[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:34048] [Translate] [SECURITY] [DSA 146-2] New dietlibc packages fix integer overflows



中野です。
URL 等は元記事を確認ください。

------>8------------>8------------>8------------>8------------>8
- --------------------------------------------------------------------------
Debian Security Advisory DSA 146-2                     security@debian.org
http://www.debian.org/security/                             Martin Schulze
August 8th, 2002   
- --------------------------------------------------------------------------

Package        : dietlibc
Vulnerability  : 整数オーバーフロー
Problem-Type   : remote
Debian-specific: no
CVE Id         : CAN-2002-0391
CERT advisory  : VU#192995

dinetlibc の上流の作者である Felix von Leitner は、fwrite と calloc
の整数オーバーフローをチェックするコードで 0 割り (division by zero)
が生じる可能性があることを発見し、以下のバージョンで修正を行いました。

この新しいバージョンには DSA 146-1 以降の修正も含まれています。
完全を期すために、先のセキュリティ勧告のテキストを引用しておきます。

    整数オーバーフローのバグが、dietlibc の用いている、SunRPC ライブラ
    リ由来の RPC ライブラリに発見されました。dietlibc はサイズを小さく
    するように最適化された libc です。このバグを悪用すると、このコード
    をリンクしたソフトウェアに対して、認証を経由せずに root としてのア
    クセスが可能になってしまいます。以下に示すパッケージでは、calloc,
    fread, fwrite のコードにあった整数オーバーフローも修正してあります。
    また脆弱性の原因になるような、悪意を持った DNS パケットに対しても、
    より厳密に扱うようにしてあります。

この問題は現安定版 (stable) woody の 0.12-2.4 で、また不安定版
(unstable) sid の 0.20-0cvs20020808 で、各々修正されています。
Debian 2.2 (potato) には dietlibc パッケージが含まれていないため、
この問題の影響を受けることはありません。

すぐに dietlibc パッケージをアップグレードすることを勧めます。

wget url
        でファイルを取得できます。
dpkg -i file.deb
        で参照されたファイルをインストールできます。

apt-get パッケージマネージャを使っているなら、以下記載の行を
sources.list に用いて、次のコマンドを使ってください。

apt-get update
        これは内部データベースを更新します。
apt-get upgrade
        これで修正されたパッケージをインストールします。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、
自動更新を行うこともできます。


Debian GNU/Linux 3.0 愛称 woody
- --------------------------------

dietlibc パッケージが提供されているのは次のアーキテクチャ
のみです: alpha arm i386 mips mipsel powerpc sparc

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12-2.4.dsc
      Size/MD5 checksum:      581 5b35d65f52bad60c25ed4fc38171a13a
    http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12-2.4.diff.gz
      Size/MD5 checksum:     7943 dc4943d8ad22321ce57a2c8109e16eee
    http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12.orig.tar.gz
      Size/MD5 checksum:   415823 1b9019cc4e717470603d2716a602ec51

  Architecture independent components:

    http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-doc_0.12-2.4_all.deb
      Size/MD5 checksum:    18956 8677ee59b39720edb9860bed12926ac7

  Alpha architecture:

    http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_alpha.deb
      Size/MD5 checksum:   264232 be91b0b9c13396a26c29b44d8aee4cc7

  ARM architecture:

    http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_arm.deb
      Size/MD5 checksum:   239160 3e1b0b54441a9d05d4b4f18f7bed5daf

  Intel IA-32 architecture:

    http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_i386.deb
      Size/MD5 checksum:   230704 705f8d03822326256e8e11e4b49b4398

  Big endian MIPS architecture:

    http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_mips.deb
      Size/MD5 checksum:   252890 d962f7770928ba2acef49da1bd085850

  Little endian MIPS architecture:

    http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_mipsel.deb
      Size/MD5 checksum:   251724 d85e74c9bbf7355d68d776fdc3cecf9e

  PowerPC architecture:

    http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_powerpc.deb
      Size/MD5 checksum:   246014 969782849549a59b0cc746bdb1482b5f

  Sun Sparc architecture:

    http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_sparc.deb
      Size/MD5 checksum:   239082 5d2e235422c3fa8a8b8621997ae685e3


  これらのファイルは次の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>

------>8------------>8------------>8------------>8------------>8