curl のバージョン 6.0-1.1、curl-ssl のバージョン 6.0-1.2 よりも 前のバージョンには、リモートから任意のコードを実行させられる バグがあります。 以下、debian-security-announce@lists.debian.orgに、10月13日、14日に 流れた情報です。参考訳をつけてありますが、誤訳があるかもしれません。 判断が必要な場合は引用している原文のほうを参照してください。 http://lists.debian.org/debian-security-announce-00/msg00047.html http://lists.debian.org/debian-security-announce-00/msg00051.html (修正版) にて、PGP署名付きの原文を読むことができます。また、Web版が http://www.jp.debian.org/security/2000/20001013a にあります。 From: Wichert Akkerman <wichert@xxxxxxxxxx> Subject: [SECURITY] New version of curl fixes buffer overflow (update) Date: Sat, 14 Oct 2000 00:26:10 +0200 > ------------------------------------------------------------------------ > Debian Security Advisory security@debian.org > http://www.debian.org/security/ Wichert Akkerman > October 14, 2000 > ------------------------------------------------------------------------ > Package : curl and curl-ssl > Problem type : remote exploit > Debian-specific: no パッケージ名: curl と curl-ssl 問題の種類 : ローカルからの不正利用 Debian 特有 : いいえ > The first release of this advisory listed a wrongly compiled curl > package for i386; this has been replaced with version 6.0-1.1.1 . 最初に発行された advisory に掲載された i386 用パッケージのcurl は 間違ってコンパイルをされていました。この i386 版はバージョン6.0-1.1.1 で置き換えられています。 > The version of curl (a tool to retrieve files using ftp, gover or http) > as distributed with Debian GNU/Linux 2.2 had a bug in the error logging > code: when it created an error message it failed to check the size of > the buffer allocated for storing the message. This could be exploited by > the remote machine by returning an invalid response to a request from > curl which overflows the error buffer and trick curl into executing > arbitrary code. Debian GNU/Linux 2.2 で配布されているバージョンの curl (ftp、gopher、 そして http を使ってファイルを取り寄せるツール)には、エラーを記録する コードにバグがあります。このコードは、エラーメッセージを作成するときに、 メッセージを記録するバッファの割り当てサイズを、完全にはチェックして いませんでした。これを利用して、リモートのマシンが、curl からの リクエストに対して不当な応答を返すことで、エラーバッファをオーバーフロー させ、不正なコードを実行させることができます。 > Debian ships with two versions of curl: the normal curl package, and the > crypto-enabled curl-ssl package. This bug has been fixed in curl version > 6.0-1.1 and curl-ssl version 6.0-1.2, with the exception being the i386 > curl package which has version 6.0-1.1.1 which replaces a wrongly > compiled earlier release as noted above. Debian は、2つのバージョンの curl があります。通常の curl パッケージと 暗号化対応の curl-ssl パッケージです。今回のバグは curl のバージョン 6.0-1.1、curl-ssl のバージョン 6.0-1.2 で対処されました。ただし、 i386 版 curl パッケージは上に書いたとおり、間違ったコンパイルをされた ため、バージョン 6.0-1.1.1 に置き換えられています。 > We recommend you upgrade your curl or curl-ssl package immediately. できるだけはやく curl と curl-ssl パッケージのアップグレードすることを お勧めします。 > wget url > will fetch the file for you > dpkg -i file.deb > will install the referenced file. wget url によってファイルを入手し、 dpkg -i file.deb で、指定したファイルをインストールしてください。 > Debian GNU/Linux 2.1 alias slink > -------------------------------- Debian GNU/Linux 2.1 別名 slink > Slink did not contain curl or curl-ssl. slink には、curl や curl-ssl パッケージはありません。 > Debian GNU/Linux 2.2 alias potato > --------------------------------- Debian GNU/Linux 2.2 別名 potato > Potato was released for alpha, arm, i386, m68k, powerpc and sparc. At > this moment packages for m68k are not yet available; they will later be > announce on http://security.debian.org/ . potato は Alpha、ARM、i386、m68k、PowerPC そして SPARC 向けにリリース されました。しかし、現時点では m68k 用はまだ用意されていません。