[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:28051] [Translate] [SECURITY] [DSA-048-1] remote cfingerd exploit
- From: Seiji Kaneko <skaneko@xxxxxxxxxxxx>
- Subject: [debian-users:28051] [Translate] [SECURITY] [DSA-048-1] remote cfingerd exploit
- Date: Fri, 20 Apr 2001 21:28:10 +0900
- X-authentication-warning: capek.localnet: Host gentiana.localnet [192.168.200.6] claimed to be [192.168.200.6]
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
- X-ml-name: debian-users
- X-mlserver: fml [fml 3.0pl#17]; post only (only members can post)
- Message-id: <p04320403b705db7e4c83@[192.168.200.6]>
- X-mail-count: 28051
- X-mailer: Macintosh Eudora Version 4.3.2-J
かねこです。表題は 48 ですが、実際は 49 相当です。
URL 等は元記事を確認ください。
------>8------------>8------------>8------------>8------------>8
- ------------------------------------------------------------------------
Debian Security Advisory DSA-048-1 security@debian.org
http://www.debian.org/security/ Wichert Akkerman
April 19, 2001
- ------------------------------------------------------------------------
Package : cfingerd
Problem type : リモートからの printf のフォーマットバグ攻撃
Debian-specific: no
Megyer Laszlo さんにより Bugtraq に Debian GNU/Linux 2.2 で配布されてい
る Debian 版の cfingerd でログ採取コード中に不注意な箇所があるという報告
がありました。このバグと、ident の返答で username をコピーするコードで添
字の境界を 1 間違えているバグを組み合わせると、cfingerd をリモートから攻
撃できます。cfingerd は finger の対象となるユーザが確定する時点まで root
特権を落とさないため、攻撃者が root 権限を得ることができます。
これはバージョン 1.4.1-1.1 で修正されています。cfingerd パッケージをすぐ
にアップグレードすることを薦めます
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
脚注の行から適切な設定を取ってリソースに付け加えることによって、
自動アップデートを使うようにすることも出来ます。
Debian GNU/Linux 2.2 alias potato
- ------------------------------------
Potato は alpha, arm, i386, m68k, powerpc と sparc の各アーキテクチ
ャ向けにリリースされています。
Source archives:
http://security.debian.org/dists/stable/updates/main/source/cfingerd_1.4.1-1.1.diff.gz
MD5 checksum: 9ea177fd9f986c75da499c52c15d9dbe
http://security.debian.org/dists/stable/updates/main/source/cfingerd_1.4.1-1.1.dsc
MD5 checksum: c9b3a1bc6bd2cb2dad3916da82df917c
http://security.debian.org/dists/stable/updates/main/source/cfingerd_1.4.1.orig.tar.gz
MD5 checksum: 0461179bca7bb9b00fb23c0886666cb0
Alpha architecture:
http://security.debian.org/dists/stable/updates/main/binary-alpha/cfingerd_1.4.1-1.1_alpha.deb
MD5 checksum: 55eebf918692fb12bbcefb512ae9cfad
ARM architecture:
http://security.debian.org/dists/stable/updates/main/binary-arm/cfingerd_1.4.1-1.1_arm.deb
MD5 checksum: 41089c6e44cd1a91beb769070720c597
Intel ia32 architecture:
http://security.debian.org/dists/stable/updates/main/binary-i386/cfingerd_1.4.1-1.1_i386.deb
MD5 checksum: 6ef1f240c9ab6fa1e94143d020bd782e
Motorola 680x0 architecture:
http://security.debian.org/dists/stable/updates/main/binary-m68k/cfingerd_1.4.1-1.1_m68k.deb
MD5 checksum: 670ed451481a4ade769c3128a95d20f2
PowerPC architecture:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/cfingerd_1.4.1-1.1_powerpc.deb
MD5 checksum: 9ca4d42c82f49974de09711f9d146c14
Sun Sparc architecture:
http://security.debian.org/dists/stable/updates/main/binary-sparc/cfingerd_1.4.1-1.1_sparc.deb
MD5 checksum: 898af9044c308cc217cc9d3b0050c34e
これらのファイルは次の版の安定版リリース時そちらに移されます。
未リリースのアーキテクチャについては、以下の適切なディレクトリを参照ください
ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ .
- --
- ----------------------------------------------------------------------------
apt-get: deb http://security.debian.org/ stable/updates main
dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------