[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:30261] [Translate][SECURITY] [DSA 080-1] New ht://Dig packages fix vulnerability)
かねこです。
URL 等は元記事を確認ください。
------>8------------>8------------>8------------>8------------>8
Hash: SHA1
- ----------------------------------------------------------------------------
Debian Security Advisory DSA 080-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
October 17th, 2001
- ----------------------------------------------------------------------------
Package : htdig
Vulnerability : 権限外のデータの収集
Problem-Type : リモートからの DoS, ローカル情報の取得
Debian-specific: no
Nergal さんにより ht://Dig パッケージ (小さなドメインとイントラネット
のためのインデックスとサーチシステム) の一部として配布されている htsearch
プログラムに弱点が報告されました。以前のバージョンを用いた場合、cgi プログ
ラムに、別の設定ファイルを読ませるための -c オプションを渡すことが出来てし
まいます。
悪意のあるユーザが htsearch から例えば /dev/zero のようなファイルを指すよ
うにして、設定ファイルの読み込みで無限ループに陥らせることが出来ます。ユ
ーザにサーバの書き込み権限がある場合、上記を用いて (書き込んだ) プログラ
ムを指すことにより、webserver のユーザ権限で読み込める任意のファイルを取
得することができます。
この問題は Debian GNU/Linux 2.2 ではバージョン 3.1.5-2.1 で修正されてい
ます。すぐに htdig プログラムをアップグレードすることを薦めます。
apt-get パッケージマネージャを使っているなら、以下記載の sources.list
を用いて、次のコマンドを使ってください。
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 2.2 alias potato
- ------------------------------------
Potato は alpha, arm, i386, m68k, powerpc と sparc の各アーキテクチ
ャ向けにリリースされています。
Source archives:
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.diff.gz
MD5 checksum: 4ad4dc342e31db65127cc58a8063f025
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.dsc
MD5 checksum: e59bfe00133e97ae7f071d3a8510eb35
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5.orig.tar.gz
MD5 checksum: cbf4a0f2b703d9822db555a14dc96ed3
Architecture independent components:
http://security.debian.org/dists/stable/updates/main/binary-all/htdig-doc_3.1.5-2.0potato.1_all.deb
MD5 checksum: 6c5c94f56ce3e02018864439bb24ac18
Alpha architecture:
http://security.debian.org/dists/stable/updates/main/binary-alpha/htdig_3.1.5-2.0potato.1_alpha.deb
MD5 checksum: 412501d347af74566b170f5e485216c4
ARM architecture:
http://security.debian.org/dists/stable/updates/main/binary-arm/htdig_3.1.5-2.0potato.1_arm.deb
MD5 checksum: 35e60b98022364b61be3d3c23b300782
Intel ia32 architecture:
http://security.debian.org/dists/stable/updates/main/binary-i386/htdig_3.1.5-2.0potato.1_i386.deb
MD5 checksum: 77befd19641a294cb0a47b72aa15e91c
Motorola 680x0 architecture:
http://security.debian.org/dists/stable/updates/main/binary-m68k/htdig_3.1.5-2.0potato.1_m68k.deb
MD5 checksum: 5dc1c696e9dcc86af834546201efec79
PowerPC architecture:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/htdig_3.1.5-2.0potato.1_powerpc.deb
MD5 checksum: 30a2cd56b561cf481bf4cdc595cda7ad
Sun Sparc architecture:
http://security.debian.org/dists/stable/updates/main/binary-sparc/htdig_3.1.5-2.0potato.1_sparc.deb
MD5 checksum: ce101a18a7af6e6dde43bf2c0ec330b1
これらのファイルは次の版の安定版リリース時そちらに移されます。
未リリースのアーキテクチャについては、以下の適切なディレクトリを参照ください
ftp://ftp.debian.org/debian/dists/sid/binary-$arch/
- ----------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------