[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:31734] [Translate] [SECURITY] [DSA 079-2] New UUCP packages finally fix uucp uid/gid access



かねこです。
URL 等は元記事を確認ください。

------>8------------>8------------>8------------>8------------>8
- --------------------------------------------------------------------------
Debian Security Advisory DSA 079-2                     security@debian.org
http://www.debian.org/security/                             Martin Schulze
February 8th, 2002
- --------------------------------------------------------------------------

Package        : uucp
Vulnerability  : uucp uid/gid アクセス
Problem-Type   : ローカル及びリモートからの攻撃
Debian-specific: no

Zenith Parsec さんが Taylor UUCP 1.06.1 にセキュリティホールを発見しま
した。これにより、ローカルユーザがすべてのファイルを uid uucp によって
書き込み可能などこにでもコピーすることができます。この結果、ローカルユ
ーザが UUCP サブシステムを完全に支配下に置く、例えばメールを盗むなど、
が可能です。

もしリモートのユーザが UUCP アクセスによってローカルシステムにファイル
を作成でき、かつローカルシステムのディレクトリ構造に対してある種の推定
を行うことが出きる条件下では、リモートユーザが UUCP を支配下に置くこと
が可能です。UUCP の標準設定では、UUCP 共用ディレクトリが誰からも書き込
み可能なパーミッションで作成されているばあい、リモートユーザからローカ
ルシステムにファイルを作成することを許しています。

明らかに、このセキュリティホールは UUCP を信用できない複数のユーザを持
つシステムで UUCP を使う場合、または信用できないリモートからのシステム
からの接続を許す UUCP 運用を行う場合、深刻なものです。

この問題は、DSA-079-1 で修正されたものと考えられていましたが、実は問題
のすべての場合についての修正がなされていませんでした。この問題は、バー
ジョン 1.06.1-11potato2 の uucp パッケージで、上流の作者の Ian Lance
Taylor さんのパッチによって修正されました。

直ぐに uucp パッケージをアップグレードすることを薦めます。

wget url
	によりファイルを取得できます。
dpkg -i file.deb
        は参照されたファイルをインストールします。

apt-get パッケージマネージャを使っているなら、以下記載の sources.list
を用いて、次のコマンドを使ってください。

apt-get update
        これは内部データベースを更新します。
apt-get upgrade
        これで修正されたパッケージをインストールします。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 2.2 alias potato
- ------------------------------------

  ソースアーカイブ:

    http://security.debian.org/dists/stable/updates/main/source/uucp_1.06.1-11potato2.diff.gz
      MD5 checksum: 2c712e69b3b529f30153daf8b21e2bab
    http://security.debian.org/dists/stable/updates/main/source/uucp_1.06.1-11potato2.dsc
      MD5 checksum: 4f2b87605425e9d291efebb8428e5df4
    http://security.debian.org/dists/stable/updates/main/source/uucp_1.06.1.orig.tar.gz
      MD5 checksum: 390af5277915fcadbeee74d2f3038af9

  Alpha architecture:

    http://security.debian.org/dists/stable/updates/main/binary-alpha/uucp_1.06.1-11potato2_alpha.deb
      MD5 checksum: 802b9176a7d288f396483e02c70fe3e7

  ARM architecture:

    http://security.debian.org/dists/stable/updates/main/binary-arm/uucp_1.06.1-11potato2_arm.deb
      MD5 checksum: e3cc46ac6b268471b7a42c428a47bb64

  Intel ia32 architecture:

    http://security.debian.org/dists/stable/updates/main/binary-i386/uucp_1.06.1-11potato2_i386.deb
      MD5 checksum: 3cb57a9ad76d42dbc5d2559d585b39d1

  Motorola 680x0 architecture:

    http://security.debian.org/dists/stable/updates/main/binary-m68k/uucp_1.06.1-11potato2_m68k.deb
      MD5 checksum: 34ac6394a622f0e492288d9a33b0a67a

  PowerPC architecture:

    http://security.debian.org/dists/stable/updates/main/binary-powerpc/uucp_1.06.1-11potato2_powerpc.deb
      MD5 checksum: 7dd85581fcc2547df432060c2ca9afa9

  Sun Sparc architecture:

    http://security.debian.org/dists/stable/updates/main/binary-sparc/uucp_1.06.1-11potato2_sparc.deb
      MD5 checksum: f6460f4436d521140d15ee2c4d6dee17


  これらのファイルは次の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------