[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:20020] [SECURITY] New version of lpr released (from debian-security-announce@lists.debian.org)



debian-security-announce@lists.debian.orgに流れた文書に、参考のために
日本語訳をつけてみました。訳はあくまでも参考として読んでください。

PGP署名付きの原文は、
http://www.debian.org/Lists-Archives/debian-security-announce-00/msg00001.html
で読めます。


From: Wichert Akkerman <wichert@xxxxxxx>
Subject: [SECURITY] New version of lpr released
Date: Sun, 9 Jan 2000 18:12:42 +0100

> ------------------------------------------------------------------------
> Debian Security Advisory                             security@debian.org
> http://www.debian.org/security/                         Wichert Akkerman
> January  9, 2000
> ------------------------------------------------------------------------

> Package: lpr
> Vulnerability type: remote exploit
> Debian-specific: no

パッケージ: lpr
弱点の種類: リモートからの悪用
Debian特有: いいえ


> The version of lpr that was distributed with Debian GNU/Linux 2.1
> and the updated version released in 2.1r4 have a two security
> problems:

lpr の、Debian GNU/Linux 2.1 で配布されたバージョンと、2.1r4 で
アップデート版としてリリースされたバージョンには、2つのセキュリティ上の
問題があります。


> * the client hostname wasn't verified properly, so if someone is able to
>   control the DNS entry for their IP he could fool lpr into granting
>   access.

* クライアントのホスト名の確認が適切でなかったため、誰かが自分の
  IP アドレスを DNS エントリに入れるように変更できるなら、lprをだまして
  アクセス権を得ることができました。


> * it was possible to specify extra options to sendmail which could be
>   used to specify another configuration file. This can be used to
>   gain root access.

* sendmail に別の設定ファイルを使うように、特別な追加オプションを指定
  することができました。これを、root 権限を入手するために利用することが
  できます。


> Both problems have been fixed in 0.48-0.slink1 . We recommend you upgrade
> your lpr package immediately.

この両方の問題は、バージョン0.48-0.slink1で修正されました。すぐに
lpr パッケージをアップグレードすることをお勧めします。


> wget url
>         will fetch the file for you
> dpkg -i file.deb
>         will install the referenced file.

“wget url”でファイルを取り寄せて、
“dpkg -i file.deb”で、そのファイルをインストールしてください。


> Debian GNU/Linux 2.1 alias slink
> --------------------------------

>   This version of Debian was released only for Intel ia32, the Motorola
>   680x0, the alpha and the Sun sparc architecture.

Debian のこのバージョンは、Intel ia32、Motorola 680x0、alpha、および
Sun sparc アーキテクチャ用にリリースされました。


>   Source archives:
>     http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.diff.gz
>       MD5 checksum: aca07389fc8f536df0d01d6469058a83
>     http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.dsc
>       MD5 checksum: 8854564310b6eb52cf00d06bfdf298d6
>     http://security.debian.org/dists/stable/updates/source/lpr_0.48.orig.tar.gz
>       MD5 checksum: 7b67555568e1c2d03aedbe66098a52a5
> 
>   Alpha architecture:
>     http://security.debian.org/dists/stable/updates/binary-alpha/lpr_0.48-0.slink1_alpha.deb
>       MD5 checksum: 891a7a518265c292e4d6183d27b1d284
> 
>   Intel ia32 architecture:
>     http://security.debian.org/dists/stable/updates/binary-i386/lpr_0.48-0.slink1_i386.deb
>       MD5 checksum: 386d1e35a9cab64cd960385a46dab6a1
> 
>   Motorola 680x0 architecture:
>     http://security.debian.org/dists/stable/updates/binary-m68k/lpr_0.48-0.slink1_m68k.deb
>       MD5 checksum: a6e05782ce4394cff1c48c7ddc50835f
> 
>   Sun Sparc architecture:
>     http://security.debian.org/dists/stable/updates/binary-sparc/lpr_0.48-0.slink1_sparc.deb
>       MD5 checksum: f14d908138bfee39cf7cd665df44e35d

>   These files will be moved into
>   ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ soon.

これらのファイルは近々
ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/
に移動する予定です。


> For not yet released architectures please refer to the appropriate
> directory ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ .

まだリリースされていないアーキテクチャ用は、
ftp://ftp.debian.org/debian/dists/sid/binary-$arch/
の適切なディレクトリを参照してください。

> --
> ----------------------------------------------------------------------------
> For apt-get: deb http://security.debian.org/ stable updates
> For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates
> Mailing list: debian-security-announce@lists.debian.org
-- 
喜瀬“冬猫”浩@南国沖縄