Debianでのboaパッケージには外部から非公開のファイルを取得できる 問題があり、修正版が出ている、という話です。 以下、debian-security-announce@lists.debian.orgに、10月9日に流れた 情報です。参考訳をつけてありますが、誤訳があるかもしれません。また、 原文も訳文も無保証です。 http://lists.debian.org/debian-security-announce-00/msg00045.html にて、原文を読むことができます。また、Web版が http://www.jp.debian.org/security/2000/20001009 にあります。 From: Daniel Jacobowitz <drow@xxxxxxxxxxxxx> Subject: [SECURITY] New versions of Boa packages available Date: Mon, 9 Oct 2000 15:42:39 -0400 > ---------------------------------------------------------------------------- > Debian Security Advisory security@debian.org > http://www.debian.org/security/ Daniel Jacobowitz > October 9, 2000 > ---------------------------------------------------------------------------- > Package: boa > Vulnerability: exposes contents of local files > Debian-specific: no > Vulnerable: yes パッケージ名: boa 問題の種類 : ローカルファイルの流出 Debian 特有 : いいえ 攻撃可能性 : はい > In versions of boa before 0.94.8.3, it is possible to access files outside > of the server's document root by the use of properly constructed URL > requests. 0.94.8.3 よりも前のバージョンの boa は、巧妙に構成された URL アクセスによって、サーバのドキュメントルートの外のファイルを 入手することが可能です。 > This problem is fixed in version 0.94.8.3-1, uploaded to Debian's unstable > distribution on October 3, 2000. Fixed packages are also available in > proposed-updates and will be included in the next revision of Debian/2.2 > (potato). この問題を修正したバージョン 0.94.8.3-1 を、2000 年 10 月 3 日に Debian 開発版向けにアップロードした。また、proposed-updates にも 用意されており、さらに Debian/2.2 (potato) の次のリビジョンにも 含まれる予定です。 > Debian GNU/Linux 2.1 alias slink > -------------------------------- Debian GNU/Linux 2.1 別名 slink > Slink contains Boa version 0.93.15. This version is no longer supported; > we recommend that slink users upgrade to potato, or recompile the current > Boa packages on their slink systems. slink は Boa のバージョン 0.93.15 を提供しています。このバージョンは、 もうサポートされていません。slink ユーザは、potato にアップグレード するか、現バージョンの boa パッケージを slink システム上で再コンパイル することをお勧めします。 > Debian GNU/Linux 2.2 (stable) alias potato > ------------------------------------------ Debian GNU/Linux 2.2 (安定版) 別名 potato > Fixes are currently available for Alpha, Intel ia32, Motorola 680x0, > PowerPC and the Sun Sparc architectures, from the proposed-updates archive > and from these URLs: 修正版は、現在 Alpha、Intel ia32、Motorola 680x0、PowerPC そして Sun Sparc アーキテクチャの proposed-updates アーカイブにあります。 URL は以下のとおりです。 > Source archives: > http://security.debian.org/dists/potato/updates/main/source/boa_0.94.8.3-1.dsc > MD5 checksum: 85349ebced6a9b0d57ac718891f617e0 > http://security.debian.org/dists/potato/updates/main/source/boa_0.94.8.3-1.tar.gz > MD5 checksum: 492b474bf0adf9e00e6289fe70b104ef > > Alpha architecture: > http://security.debian.org/dists/potato/updates/main/binary-alpha/boa_0.94.8.3-1_alpha.deb > MD5 checksum: 49bb09162ce840153779b5911cca29af > > Intel ia32 architecture: > http://security.debian.org/dists/potato/updates/main/binary-i386/boa_0.94.8.3-1_i386.deb > MD5 checksum: e8122856917c02ca23e03cf49fcdc3ed > > Motorola 680x0 architecture: > http://security.debian.org/dists/potato/updates/main/binary-m68k/boa_0.94.8.3-1_m68k.deb > MD5 checksum: 1670d6f1e57453e4a22e15175d398c7e > > PowerPC architecture: > http://security.debian.org/dists/potato/updates/main/binary-powerpc/boa_0.94.8.3-1_powerpc.deb > MD5 checksum: 9fdb496abcdc24f2234c1930bc9b9913 > > Sun Sparc architecture: > http://security.debian.org/dists/potato/updates/main/binary-sparc/boa_0.94.8.3-1_sparc.deb > MD5 checksum: 7f4e1ac3afff1442fec6cd5b92ed2771 > Debian GNU/Linux Unstable alias woody > ------------------------------------- Debian GNU/Linux 開発版 別名 woody > This version of Debian is not yet released. Debian のこのバージョンは、まだリリースされていません。 > Fixes are currently available for Alpha, Intel ia32, Motorola 680x0, > PowerPC and the Sun Sparc architectures, in the Debian archives. The > stable packages listed above are also installable on current unstable > systems. 修正版は、現在 Alpha、Intel ia32、Motorola 680x0、PowerPC そして Sun Sparc アーキテクチャの Debian アーカイブにあります。上に掲載 した安定版パッケージは、現在の開発版システムにインストールすることが できます。 > ---------------------------------------------------------------------------- > For apt-get: deb http://security.debian.org/ stable updates > For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates > Mailing list: debian-security-announce@lists.debian.org -- 喜瀬“冬猫”浩@南国沖縄
Attachment:
pgpi42VbnBkKE.pgp
Description: PGP signature