# debian-announceに投げたらけられてしまった。(^_^;) debian-security-announce@lists.debian.orgに流れた文書に、参考のために 日本語訳をつけてみました。訳の質や正確さは保証できませんので、原文も 並べて書いてあります。 PGP署名付きの原文は、 http://www.debian.org/Lists-Archives/debian-security-announce-99/msg00044.html で読めるはずです(このメイルを書いている時点はまだ存在していません)。 > ------------------------------------------------------------------------ > Debian Security Advisory security@debian.org > http://www.debian.org/security/ Wichert Akkerman > December 9, 1999 > ------------------------------------------------------------------------ > Package : htdig > Vulnerability type: remote exploit > Debian-specific : no パッケージ: htdig 弱点の種類: リモートからの悪用 Debian特有: いいえ > The version of htdig that was shipped in Debian GNU/Linux 2.1 has a problem > with calling external programs to handle non-HTML documents: it calls > the external program with the document as a parameter, but does not check > for shell escapes. This can be exploited by creating files with filenames > that include shell escapes to run arbitraty commands on the machine that > runs htdig. (arbitraty -> arbitrary?) Debian GNU/Linux 2.1 で配布された htdig のバージョンには、非 HTML ドキュメントを扱うために外部プログラムを呼び出す部分に問題があります。 外部プログラムを呼び出すときに、ドキュメントをパラメータとして 渡しますが、そのときにシェルエスケープをチェックしていませんでした。 シェルエスケープを含むファイル名を使用してファイルを作成することで、 htdig を運用しているマシン上で任意のコマンドを実行することができます。 > This has been fixed in version 3.1.2-4slink6. We recommend you upgrade your > htdig package immediately. この問題は、バージョン 3.1.2-4slink6 で修正されました。すぐに htdig パッケージをアップグレードすることをお勧めします。 > wget url > will fetch the file for you > dpkg -i file.deb > will install the referenced file. “wget url”でファイルを取り寄せて、 “dpkg -i file.deb”で、そのファイルをインストールします。 > Debian GNU/Linux 2.1 alias slink > -------------------------------- > This version of Debian was released only for Intel ia32, the Motorola > 680x0, the alpha and the Sun sparc architecture. Debian のこのバージョンは、Intel ia32、Motorola 680x0、alpha、および Sun sparc アーキテクチャ用にリリースされました。 > Source archives: > http://security.debian.org/dists/stable/updates/source/htdig_3.1.2-4slink6.diff.gz > MD5 checksum: 9151d7e15d7a2759958c09e6c21f28de > http://security.debian.org/dists/stable/updates/source/htdig_3.1.2-4slink6.dsc > MD5 checksum: fc05d22813afaa9fce10e97a5437ed69 > http://security.debian.org/dists/stable/updates/source/htdig_3.1.2.orig.tar.gz > MD5 checksum: ddd0305d420e2d6025694d4e1448d5f7 > Alpha architecture: > http://security.debian.org/dists/stable/updates/binary-alpha/htdig_3.1.2-4slink6_alpha.deb > MD5 checksum: 1f816b0af2dd5919524d26be2017ec62 > Intel ia32 architecture: > http://security.debian.org/dists/stable/updates/binary-i386/htdig_3.1.2-4slink6_i386.deb > MD5 checksum: da77c99388d3d9d09afecb2c9f345d58 > Motorola 680x0 architecture: > http://security.debian.org/dists/stable/updates/binary-m68k/htdig_3.1.2-4slink6_m68k.deb > MD5 checksum: 48986e8f5323db7b899c6341b87c3d4d > Sun Sparc architecture: > http://security.debian.org/dists/stable/updates/binary-sparc/htdig_3.1.2-4slink6_sparc.deb > MD5 checksum: fcd3181ad76a72e82db2f769d88ff18c > These files will be moved into > ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ soon. これらのファイルは近々 ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ に移動する予定です。 > For not yet released architectures please refer to the appropriate > directory ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ . まだリリースされていないアーキテクチャ用のものは、 ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ の適切なディレクトリを参照してください。 > -- > ---------------------------------------------------------------------------- > For apt-get: deb http://security.debian.org/ stable updates > For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates > Mailing list: debian-security-announce@lists.debian.org -- 喜瀬“冬猫”浩@南国沖縄
Attachment:
pgp6BsalXMKBJ.pgp
Description: PGP signature