[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:33861] [Translate] [SECURITY] [DSA 137-1] New mm packages fix insecure temporary file creation



かねこです。
URL 等は元記事を確認ください。

------>8------------>8------------>8------------>8------------>8
- --------------------------------------------------------------------------
Debian Security Advisory DSA 137-1                     security@debian.org
http://www.debian.org/security/                             Martin Schulze
July 30th, 2002   
- --------------------------------------------------------------------------

Package        : mm
Vulnerability  : 安全でない一時ファイルの扱い
Problem-Type   : local
Debian-specific: no
CVE Id         : CAN-2002-0658

Marcus Meissner さんと Sebastian Krahmer さんにより、mm 共有ライブラリ
に一時ファイルの扱いに関する脆弱性が発見され、修正されました。この問題
により、Apache (このライブラリをリンクしている) を実行しているマシンの 
root 権限を、www-data ユーザに shell へのアクセスが許されている場合に
得ることができます (これは PHP 経由で容易に攻撃可能です)。

この問題は、上流のバージョン 1.2.0 の mm で修正されており、不安定版
(unstable) の Debian ディストリビューションにこの勧告と前後してアップ
ロードの予定です。potato (Debian 2.2) と woody (Debian 3.0) 用の修正済
みパッケージは以下記載の通りです。

libmm パッケージを直ぐにアップグレードすることを勧めます。

wget url
	でファイルを取得できます。
dpkg -i file.deb
        で参照されたファイルをインストールできます。

apt-get パッケージマネージャを使っているなら、以下記載の sources.list
を用いて、次のコマンドを使ってください。

apt-get update
        これは内部データベースを更新します。
apt-get upgrade
        これで修正されたパッケージをインストールします。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。

Debian GNU/Linux 2.2 愛称 potato
- ------------------------------------

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/m/mm/mm_1.0.11-1.2.dsc
      Size/MD5 checksum:      553 6bf8816fa3395bc685451501f203b60b
    http://security.debian.org/pool/updates/main/m/mm/mm_1.0.11.orig.tar.gz
      Size/MD5 checksum:   142893 e8f12c85582bd9994369ea4098c3424c
    http://security.debian.org/pool/updates/main/m/mm/mm_1.0.11-1.2.diff.gz
      Size/MD5 checksum:     5184 81bd3aaa499f029254fa64a7fc9a1660

  Alpha architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_alpha.deb
      Size/MD5 checksum:    13788 e45aec9dc3688a0a8500c88d04c49f33
    http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_alpha.deb
      Size/MD5 checksum:    32060 3a20277fd97bdf52afc511c5cf7a922a

  ARM architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_arm.deb
      Size/MD5 checksum:    11876 36bf40e33e1e58ab59bdbc7e6b27327a
    http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_arm.deb
      Size/MD5 checksum:    29194 eeba5fb89081bfc67cc1eb4c8ae7beaf

  Intel ia32 architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_i386.deb
      Size/MD5 checksum:    12100 52a6b793c890790319b5d328ee1b7a0d
    http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_i386.deb
      Size/MD5 checksum:    28924 888a040a28f6c942424b609bb92ddc88

  Motorola 680x0 architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_m68k.deb
      Size/MD5 checksum:    11560 f86c03c040087127c74f8ddb0ebb23b4
    http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_m68k.deb
      Size/MD5 checksum:    28752 aba689b014f669d0cadeefaa7720b9d7

  PowerPC architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_powerpc.deb
      Size/MD5 checksum:    12286 159aa5cb4938fa844ad6b93990d125b3
    http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_powerpc.deb
      Size/MD5 checksum:    30340 785b5ed0a9cb5b00f4e3182b7a457b44

  Sun Sparc architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_sparc.deb
      Size/MD5 checksum:    12170 f4f4911490dcec804e2215d8c6dcb373
    http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_sparc.deb
      Size/MD5 checksum:    29664 fa63ddb6ab216e7d7d7caa09531a6967


Debian GNU/Linux 3.0 愛称 woody
- ------------------------------------

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/m/mm/mm_1.1.3-6.1.dsc
      Size/MD5 checksum:      565 90c7910a97454ac9aa1abc0bc79cf316
    http://security.debian.org/pool/updates/main/m/mm/mm_1.1.3.orig.tar.gz
      Size/MD5 checksum:   137951 ba14a90239e26337eef079b698f35eae
    http://security.debian.org/pool/updates/main/m/mm/mm_1.1.3-6.1.diff.gz
      Size/MD5 checksum:     4300 44c3bd2710d53798f19228ffb4a32b78

  Alpha architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_alpha.deb
      Size/MD5 checksum:    15884 e95d9355d8c1ce4e67b057e9f7b644ed
    http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_alpha.deb
      Size/MD5 checksum:    35894 613548b6398dff2a72d8831dfa0bd405

  ARM architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_arm.deb
      Size/MD5 checksum:    14082 bc8d016410dc8ae21bd273239432e58e
    http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_arm.deb
      Size/MD5 checksum:    33312 e148f2ef714cc6cd7b4021ec75fb19e0

  Intel ia32 architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_i386.deb
      Size/MD5 checksum:    14090 f118e324b0b4baf755e4b6c0532138f0
    http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_i386.deb
      Size/MD5 checksum:    32750 d089be8693d8c2dcaae3fb953d9eec54

  Intel ia64 architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_ia64.deb
      Size/MD5 checksum:    18668 a2a7024d9f7fae7823bf6f4eb7d9f04d
    http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_ia64.deb
      Size/MD5 checksum:    37466 1b6a21155340aa8ba1a407ac3ca6f92e

  HP Precision architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_hppa.deb
      Size/MD5 checksum:    15124 a727a96c2deaecc8744a38c2790dd3c6
    http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_hppa.deb
      Size/MD5 checksum:    34442 b3c909102201481260e990c879b0cbd4

  Motorola 680x0 architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_m68k.deb
      Size/MD5 checksum:    13724 838d7d18852fdbb29d13b564810d123b
    http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_m68k.deb
      Size/MD5 checksum:    32642 1008ea0662fd538477e330af50eb24b0

  Big endian MIPS architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_mips.deb
      Size/MD5 checksum:    14526 4e6623322ddf327a785fd6ffe6b8ac53
    http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_mips.deb
      Size/MD5 checksum:    35110 ab27174539b582b6076bfd2e9c39f1c9

  Little endian MIPS architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_mipsel.deb
      Size/MD5 checksum:    14530 2964c06a127258d7e3fb877e52106566
    http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_mipsel.deb
      Size/MD5 checksum:    35138 6a6727101d30da5446b71cf8a17df09a

  PowerPC architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_powerpc.deb
      Size/MD5 checksum:    14430 0926f90a07eb1fbd17a6f668b5a7fa5d
    http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_powerpc.deb
      Size/MD5 checksum:    34468 0ae6359e654bad4eab542318112185de

  IBM S/390 architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_s390.deb
      Size/MD5 checksum:    14688 e9e1d8caaf6a92862ea416f05150c56b
    http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_s390.deb
      Size/MD5 checksum:    33184 9f493d157472503aed37bc8f40a3dcfa

  Sun Sparc architecture:

    http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_sparc.deb
      Size/MD5 checksum:    14310 57a9315214fb39d0aacbf31a23393161
    http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_sparc.deb
      Size/MD5 checksum:    33756 e0efa30728f179a3c201c29676786ef4


  These files will probably be moved into the stable distribution on
  its next revision.

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>

------>8------------>8------------>8------------>8------------>8
--
Seiji Kaneko                           skaneko@xxxxxxxxxxxx
-----------------------------------------------------------