[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-devel:12593] Re: (draft) [SECURITY] New version of cannareleased
- From: knok@xxxxxxxxxxxxx (NOKUBI Takatsugu)
- Subject: [debian-devel:12593] Re: (draft) [SECURITY] New version of cannareleased
- Date: Mon, 3 Jul 2000 10:19:08 +0900
- X-authentication-warning: ns1.eal.or.jp: Host puti.eal.or.jp [211.7.33.2] claimed to be puti
- X-ml-info: If you have a question, send a mail with the body "# help" (without quotes) to the address debian-devel-ctl@debian.or.jp; help=<mailto:debian-devel-ctl@debian.or.jp?body=help>
- X-ml-name: debian-devel
- X-mlserver: fml [fml 2.2]; post only (only members can post)
- Message-id: <200007030119.KAA24508@xxxxxxxxxxxxx>
- X-mail-count: 12593
- X-mailer: mnews [version 1.22] 1999-12/19(Sun)
<20000701202517Z.ishikawa@xxxxxxxxxxx>の記事において
ishikawa@xxxxxxxxxxxさんは書きました。
>> えーと 昨晩 とりあえず security team@.org(joey, Wichert and
>> Christian Hudon) には連絡とりました(って joey h LinuxTag 行ってて不在
>> のようですが)
ありがとうございます。改めて annaunce の draft を作成しました。
>> えーと それから /etc/hosts.canna は追加することにしました。
>> ディフォルトでは localhost からのアクセスしか許可しません。
これって 3.5b2-24slink1 でもそうなりますか? もしそうならその点につい
ても追記した方がよいかも...
--
Subject: [SECURITY] New version of canna released
Debian JP Security Advisory security@debian.or.jp
http://www.debian.or.jp/security/ ふにふに
7月nn日
Package: canna
Vulnerability type: remote exploit
Debian-specific: no
Debian 2.1 で配布されている canna パッケージには、IR_INIT コマンドに異
常な長さの username, groupname を指定するとバッファーオーバーフローを
おこすバグがあります。これを利用して、ローカル/リモートで canna サーバ
に接続できる任意のユーザが root 権限を取得できてしまいます。
この問題は BUGTRAQ-JP メーリングリストの以下の記事で明らかにされました。
http://www.securityfocus.com/templates/archive.pike?list=79&date=2000-06-29&msg=395B4E182C6.3223SHADOWPENGUIN@xxxxxxxxxxxxxx
このバグは 3.5b2-24slink1 で修正されています。ただちに canna パッケー
ジを更新することをお勧めします。
wget url
will fetch the file for you
dpkg -i file.deb
will install the referenced file.
Debian GNU/Linux 2.1 alias slink
--------------------------------
このバージョンでは Intel ia32 アーキテクチャ用のものだけがリリースさ
れています。
Source archives:
http://ftp.debian.org/debian/dists/proposed-updates/canna_3.5b2-25.dsc
MD5 checksum: 137882b4c5d627079f21f3dc87f0f013
http://ftp.debian.org/debian/dists/proposed-updates/canna_3.5b2-25.diff.gz
MD5 checksum: 2f4faf1c942bc5cadff0743cf8fefca4
Intel ia32 architecture:
http://ftp.debian.org/debian/dists/proposed-updates/canna_3.5b2-25_i386.deb
MD5 checksum: 81206266f5988c22c491b55cc592deb1
http://ftp.debian.org/debian/dists/proposed-updates/canna-utils_3.5b2-25_i386.deb
MD5 checksum: 001eb07b65412c42b2b05beb3cb1e7eb
http://ftp.debian.org/debian/dists/proposed-updates/libcanna1g_3.5b2-25_i386.deb
MD5 checksum: b22628fbadca57c96ba26a3197d76251
http://ftp.debian.org/debian/dists/proposed-updates/libcanna1g-dev_3.5b2-25_i386.deb
MD5 checksum: a7b1b722f39faade496e79e85552b5e5
--
--
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx (private)
nokubi@xxxxxxxxx (official)