[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:24699] [SECURITY] New versions of Debian traceroute packages (from debian-security-announce@lists.debian.org)

From: Hiroshi KISE <fuyuneko@xxxxxxxxxxxx>
Subject: [debian-users:24699] [SECURITY] New versions of Debian traceroute packages (from debian-security-announce@lists.debian.org)
Date: Fri, 20 Oct 2000 08:51:16 +0900
X-dispatcher: imput version 991025(IM133)
X-envelope-to: <debian-users@debian.or.jp>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 3.0pl#17]; post only (only members can post)
References: <20001013010208.A22067@xxxxxxxxxxxxx>
Message-id: <200010192351.IAA24874@xxxxxxxxxxxx>
X-mail-count: 24699
X-mailer: Mew version 1.94.2 on Emacs 20.7 / Mule 4.0 (HANANOEN)

tracerouteパッケージのバージョン1.4a5-3より前のものには、ローカルの
ユーザがroot権限を取れる問題があります。

以下、debian-security-announce@lists.debian.orgに、10月13日付で流れた
情報です。参考訳をつけてありますが、誤訳があるかもしれません。判断が
必要な場合は引用している原文のほうを参照してください。

http://lists.debian.org/debian-security-announce-00/msg00046.html
にて、PGP署名付きの原文を読むことができます。また、Web版が
http://www.jp.debian.org/security/2000/20001013
にあります。


From: Daniel Jacobowitz <drow@xxxxxxxxxxxxx>
Subject: [SECURITY] New versions of Debian traceroute packages
Date: Fri, 13 Oct 2000 01:02:08 -0400
> ----------------------------------------------------------------------------
> Debian Security Advisory                                 security@debian.org
> http://www.debian.org/security/                            Daniel Jacobowitz
> October 13, 2000
> ----------------------------------------------------------------------------


> Package: traceroute
> Vulnerability: local root exploit
> Debian-specific: no
> Vulnerable: yes

パッケージ名: traceroute
問題の種類  : ローカルからの root 権限の不正取得
Debian 特有 : いいえ
攻撃可能性  : はい


> In versions of the traceroute package before 1.4a5-3, it is possible for a
> local user to gain root access by exploiting an argument parsing error.

traceroute の 1.4a5-3 より前のバージョンには、引き数の構文解析誤りを
利用することで、ローカルのユーザが root 権限を入手することができます。


> This problem is fixed in version 1.4a5-3, uploaded to Debian's unstable
> distribution on August 24, 2000.  Fixed packages are now also available in
> proposed-updates and will be included in the next revision of Debian/2.2
> (potato).

この問題はバージョン 1.4a5-3 で修正され、2000 年 8 月 24 日、Debian の
開発版にアップロードされました。また、Debian/2.2 (potato)用の
修正版パッケージも proposed-updates に利用可能なものがあり、
次のリビジョンに含まれる予定です。


> The traceroute-nanog package is unaffected by this problem.

traceroute-nanog パッケージは、この問題の影響を受けません。


> Debian GNU/Linux 2.1 alias slink
> --------------------------------

Debian GNU/Linux 2.1 別名 slink


>   Slink contains an earlier version of traceroute, which is not affected by
>   this problem.

slink には、もっと古いバージョンの traceroute が含まれていて、この
問題の影響を受けません。


> Debian GNU/Linux 2.2 (stable) alias potato
> ------------------------------------------

Debian GNU/Linux 2.2 (安定版) 別名 potato


>   Fixes are currently available for the Alpha, ARM, Intel ia32, Motorola 680x0,
>   PowerPC and Sun SPARC architectures, and will be included in 2.2r1.

現在、Alpha、ARM、Intel ia32、Motorola 680x0、PowerPC そして Sun SPARC 
用の修正版があり、これらは 2.2r1 に含まれる予定です。


>   Source archives:
>     http://security.debian.org/dists/potato/updates/main/source/traceroute_1.4a5-3.diff.gz
>       MD5 checksum: fa0c426fa84bf54ec33093bae90c1fdf
>     http://security.debian.org/dists/potato/updates/main/source/traceroute_1.4a5-3.dsc
>       MD5 checksum: 4bd7bc9ec1894c75e7ccba51e6a91cc6
>     http://security.debian.org/dists/potato/updates/main/source/traceroute_1.4a5.orig.tar.gz
>       MD5 checksum: db5724df8d01b6c75aefe704e06e8160

>   Alpha architecture:
>     http://security.debian.org/dists/potato/updates/main/binary-alpha/traceroute_1.4a5-3_alpha.deb
>       MD5 checksum: 6b3f20ecb08276c15715ae54ef8be0c7

>   ARM architecture:
>     http://security.debian.org/dists/potato/updates/main/binary-arm/traceroute_1.4a5-3_arm.deb
>       MD5 checksum: 3e92eb865b388769da00a5cb3297a862

>   Intel ia32 architecture:
>     http://security.debian.org/dists/potato/updates/main/binary-i386/traceroute_1.4a5-3_i386.deb
>       MD5 checksum: feba02e20848bdfafa6bf7dd9c594eba

>   Motorola 680x0 architecture:
>     http://security.debian.org/dists/potato/updates/main/binary-m68k/traceroute_1.4a5-3_m68k.deb
>       MD5 checksum: fdc5a6ed3cd97067c4b7e1ddf7945287

>   PowerPC architecture:
>     http://security.debian.org/dists/potato/updates/main/binary-powerpc/traceroute_1.4a5-3_powerpc.deb
>       MD5 checksum: 3cb1524fccc1eb0e011ec17d2d2a1407

>   Sun Sparc architecture:
>     http://security.debian.org/dists/potato/updates/main/binary-sparc/traceroute_1.4a5-3_sparc.deb
>       MD5 checksum: a9f078c807e52ab1a68bdeba0d364be1


> Debian GNU/Linux Unstable alias woody
> -------------------------------------

Debian GNU/Linux 開発版 別名 woody


>   This version of Debian is not yet released.

このバージョンの Debian は、まだリリースされていません。


>   Fixes are currently available for Alpha, Intel ia32, Motorola 680x0,
>   PowerPC and the Sun SPARC architectures, in the Debian archives.  The
>   stable packages listed above are also installable on current unstable
>   systems.

現在、Alpha、Intel ia32、Motorola 680x0、PowerPC そして Sun SPARC 
用の修正版が Debian アーカイブにあります。安定版のパッケージが上の
一覧に示す場所にありますが、現在の開発版システムにインストールする
ことができます。


> ----------------------------------------------------------------------------
> For apt-get: deb http://security.debian.org/ stable updates/main
> Mailing list: debian-security-announce@lists.debian.org

-- 
喜瀬“冬猫”浩＠南国沖縄

Attachment: pgpuYy6DeUIlv.pgp
Description: PGP signature

Prev by Date: [debian-users:24698] Re: ppxp make-kpkg error
Next by Date: [debian-users:24700] access control for exim
Previous by thread: [debian-users:24702] Bug#JP/1305: marked as done (can't use DBCS in nvi-m17n when execute shell)
Next by thread: [debian-users:24700] access control for exim
Index(es):
- Date
- Thread