[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:25623] Re: [SECURITY] [DSA-003-1] Revised security fix for joe (from debian-security-announce@lists.debian.org)

From: Hiroshi KISE <fuyuneko@xxxxxxxxxxxx>
Subject: [debian-users:25623] Re: [SECURITY] [DSA-003-1] Revised security fix for joe (from debian-security-announce@lists.debian.org)
Date: Mon, 4 Dec 2000 00:53:55 +0900
X-dispatcher: imput version 20000228(IM140)
X-envelope-to: <debian-users@debian.or.jp>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 3.0pl#17]; post only (only members can post)
References: <200012011620.eB1GKl918705@xxxxxxxxxxxxxxxxxx>
Message-id: <200012031553.AAA01782@xxxxxxxxxxxx>
X-mail-count: 25623
X-mailer: Mew version 1.94.2 on Emacs 20.7 / Mule 4.0 (HANANOEN)

joeパッケージのバージョン2.8-15.1はセキュリティホールを修正した
バージョンですが、バグがあります。

以下、debian-security-announce@lists.debian.orgに、12月1日付で流れた
情報です。参考訳をつけてありますが、誤訳があるかもしれません。判断が
必要な場合は引用している原文のほうを参照してください。

http://lists.debian.org/debian-security-announce-00/msg00092.html
にて、PGP署名付きの原文を読むことができます。また、Web版が
http://www.jp.debian.org/security/2000/20001201
にあります。


From: Wichert Akkerman <wichert@xxxxxxxxxx>
Subject: [SECURITY] [DSA-003-1] Revised security fix for joe
Date: Fri, 1 Dec 2000 17:20:47 +0100

> ------------------------------------------------------------------------
> Debian Security Advisory DSA-003-1                   security@debian.org
> http://www.debian.org/security/                         Wichert Akkerman
> December  1, 2000
> ------------------------------------------------------------------------

> Package        : joe
> Problem type   : symlink attack
> Debian-specific: no

パッケージ名: joe
問題の種類  : シンボリックリンク攻撃
Debian 特有 : いいえ


> The security fix for joe released on November 22, 2000 had a problem:
> it created the DEADJOE file securily but didn't write anything to it.
> This has been fixed in version 2.8.15.2 .

2000 年 11 月 22 日にセキュリティホール修正のためリリースされた joe に
は問題がありました。joe は DEADJOE ファイルを安全に作成しますが、中に
何も書かれません。この問題は 2.8-15.2 で修正されています。


> This is the text from the previous advisory:

次の文章は、前回の advisory からの転載です。


> When joe (Joe's Own Editor) dies due to a signal instead of a normal
> exit it saves a list of the files it is editing to a file called `DEADJOE'
> in its current directory. Unfortunately this wasn't done safely which made
> joe vulnerable to a symlink attack.

joe (Joe's Own Editor)は、通常の終了方法の代わりにシグナルによって終了
させられたときに、編集中のファイル名のリストをカレントディレクトリの 
`DEADJOE' というファイルに記録します。残念ながら、この処理は安全では
ない手順で行なわれるため、シンボリックリンク攻撃を受けてしまいます。


> wget url
>         will fetch the file for you
> dpkg -i file.deb
>         will install the referenced file.

wget url
     によってファイルを入手し、
dpkg -i file.deb
     で、指定したファイルをインストールしてください。


> Debian GNU/Linux 2.2 alias potato
> ---------------------------------

Debian GNU / Linux 2.2  別名 potato


>   Potato was released for alpha, arm, i386, m68k, powerpc and sparc.

potato は、Alpha、ARM、i386、m68k、PowerPC、そして SPARC 用にリリース
されています。


>   Source archives:
>     http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.2.diff.gz
>       MD5 checksum: e0e5bad921fef97ebe24b4fc6fba62d8
>     http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.2.dsc
>       MD5 checksum: 7b17ccbe9b510fc16ccdffc6f6846d5b
>     http://security.debian.org/dists/stable/updates/main/source/joe_2.8.orig.tar.gz
>       MD5 checksum: 84c1aebfce7876b8639945da3c29f204

>   Alpha architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-alpha/joe_2.8-15.2_alpha.deb
>       MD5 checksum: ac6e60b0dee9c3543c120441853ecba8

>   ARM architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-arm/joe_2.8-15.2_arm.deb
>       MD5 checksum: fd96b9695eb552c8646a845d325c3a75

>   Intel ia32 architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-i386/joe_2.8-15.2_i386.deb
>       MD5 checksum: 01e7ec1c316974012d7a72fad3a18e83

>   Motorola 680x0 architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-m68k/joe_2.8-15.2_m68k.deb
>       MD5 checksum: b2a43f9fddffec934e05f21216b3c73f

>   PowerPC architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-powerpc/joe_2.8-15.2_powerpc.deb
>       MD5 checksum: 9eb38138976d3acc8353e0a10631b45c

>   Sun Sparc architecture:
>     http://security.debian.org/dists/stable/updates/main/binary-sparc/joe_2.8-15.2_sparc.deb
>       MD5 checksum: de84f472e4304cb7a217348002a38036

>   These files will be moved into
>   ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ soon.

これらのファイルは、近々
ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/
に移動します。


> For not yet released architectures please refer to the appropriate
> directory ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ .

まだリリースされていないアーキテクチャに関しては、対応するディレクトリ
ftp://ftp.debian.org/debian/dists/sid/binary-$arch/
を参照するようお願いします。

> --
> ----------------------------------------------------------------------------
> apt-get: deb http://security.debian.org/ stable/updates main
> dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
> Mailing list: debian-security-announce@lists.debian.org

-- 
喜瀬“冬猫”浩＠南国沖縄

Attachment: pgpLiFavj5oGN.pgp
Description: PGP signature

Prev by Date: [debian-users:25622] Re: Can't show info in mule2
Next by Date: [debian-users:25624] Re: Can't show info in mule2
Previous by thread: [debian-users:25701] Re: Can't show info in mule2
Next by thread: [debian-users:25642] esound
Index(es):
- Date
- Thread