[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:34285] [Translate] [SECURITY] [DSA 158-1] New gaim packages fix arbitrary program execution



かねこです。
URL 等は元記事を確認ください。

------>8------------>8------------>8------------>8------------>8
- --------------------------------------------------------------------------
Debian Security Advisory DSA 158-1                     security@debian.org
http://www.debian.org/security/                             Martin Schulze
August 27th, 2002                       http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package        : gaim
Vulnerability  : 任意のプログラムの実行
Problem-Type   : remote
Debian-specific: no

Gaim (幾つかのネットワークをつなげて使用できるインスタントメッセンジャ)
の開発者たちにより、ハイパーリンクを処理するコードに脆弱性が発見されまし
た。'Manual' ブラウザコマンドは信用できない文字列を、エスケープや信頼で
きる引用符 (で囲む) 処理なしにシェルに渡してしまっており、その結果攻撃者
がユーザのマシンで任意のコマンドを実行できてしまいます。更に拙いことに、
Gaim はユーザがクリックするまでハイパーリンクであることを表示しません。
また、これ以外の組み込みブラウザコマンドを使用しているユーザは、この脆弱
性はありません。

この問題は現安定版 (stable) woody のバージョン 0.58-2.2 で、不安定版
(unstable) sif ではバージョン 0.59.1-2 で、各々修正されています。旧安定
版 (stable) potato には Gaim プログラムは収録されておらず、この問題の影
響を受けません。

修正された版の Gaim では、ユーザのマニュアルブラウザコマンドをシェルに渡
さないようになりました。引用符中に '%s' を含むコマンドは、引用符を含まな
いようにする修正が必要です。'Manual' ブラウザコマンドは、'General' ペイ
ンの 'Preference' ダイアログから編集が可能で、このペインはログインウィン
ドウで 'Options' をクリックすることで、または 'Tools' から 'Preference'
と buddy list ウィンドウのメニューバーから辿ることで、呼び出し可能です。

gaim パッケージをすぐにアップグレードすることを勧めます。

wget url
	でファイルを取得できます。
dpkg -i file.deb
        で参照されたファイルをインストールできます。

apt-get パッケージマネージャを使っているなら、以下記載の sources.list
を用いて、次のコマンドを使ってください。

apt-get update
        これは内部データベースを更新します。
apt-get upgrade
        これで修正されたパッケージをインストールします。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。

Debian GNU/Linux 3.0 愛称 woody
- ------------------------------------

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.dsc
      Size/MD5 checksum:      681 388e7ad7ea82f72e80f5e7b950b74d9f
    http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.diff.gz
      Size/MD5 checksum:    21077 f40a10f65ec69c219209f3833a601451
    http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58.orig.tar.gz
      Size/MD5 checksum:  1928057 644df289daeca5f9dd3983d65c8b2407

  Alpha architecture:

    http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_alpha.deb
      Size/MD5 checksum:   479720 4d8e4ea7f37653cc63bd9c6f3f5b2698
    http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_alpha.deb
      Size/MD5 checksum:   674568 60234f1a1896d77e924e9ebb99eee12b
    http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_alpha.deb
      Size/MD5 checksum:   501208 932052409cdc11ea89330709a41f32e4

  ARM architecture:

    http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_arm.deb
      Size/MD5 checksum:   401834 6a25ab2f49f104a8cb60dfb266687b4e
    http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_arm.deb
      Size/MD5 checksum:   614864 251f521cfe92b00282f3d633e2ecdc06
    http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_arm.deb
      Size/MD5 checksum:   422330 420edd09bad2f4587b843f18e7c56a0c

  Intel IA-32 architecture:

    http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_i386.deb
      Size/MD5 checksum:   389256 bb1688d11f1e444e7116e3ce48d4b299
    http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_i386.deb
      Size/MD5 checksum:   606056 ff6443a2cc3be13f8d97f8c56f93bf05
    http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_i386.deb
      Size/MD5 checksum:   409108 028dc6cfa04b921f94500853d65f1069

  Intel IA-64 architecture:

    http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_ia64.deb
      Size/MD5 checksum:   557146 d99d9f408b423e4ecb572d6c529ec271
    http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_ia64.deb
      Size/MD5 checksum:   765084 20cf4447c02e5691f90f7c19088dc556
    http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_ia64.deb
      Size/MD5 checksum:   569896 829bba8b920ff5355cbc72dc918bc6a4

  HP Precision architecture:

    http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_hppa.deb
      Size/MD5 checksum:   459416 42f17cb42279fd9148a44be663244298
    http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_hppa.deb
      Size/MD5 checksum:   690992 b6e1d262705760055eb6fd3c2a8b393e
    http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_hppa.deb
      Size/MD5 checksum:   481388 5c142618e62f2d67d2bc827722668ff5

  Motorola 680x0 architecture:

    http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_m68k.deb
      Size/MD5 checksum:   370536 5d39e480ed1d679defe431f572057f84
    http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_m68k.deb
      Size/MD5 checksum:   622442 50592bfee0dae035546809ffbf1cb4c6
    http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_m68k.deb
      Size/MD5 checksum:   392112 03fd2c0fbb9609f8d3a32f72f9e0cb4c

  Big endian MIPS architecture:

    http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_mips.deb
      Size/MD5 checksum:   406360 7b6285a0ff3524dd0880b1a527ed34f7
    http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mips.deb
      Size/MD5 checksum:   614736 a5f56778d9f5dc6a8a994cd00dec3e11
    http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_mips.deb
      Size/MD5 checksum:   427188 8eae2b955d9f1d52eb98040b6a34500c

  Little endian MIPS architecture:

    http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_mipsel.deb
      Size/MD5 checksum:   396998 1c0c22d86c37c1d45be00ae5109398cb
    http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mipsel.deb
      Size/MD5 checksum:   607172 656a46f56cf74c5a3344867d6035ac32
    http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_mipsel.deb
      Size/MD5 checksum:   416714 f0cc84cc3ebc22a57676fc772c2d0ac6

  PowerPC architecture:

    http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_powerpc.deb
      Size/MD5 checksum:   413474 b550a080853403e43b22b87e93cf5d49
    http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_powerpc.deb
      Size/MD5 checksum:   642704 6cc33cd7c71f9d9aa876fdc8ec9d398a
    http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_powerpc.deb
      Size/MD5 checksum:   434308 cb41515071ff367d0ef4fc0f5584922e

  IBM S/390 architecture:

    http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_s390.deb
      Size/MD5 checksum:   392194 06512a9f37536e2e35c1f86005fd5756
    http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_s390.deb
      Size/MD5 checksum:   639284 4da689aa738e0a4d9e2cd8f706ba43d2
    http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_s390.deb
      Size/MD5 checksum:   413366 86da87c92f1683a5fc28f48a81a8fdea

  Sun Sparc architecture:

    http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_sparc.deb
      Size/MD5 checksum:   409692 235cd54de30bc2350327f9f23402c2b3
    http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_sparc.deb
      Size/MD5 checksum:   653688 7db26ec6875eb42c7a655fb9622f0128
    http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_sparc.deb
      Size/MD5 checksum:   428526 3e4ecedebe2eeaa38c4857f5a37816dc


  これらのファイルは次の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>

------>8------------>8------------>8------------>8------------>8
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------