[debian-users:24792] [SECURITY] New version of curl fixes buffer overflow (update) (from debian-security-announce@lists.debian.org)

[Hiroshi KISE <fuyuneko@xxxxxxxxxxxx>]

curl のバージョン 6.0-1.1、curl-ssl のバージョン 6.0-1.2 よりも
前のバージョンには、リモートから任意のコードを実行させられる
バグがあります。

以下、debian-security-announce@lists.debian.orgに、10月13日、14日に
流れた情報です。参考訳をつけてありますが、誤訳があるかもしれません。
判断が必要な場合は引用している原文のほうを参照してください。

http://lists.debian.org/debian-security-announce-00/msg00047.html
http://lists.debian.org/debian-security-announce-00/msg00051.html (修正版)

にて、PGP署名付きの原文を読むことができます。また、Web版が

http://www.jp.debian.org/security/2000/20001013a

にあります。


From: Wichert Akkerman <wichert@xxxxxxxxxx>
Subject: [SECURITY] New version of curl fixes buffer overflow (update)
Date: Sat, 14 Oct 2000 00:26:10 +0200
> ------------------------------------------------------------------------
> Debian Security Advisory                             security@debian.org
> http://www.debian.org/security/                         Wichert Akkerman
> October 14, 2000
> ------------------------------------------------------------------------

> Package        : curl and curl-ssl
> Problem type   : remote exploit
> Debian-specific: no

パッケージ名: curl と curl-ssl
問題の種類  : ローカルからの不正利用
Debian 特有 : いいえ


> The first release of this advisory listed a wrongly compiled curl
> package for i386; this has been replaced with version 6.0-1.1.1 .

最初に発行された advisory に掲載された i386 用パッケージのcurl は
間違ってコンパイルをされていました。この i386 版はバージョン6.0-1.1.1 
で置き換えられています。


> The version of curl (a tool to retrieve files using ftp, gover or http)
> as distributed with Debian GNU/Linux 2.2 had a bug in the error logging
> code: when it created an error message it failed to check the size of
> the buffer allocated for storing the message. This could be exploited by
> the remote machine by returning an invalid response to a request from
> curl which overflows the error buffer and trick curl into executing
> arbitrary code.

Debian GNU/Linux 2.2 で配布されているバージョンの curl (ftp、gopher、
そして http を使ってファイルを取り寄せるツール)には、エラーを記録する
コードにバグがあります。このコードは、エラーメッセージを作成するときに、
メッセージを記録するバッファの割り当てサイズを、完全にはチェックして
いませんでした。これを利用して、リモートのマシンが、curl からの
リクエストに対して不当な応答を返すことで、エラーバッファをオーバーフロー
させ、不正なコードを実行させることができます。


> Debian ships with two versions of curl: the normal curl package, and the
> crypto-enabled curl-ssl package. This bug has been fixed in curl version
> 6.0-1.1 and curl-ssl version 6.0-1.2, with the exception being the i386
> curl package which has version 6.0-1.1.1 which replaces a wrongly
> compiled earlier release as noted above.

Debian は、2つのバージョンの curl があります。通常の curl パッケージと
暗号化対応の curl-ssl パッケージです。今回のバグは curl のバージョン
6.0-1.1、curl-ssl のバージョン 6.0-1.2 で対処されました。ただし、
i386 版 curl パッケージは上に書いたとおり、間違ったコンパイルをされた
ため、バージョン 6.0-1.1.1 に置き換えられています。


> We recommend you upgrade your curl or curl-ssl package immediately.

できるだけはやく curl と curl-ssl パッケージのアップグレードすることを
お勧めします。


> wget url
>         will fetch the file for you
> dpkg -i file.deb
>         will install the referenced file.

wget url
     によってファイルを入手し、
dpkg -i file.deb
     で、指定したファイルをインストールしてください。


> Debian GNU/Linux 2.1 alias slink
> --------------------------------

Debian GNU/Linux 2.1 別名 slink


>   Slink did not contain curl or curl-ssl.

