[debian-devel:12262] (draft) [SECURITY] New version of kon2 released

[knok@xxxxxxxxxxxxx (NOKUBI Takatsugu)]

  BUGTRAQ-JP の以下の記事にて、kon2 の buffer overflow が指摘されました。
http://www.securityfocus.com/templates/archive.pike?list=79&date=2000-05-01&msg=3914CB13276.23FASHADOWPENGUIN@xxxxxxxxxxxxxxxxxxxxxx

  既に喜瀬さんがメンテナのむつみさんと BTS に報告をしていて、現在対処
中だそうですが、利用者は日本語圏での方がずっと多いと思われるので、こち
らでも advisory を出した方が良いと思います。
  とりあえず、以前の文章を base に叩き台を書いてみました。

-- 
Subject: [SECURITY] New version of kon2 released

Debian JP Security Advisory                          security@debian.or.jp
http://www.debian.or.jp/security/                                 ふにふに
5月nn日

Package: kon2
Vulnerability type: local exploit
Debian-specific: no

Debian 2.1 で配布されているkon2パッケージには、コマンドライン引数に長
い文字列を指定するとバッファーオーバーフローをおこすバグがあります。
これを利用して、ローカルでkon2を起動できる任意のユーザがroot権限を取得
できてしまいます。

この問題は BUGTRAQ-JP メーリングリストの以下の記事で明かにされました。
http://www.securityfocus.com/templates/archive.pike?list=79&date=2000-05-01&msg=3914CB13276.23FASHADOWPENGUIN@xxxxxxxxxxxxxxxxxxxxxx

このバグは 0.3.8-6.1 で修正されています。ただちに kon2 パッケージを更
新することをお勧めします。

wget url
        will fetch the file for you
dpkg -i file.deb
        will install the referenced file.

Debian GNU/Linux 2.1 alias slink
--------------------------------

  このバージョンでは Intel ia32, Alpha アーキテクチャ用のものだけが
  リリースされています。

   Source archives:
    http://http.debian.or.jp/dists/stable/updates/source/kon2-0.3.8-6.1.dsc
      MD5 checksum: 
    http://http.debian.or.jp/dists/stable/updates/source/kon2-0.3.8-6.1.diff.gz
      MD5 checksum: 
    http://http.debian.or.jp/dists/stable/updates/source/kon2-0.3.8.orig.tar.gz
      MD5 checksum: 

  Intel ia32 architecture:
    http://http.debian.or.jp/dists/stable/updates/binary-i386/kon2-0.3.8-6.1_i386.deb
      MD5 checksum: 

  Alpha architecture:
    http://http.debian.or.jp/dists/stable/updates/binary-alpha/kon2-0.3.8-6.1_alpha.deb
      MD5 checksum: 

-- 
-- 
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx (private)
        nokubi@xxxxxxxxx (official)