[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:29511] [Translate]

かねこです。原文(元のリリースノート)が変でよく分からないため
気になる向きはソースに当たられたし。以下の訳 (3 のところ)は推
定です。

# http://bugs.horde.org には繋がらないし、メーリングリストの
# 関連期間は imp だけで 2000 通近くあって探しきれない。

URL 等は元記事を確認ください。

------>8------------>8------------>8------------>8------------>8
- ------------------------------------------------------------------------
Debian Security Advisory DSA-073-1                   security@debian.org
http://www.debian.org/security/                         Wichert Akkerman
August 11, 2001
- ------------------------------------------------------------------------


Package        : imp
Problem type   : 3 つのリモートからの攻撃
Debian-specific: no

Horde チームより三つのセキュリティ問題を修正した IMP のバージョン 2.2.6
(Web ベースの IMAP メールプログラム) がリリースされました。そのリリース
アナウンスによると修正された問題は以下のものです。

1. PHPLIB 処理に問題があり、攻撃者が配列変数 $_PHPLIB[libdir] の値を与え
   ることができ、それにより他のサーバからスクリプトを取得して実行させる
   ことができます。この脆弱性はリモートから攻撃可能です (Horde 1.2.x は
   専用の特化された PHPLIB と共に配布されており、これは現在はこの問題に
   対処したパッチが当たっています)。

2. "javascript:" に細工したエンコーディングを用いることにより、攻撃者が
   悪意のある Javascript コードを攻撃者が送った電子メールをよむブラウザ
   中で実行させることができます (IMP 2.2.x は既にそのようなパターンの多
   くをフィルタしており、今回これまでは見過ごされてきた幾つかの新しいも
   のの阻止が追加されています)。

3. Apache/PHP サーバのどこかに誰からでも読める "prefs.lang" という名前の
   ファイルを作成することができる敵意のあるユーザが、そのファイルを PHP
   コードとして実行させることができます。IMP の設定ファイル群や、連絡先
   や設定などを格納したデータベースを呼んだり更新するのに用いられる
   Horde データベースのパスワードがこれから読むことができます。
   これがリモートから Apache/PHP/IMP 経由で攻撃可能だとは考えていません
   が、サーバへのシェルアクセスや他の方法 (例えば ftp) などでこのような
   ファイルを作成できます。

これはバージョン  2:2.2.6-0.potato.1 で修正されています。horde パッケー
ジを同じバージョンにアップグレードしなければならないことに気を付けてく
ださい。

wget url
	でファイルを取得できます。
dpkg -i file.deb
        で参照されたファイルをインストールできます。

Debian GNU/Linux 2.2 alias potato
- ---------------------------------

  Potato は alpha, arm, i386, m68k, powerpc と sparc の各アーキテクチ
 ャ向けにリリースされています。

  Source archives:
    http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.diff.gz
      MD5 checksum: 66f6581b1e5f4417660f490caa24a16f
    http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.dsc
      MD5 checksum: 5ae80d5f9a83fdee7887a251fff1ad24
    http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6.orig.tar.gz
      MD5 checksum: 9a63f630e56d3f6a9382dddfc8d74392
    http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.diff.gz
      MD5 checksum: dfd678eac1cb0942122a9e3c3ae132de
    http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.dsc
      MD5 checksum: bee66abb8039518f060cc2b6de06daa6
    http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6.orig.tar.gz
      MD5 checksum: 8f7920c8173e1ef2724cb25a311f9ca8

  Architecture independent archives:
    http://security.debian.org/dists/stable/updates/main/binary-all/horde_1.2.6-0.potato.1_all.deb
      MD5 checksum: 397e13b5242dda2fe381cd1b8dd43140
    http://security.debian.org/dists/stable/updates/main/binary-all/imp_2.2.6-0.potato.1_all.deb
      MD5 checksum: 22ceec9831933491ce0af72f6f437a9c

これらのファイルは次の版の安定版リリース時そちらに移されます。

未リリースのアーキテクチャについては、以下の適切なディレクトリを参照ください
 ftp://ftp.debian.org/debian/dists/sid/binary-$arch/

- --
- ----------------------------------------------------------------------------
apt-get: deb http://security.debian.org/ stable/updates main
dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------