slink には、curl や curl-ssl パッケージはありません。


> Debian GNU/Linux 2.2 alias potato
> ---------------------------------

Debian GNU/Linux 2.2 別名 potato


>   Potato was released for alpha, arm, i386, m68k, powerpc and sparc. At
>   this moment packages for m68k are not yet available; they will later be
>   announce on http://security.debian.org/ .

potato は Alpha、ARM、i386、m68k、PowerPC そして SPARC 向けにリリース
されました。しかし、現時点では m68k 用はまだ用意されていません。これは
http://security.debian.org/ でアナウンスされる予定です。


>   Fixed curl-ssl packages:

修正版 curl-ssl パッケージ


>   Source archives:
>     http://security.debian.org/dists/stable/updates/main/source/curl-ssl_6.0-1.2.diff.gz
>       MD5 checksum: bdfd882127d9f246402be6f9cc8d02d3
>     http://security.debian.org/dists/stable/updates/main/source/curl-ssl_6.0-1.2.dsc
>       MD5 checksum: 965a98adeb70df08f5219565c5d2a0cb
>     http://security.debian.org/dists/stable/updates/main/source/curl-ssl_6.0.orig.tar.gz
>       MD5 checksum: dffbc34bc3c19d8e8c6a11495aa744fe

>   Alpha architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-alpha/curl-ssl_6.0-1.2_alpha.deb
>       MD5 checksum: 2c8992652534aa6d7e2fc95473a469a7

>   ARM architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-arm/curl-ssl_6.0-1.2_arm.deb
>       MD5 checksum: 168a025e9374b2f96eeae3736bff094f

>   Intel ia32 architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-i386/curl-ssl_6.0-1.2_i386.deb
>       MD5 checksum: 7ad6efee7ec787a450911fbc40111468

>   PowerPC architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-powerpc/curl-ssl_6.0-1.2_powerpc.deb
>       MD5 checksum: 1d62c52cbb711cea17c375978de09e7f

>   Sun Sparc architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-sparc/curl-ssl_6.0-1.2_sparc.deb
>       MD5 checksum: c631f9b4f4789d6ba779d8ebc5ec4867


>   Fixed curl packages:

修正版 curl パッケージ


>   Source archives:
>     http://security.debian.org/dists/stable/updates/main/source/curl_6.0-1.1.diff.gz
>       MD5 checksum: a95dde95e6a072bd44a8e59b9f3d0e49
>     http://security.debian.org/dists/stable/updates/main/source/curl_6.0-1.1.dsc
>       MD5 checksum: d35d95a7e1b8e1d19692d27edecd2155
>     http://security.debian.org/dists/stable/updates/main/source/curl_6.0.orig.tar.gz
>       MD5 checksum: dffbc34bc3c19d8e8c6a11495aa744fe

>   Alpha architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-alpha/curl_6.0-1.1_alpha.deb
>       MD5 checksum: dbbe286ceabcd21e398f5bf9566182d0

>   ARM architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-arm/curl_6.0-1.1_arm.deb
>       MD5 checksum: 9fb58f2b273e68b3ba00ebcf53737fa4

>   Intel ia32 architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-i386/curl_6.0-1.1.1_i386.deb
>       MD5 checksum: 5102e282f08bc2c9332762cb1e02df2a

>   PowerPC architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-powerpc/curl_6.0-1.1_powerpc.deb
>       MD5 checksum: d0cb857833f793276bd467773c3e58cf

>   Sun Sparc architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-sparc/curl_6.0-1.1_sparc.deb
>       MD5 checksum: 99f5c19a778e67eec371b316202274c0


>   These files will be moved into
>   ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ soon.

これらのファイルは、近々
ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/
に移動します。


> For not yet released architectures please refer to the appropriate
> directory ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ .

まだリリースされていないアーキテクチャに関しては、対応するディレクトリ
ftp://ftp.debian.org/debian/dists/sid/binary-$arch/
を参照するようお願いします。


> --
> ----------------------------------------------------------------------------
> apt-get: deb http://security.debian.org/ stable/updates main
> dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
> Mailing list: debian-security-announce@lists.debian.org

-- 
喜瀬“冬猫”浩＠南国沖縄

Attachment: pgpM7X3LnkzWQ.pgp
Description: PGP signature