tracerouteパッケージのバージョン1.4a5-3より前のものには、ローカルの ユーザがroot権限を取れる問題があります。 以下、debian-security-announce@lists.debian.orgに、10月13日付で流れた 情報です。参考訳をつけてありますが、誤訳があるかもしれません。判断が 必要な場合は引用している原文のほうを参照してください。 http://lists.debian.org/debian-security-announce-00/msg00046.html にて、PGP署名付きの原文を読むことができます。また、Web版が http://www.jp.debian.org/security/2000/20001013 にあります。 From: Daniel Jacobowitz <drow@xxxxxxxxxxxxx> Subject: [SECURITY] New versions of Debian traceroute packages Date: Fri, 13 Oct 2000 01:02:08 -0400 > ---------------------------------------------------------------------------- > Debian Security Advisory security@debian.org > http://www.debian.org/security/ Daniel Jacobowitz > October 13, 2000 > ---------------------------------------------------------------------------- > Package: traceroute > Vulnerability: local root exploit > Debian-specific: no > Vulnerable: yes パッケージ名: traceroute 問題の種類 : ローカルからの root 権限の不正取得 Debian 特有 : いいえ 攻撃可能性 : はい > In versions of the traceroute package before 1.4a5-3, it is possible for a > local user to gain root access by exploiting an argument parsing error. traceroute の 1.4a5-3 より前のバージョンには、引き数の構文解析誤りを 利用することで、ローカルのユーザが root 権限を入手することができます。 > This problem is fixed in version 1.4a5-3, uploaded to Debian's unstable > distribution on August 24, 2000. Fixed packages are now also available in > proposed-updates and will be included in the next revision of Debian/2.2 > (potato). この問題はバージョン 1.4a5-3 で修正され、2000 年 8 月 24 日、Debian の 開発版にアップロードされました。また、Debian/2.2 (potato)用の 修正版パッケージも proposed-updates に利用可能なものがあり、 次のリビジョンに含まれる予定です。 > The traceroute-nanog package is unaffected by this problem. traceroute-nanog パッケージは、この問題の影響を受けません。 > Debian GNU/Linux 2.1 alias slink > -------------------------------- Debian GNU/Linux 2.1 別名 slink > Slink contains an earlier version of traceroute, which is not affected by > this problem. slink には、もっと古いバージョンの traceroute が含まれていて、この 問題の影響を受けません。 > Debian GNU/Linux 2.2 (stable) alias potato > ------------------------------------------ Debian GNU/Linux 2.2 (安定版) 別名 potato > Fixes are currently available for the Alpha, ARM, Intel ia32, Motorola 680x0, > PowerPC and Sun SPARC architectures, and will be included in 2.2r1. 現在、Alpha、ARM、Intel ia32、Motorola 680x0、PowerPC そして Sun SPARC 用の修正版があり、これらは 2.2r1 に含まれる予定です。 > Source archives: > http://security.debian.org/dists/potato/updates/main/source/traceroute_1.4a5-3.diff.gz > MD5 checksum: fa0c426fa84bf54ec33093bae90c1fdf > http://security.debian.org/dists/potato/updates/main/source/traceroute_1.4a5-3.dsc > MD5 checksum: 4bd7bc9ec1894c75e7ccba51e6a91cc6 > http://security.debian.org/dists/potato/updates/main/source/traceroute_1.4a5.orig.tar.gz > MD5 checksum: db5724df8d01b6c75aefe704e06e8160 > Alpha architecture: > http://security.debian.org/dists/potato/updates/main/binary-alpha/traceroute_1.4a5-3_alpha.deb > MD5 checksum: 6b3f20ecb08276c15715ae54ef8be0c7 > ARM architecture: > http://security.debian.org/dists/potato/updates/main/binary-arm/traceroute_1.4a5-3_arm.deb > MD5 checksum: 3e92eb865b388769da00a5cb3297a862 > Intel ia32 architecture: > http://security.debian.org/dists/potato/updates/main/binary-i386/traceroute_1.4a5-3_i386.deb > MD5 checksum: feba02e20848bdfafa6bf7dd9c594eba > Motorola 680x0 architecture: > http://security.debian.org/dists/potato/updates/main/binary-m68k/traceroute_1.4a5-3_m68k.deb > MD5 checksum: fdc5a6ed3cd97067c4b7e1ddf7945287 > PowerPC architecture: > http://security.debian.org/dists/potato/updates/main/binary-powerpc/traceroute_1.4a5-3_powerpc.deb > MD5 checksum: 3cb1524fccc1eb0e011ec17d2d2a1407 > Sun Sparc architecture: > http://security.debian.org/dists/potato/updates/main/binary-sparc/traceroute_1.4a5-3_sparc.deb > MD5 checksum: a9f078c807e52ab1a68bdeba0d364be1 > Debian GNU/Linux Unstable alias woody > ------------------------------------- Debian GNU/Linux 開発版 別名 woody > This version of Debian is not yet released. このバージョンの Debian は、まだリリースされていません。 > Fixes are currently available for Alpha, Intel ia32, Motorola 680x0, > PowerPC and the Sun SPARC architectures, in the Debian archives. The > stable packages listed above are also installable on current unstable > systems. 現在、Alpha、Intel ia32、Motorola 680x0、PowerPC そして Sun SPARC 用の修正版が Debian アーカイブにあります。安定版のパッケージが上の 一覧に示す場所にありますが、現在の開発版システムにインストールする ことができます。 > ---------------------------------------------------------------------------- > For apt-get: deb http://security.debian.org/ stable updates/main > Mailing list: debian-security-announce@lists.debian.org -- 喜瀬“冬猫”浩@南国沖縄
Attachment:
pgpuYy6DeUIlv.pgp
Description: PGP signature