1_hppa.deb
Size/MD5 checksum: 34442 2c41c2878777dce6c6b8ad3f1f1cb6a7
i386 architecture (Intel ia32)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.6-1etch1_i386.deb
Size/MD5 checksum: 33384 5a05d1d731bf0e53962f117cc0addd12
ia64 architecture (Intel ia64)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.6-1etch1_ia64.deb
Size/MD5 checksum: 49088 872ff6eaeb1ff894c1b1f50f7091f6e4
mips architecture (MIPS (Big Endian))
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.6-1etch1_mips.deb
Size/MD5 checksum: 34758 02c6727db7a546147423840d22c47f12
mipsel architecture (MIPS (Little Endian))
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.6-1etch1_mipsel.deb
Size/MD5 checksum: 34808 c89ffd2236d752ac270fb5ba62cd8e62
powerpc architecture (PowerPC)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.6-1etch1_powerpc.deb
Size/MD5 checksum: 33922 a4d6e0e689699638523de2754075a42e
s390 architecture (IBM S/390)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.6-1etch1_s390.deb
Size/MD5 checksum: 34176 5109fa87cfffb72f46e287e88d3b7a55
sparc architecture (Sun SPARC/UltraSPARC)
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.6-1etch1_sparc.deb
Size/MD5 checksum: 33322 42f50ca1d1d836fa4c80137a57ed66f1
これらのファイルは次の版の安定版リリース時そちらに移されます。
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------