[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:34048] [Translate] [SECURITY] [DSA 146-2] New dietlibc packages fix integer overflows
中野です。
URL 等は元記事を確認ください。
------>8------------>8------------>8------------>8------------>8
- --------------------------------------------------------------------------
Debian Security Advisory DSA 146-2 security@debian.org
http://www.debian.org/security/ Martin Schulze
August 8th, 2002
- --------------------------------------------------------------------------
Package : dietlibc
Vulnerability : 整数オーバーフロー
Problem-Type : remote
Debian-specific: no
CVE Id : CAN-2002-0391
CERT advisory : VU#192995
dinetlibc の上流の作者である Felix von Leitner は、fwrite と calloc
の整数オーバーフローをチェックするコードで 0 割り (division by zero)
が生じる可能性があることを発見し、以下のバージョンで修正を行いました。
この新しいバージョンには DSA 146-1 以降の修正も含まれています。
完全を期すために、先のセキュリティ勧告のテキストを引用しておきます。
整数オーバーフローのバグが、dietlibc の用いている、SunRPC ライブラ
リ由来の RPC ライブラリに発見されました。dietlibc はサイズを小さく
するように最適化された libc です。このバグを悪用すると、このコード
をリンクしたソフトウェアに対して、認証を経由せずに root としてのア
クセスが可能になってしまいます。以下に示すパッケージでは、calloc,
fread, fwrite のコードにあった整数オーバーフローも修正してあります。
また脆弱性の原因になるような、悪意を持った DNS パケットに対しても、
より厳密に扱うようにしてあります。
この問題は現安定版 (stable) woody の 0.12-2.4 で、また不安定版
(unstable) sid の 0.20-0cvs20020808 で、各々修正されています。
Debian 2.2 (potato) には dietlibc パッケージが含まれていないため、
この問題の影響を受けることはありません。
すぐに dietlibc パッケージをアップグレードすることを勧めます。
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
apt-get パッケージマネージャを使っているなら、以下記載の行を
sources.list に用いて、次のコマンドを使ってください。
apt-get update
これは内部データベースを更新します。
apt-get upgrade
これで修正されたパッケージをインストールします。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、
自動更新を行うこともできます。
Debian GNU/Linux 3.0 愛称 woody
- --------------------------------
dietlibc パッケージが提供されているのは次のアーキテクチャ
のみです: alpha arm i386 mips mipsel powerpc sparc
ソースアーカイブ:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12-2.4.dsc
Size/MD5 checksum: 581 5b35d65f52bad60c25ed4fc38171a13a
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12-2.4.diff.gz
Size/MD5 checksum: 7943 dc4943d8ad22321ce57a2c8109e16eee
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12.orig.tar.gz
Size/MD5 checksum: 415823 1b9019cc4e717470603d2716a602ec51
Architecture independent components:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-doc_0.12-2.4_all.deb
Size/MD5 checksum: 18956 8677ee59b39720edb9860bed12926ac7
Alpha architecture:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_alpha.deb
Size/MD5 checksum: 264232 be91b0b9c13396a26c29b44d8aee4cc7
ARM architecture:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_arm.deb
Size/MD5 checksum: 239160 3e1b0b54441a9d05d4b4f18f7bed5daf
Intel IA-32 architecture:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_i386.deb
Size/MD5 checksum: 230704 705f8d03822326256e8e11e4b49b4398
Big endian MIPS architecture:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_mips.deb
Size/MD5 checksum: 252890 d962f7770928ba2acef49da1bd085850
Little endian MIPS architecture:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_mipsel.deb
Size/MD5 checksum: 251724 d85e74c9bbf7355d68d776fdc3cecf9e
PowerPC architecture:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_powerpc.deb
Size/MD5 checksum: 246014 969782849549a59b0cc746bdb1482b5f
Sun Sparc architecture:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_sparc.deb
Size/MD5 checksum: 239082 5d2e235422c3fa8a8b8621997ae685e3
これらのファイルは次の版の安定版リリース時そちらに移されます。
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8