これは http://security.debian.org/ でアナウンスされる予定です。 > Fixed curl-ssl packages: 修正版 curl-ssl パッケージ > Source archives: > http://security.debian.org/dists/stable/updates/main/source/curl-ssl_6.0-1.2.diff.gz > MD5 checksum: bdfd882127d9f246402be6f9cc8d02d3 > http://security.debian.org/dists/stable/updates/main/source/curl-ssl_6.0-1.2.dsc > MD5 checksum: 965a98adeb70df08f5219565c5d2a0cb > http://security.debian.org/dists/stable/updates/main/source/curl-ssl_6.0.orig.tar.gz > MD5 checksum: dffbc34bc3c19d8e8c6a11495aa744fe > Alpha architecture: > http://security.debian.org/dists/stable/updates/main/binary-alpha/curl-ssl_6.0-1.2_alpha.deb > MD5 checksum: 2c8992652534aa6d7e2fc95473a469a7 > ARM architecture: > http://security.debian.org/dists/stable/updates/main/binary-arm/curl-ssl_6.0-1.2_arm.deb > MD5 checksum: 168a025e9374b2f96eeae3736bff094f > Intel ia32 architecture: > http://security.debian.org/dists/stable/updates/main/binary-i386/curl-ssl_6.0-1.2_i386.deb > MD5 checksum: 7ad6efee7ec787a450911fbc40111468 > PowerPC architecture: > http://security.debian.org/dists/stable/updates/main/binary-powerpc/curl-ssl_6.0-1.2_powerpc.deb > MD5 checksum: 1d62c52cbb711cea17c375978de09e7f > Sun Sparc architecture: > http://security.debian.org/dists/stable/updates/main/binary-sparc/curl-ssl_6.0-1.2_sparc.deb > MD5 checksum: c631f9b4f4789d6ba779d8ebc5ec4867 > Fixed curl packages: 修正版 curl パッケージ > Source archives: > http://security.debian.org/dists/stable/updates/main/source/curl_6.0-1.1.diff.gz > MD5 checksum: a95dde95e6a072bd44a8e59b9f3d0e49 > http://security.debian.org/dists/stable/updates/main/source/curl_6.0-1.1.dsc > MD5 checksum: d35d95a7e1b8e1d19692d27edecd2155 > http://security.debian.org/dists/stable/updates/main/source/curl_6.0.orig.tar.gz > MD5 checksum: dffbc34bc3c19d8e8c6a11495aa744fe > Alpha architecture: > http://security.debian.org/dists/stable/updates/main/binary-alpha/curl_6.0-1.1_alpha.deb > MD5 checksum: dbbe286ceabcd21e398f5bf9566182d0 > ARM architecture: > http://security.debian.org/dists/stable/updates/main/binary-arm/curl_6.0-1.1_arm.deb > MD5 checksum: 9fb58f2b273e68b3ba00ebcf53737fa4 > Intel ia32 architecture: > http://security.debian.org/dists/stable/updates/main/binary-i386/curl_6.0-1.1.1_i386.deb > MD5 checksum: 5102e282f08bc2c9332762cb1e02df2a > PowerPC architecture: > http://security.debian.org/dists/stable/updates/main/binary-powerpc/curl_6.0-1.1_powerpc.deb > MD5 checksum: d0cb857833f793276bd467773c3e58cf > Sun Sparc architecture: > http://security.debian.org/dists/stable/updates/main/binary-sparc/curl_6.0-1.1_sparc.deb > MD5 checksum: 99f5c19a778e67eec371b316202274c0 > These files will be moved into > ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ soon. これらのファイルは、近々 ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ に移動します。 > For not yet released architectures please refer to the appropriate > directory ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ . まだリリースされていないアーキテクチャに関しては、対応するディレクトリ ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ を参照するようお願いします。 > -- > ---------------------------------------------------------------------------- > apt-get: deb http://security.debian.org/ stable/updates main > dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main > Mailing list: debian-security-announce@lists.debian.org -- 喜瀬“冬猫”浩@南国沖縄
Attachment:
pgpM7X3LnkzWQ.pgp
Description: PGP signature