[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:27493] Re: [SECURITY] [DSA-041-1] joe local attack via joerc
- From: Seiji Kaneko <skaneko@xxxxxxxxxxxx>
- Subject: [debian-users:27493] Re: [SECURITY] [DSA-041-1] joe local attack via joerc
- Date: Fri, 16 Mar 2001 23:33:14 +0900
- X-authentication-warning: capek.localnet: Host gentiana.localnet [192.168.200.6] claimed to be [192.168.200.6]
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
- X-ml-name: debian-users
- X-mlserver: fml [fml 3.0pl#17]; post only (only members can post)
- Message-id: <p04310503b6d7d611ea7c@[192.168.200.6]>
- X-mail-count: 27493
- X-mailer: Macintosh Eudora Version 4.3.1-J
かねこです。
URL 等は元記事を確認ください。
------>8------------>8------------>8------------>8------------>8
- ------------------------------------------------------------------------
Debian Security Advisory DSA-041-1 security@debian.org
http://www.debian.org/security/ Wichert Akkerman
March 9, 2001
- ------------------------------------------------------------------------
Package : joe
Problem type : ローカルからの脆弱性
Debian-specific: no
Wkit Security AB の Christer Öberg さんにより、joe (Joe's
Own Editor) 中に問題が発見されました。joe は設定ファイルを三つの
場所 (カレントディレクトリ、ユーザのホームディレクトリ、/etc/joe)
から探します。設定ファイルには joe の実行するコマンド (例えばスペ
ルチェックなど) を定義できるため、カレントディレクトリから設定を
読むことは危険です。攻撃者は書き込み可能なディレクトリに .joerc
を残しておき、不注意なユーザがそのディレクトリで joe を実行した際
それが読まれるようにすることができます。
これは version 2.8-15.3 で修正されていますので、すぐに joe パッ
ケージをアップグレードすることを薦めます。
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
脚注の行から適切な設定を取ってリソースに付け加えることによって、
自動アップデートを使うようにすることも出来ます。
Debian GNU/Linux 2.2 alias potato
- ------------------------------------
Potato は alpha, arm, i386, m68k, powerpc と sparc の各アーキテクチ
ャ向けにリリースされています。
Source archives:
http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.diff.gz
MD5 checksum: cd6b006c8a2426ada62a6af1ddd001fe
http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.dsc
MD5 checksum: 4f3b3a027cd8baf4c3b1a282b31cb5ed
http://security.debian.org/dists/stable/updates/main/source/joe_2.8.orig.tar.gz
MD5 checksum: 84c1aebfce7876b8639945da3c29f204
Alpha architecture:
http://security.debian.org/dists/stable/updates/main/binary-alpha/joe_2.8-15.3_alpha.deb
MD5 checksum: bb4f2753fa7b05f5877b7bad353ac7a4
ARM architecture:
http://security.debian.org/dists/stable/updates/main/binary-arm/joe_2.8-15.3_arm.deb
MD5 checksum: 179c212d01bfaa898259028ce06a24a8
Intel ia32 architecture:
http://security.debian.org/dists/stable/updates/main/binary-i386/joe_2.8-15.3_i386.deb
MD5 checksum: 39f680f8fde72d0958431f617e774123
Motorola 680x0 architecture:
http://security.debian.org/dists/stable/updates/main/binary-m68k/joe_2.8-15.3_m68k.deb
MD5 checksum: 100db16eb2ff8aa43840cdde49d9b5a9
PowerPC architecture:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/joe_2.8-15.3_powerpc.deb
MD5 checksum: 425019054e7eb9b104e96ff351132bf3
Sun Sparc architecture:
http://security.debian.org/dists/stable/updates/main/binary-sparc/joe_2.8-15.3_sparc.deb
MD5 checksum: 8f88ab48a61c0c9f5e955fdf0fc79d4e
これらのファイルは近々
ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ へ移されます。
未リリースのアーキテクチャについては、以下の適切なディレクトリを参照ください
ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ .
- --
- ----------------------------------------------------------------------------
apt-get: deb http://security.debian.org/ stable/updates main
dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------