[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:34285] [Translate] [SECURITY] [DSA 158-1] New gaim packages fix arbitrary program execution
かねこです。
URL 等は元記事を確認ください。
------>8------------>8------------>8------------>8------------>8
- --------------------------------------------------------------------------
Debian Security Advisory DSA 158-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
August 27th, 2002 http://www.debian.org/security/faq
- --------------------------------------------------------------------------
Package : gaim
Vulnerability : 任意のプログラムの実行
Problem-Type : remote
Debian-specific: no
Gaim (幾つかのネットワークをつなげて使用できるインスタントメッセンジャ)
の開発者たちにより、ハイパーリンクを処理するコードに脆弱性が発見されまし
た。'Manual' ブラウザコマンドは信用できない文字列を、エスケープや信頼で
きる引用符 (で囲む) 処理なしにシェルに渡してしまっており、その結果攻撃者
がユーザのマシンで任意のコマンドを実行できてしまいます。更に拙いことに、
Gaim はユーザがクリックするまでハイパーリンクであることを表示しません。
また、これ以外の組み込みブラウザコマンドを使用しているユーザは、この脆弱
性はありません。
この問題は現安定版 (stable) woody のバージョン 0.58-2.2 で、不安定版
(unstable) sif ではバージョン 0.59.1-2 で、各々修正されています。旧安定
版 (stable) potato には Gaim プログラムは収録されておらず、この問題の影
響を受けません。
修正された版の Gaim では、ユーザのマニュアルブラウザコマンドをシェルに渡
さないようになりました。引用符中に '%s' を含むコマンドは、引用符を含まな
いようにする修正が必要です。'Manual' ブラウザコマンドは、'General' ペイ
ンの 'Preference' ダイアログから編集が可能で、このペインはログインウィン
ドウで 'Options' をクリックすることで、または 'Tools' から 'Preference'
と buddy list ウィンドウのメニューバーから辿ることで、呼び出し可能です。
gaim パッケージをすぐにアップグレードすることを勧めます。
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
apt-get パッケージマネージャを使っているなら、以下記載の sources.list
を用いて、次のコマンドを使ってください。
apt-get update
これは内部データベースを更新します。
apt-get upgrade
これで修正されたパッケージをインストールします。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 3.0 愛称 woody
- ------------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.dsc
Size/MD5 checksum: 681 388e7ad7ea82f72e80f5e7b950b74d9f
http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.diff.gz
Size/MD5 checksum: 21077 f40a10f65ec69c219209f3833a601451
http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58.orig.tar.gz
Size/MD5 checksum: 1928057 644df289daeca5f9dd3983d65c8b2407
Alpha architecture:
http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_alpha.deb
Size/MD5 checksum: 479720 4d8e4ea7f37653cc63bd9c6f3f5b2698
http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_alpha.deb
Size/MD5 checksum: 674568 60234f1a1896d77e924e9ebb99eee12b
http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_alpha.deb
Size/MD5 checksum: 501208 932052409cdc11ea89330709a41f32e4
ARM architecture:
http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_arm.deb
Size/MD5 checksum: 401834 6a25ab2f49f104a8cb60dfb266687b4e
http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_arm.deb
Size/MD5 checksum: 614864 251f521cfe92b00282f3d633e2ecdc06
http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_arm.deb
Size/MD5 checksum: 422330 420edd09bad2f4587b843f18e7c56a0c
Intel IA-32 architecture:
http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_i386.deb
Size/MD5 checksum: 389256 bb1688d11f1e444e7116e3ce48d4b299
http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_i386.deb
Size/MD5 checksum: 606056 ff6443a2cc3be13f8d97f8c56f93bf05
http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_i386.deb
Size/MD5 checksum: 409108 028dc6cfa04b921f94500853d65f1069
Intel IA-64 architecture:
http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_ia64.deb
Size/MD5 checksum: 557146 d99d9f408b423e4ecb572d6c529ec271
http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_ia64.deb
Size/MD5 checksum: 765084 20cf4447c02e5691f90f7c19088dc556
http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_ia64.deb
Size/MD5 checksum: 569896 829bba8b920ff5355cbc72dc918bc6a4
HP Precision architecture:
http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_hppa.deb
Size/MD5 checksum: 459416 42f17cb42279fd9148a44be663244298
http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_hppa.deb
Size/MD5 checksum: 690992 b6e1d262705760055eb6fd3c2a8b393e
http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_hppa.deb
Size/MD5 checksum: 481388 5c142618e62f2d67d2bc827722668ff5
Motorola 680x0 architecture:
http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_m68k.deb
Size/MD5 checksum: 370536 5d39e480ed1d679defe431f572057f84
http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_m68k.deb
Size/MD5 checksum: 622442 50592bfee0dae035546809ffbf1cb4c6
http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_m68k.deb
Size/MD5 checksum: 392112 03fd2c0fbb9609f8d3a32f72f9e0cb4c
Big endian MIPS architecture:
http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_mips.deb
Size/MD5 checksum: 406360 7b6285a0ff3524dd0880b1a527ed34f7
http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mips.deb
Size/MD5 checksum: 614736 a5f56778d9f5dc6a8a994cd00dec3e11
http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_mips.deb
Size/MD5 checksum: 427188 8eae2b955d9f1d52eb98040b6a34500c
Little endian MIPS architecture:
http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_mipsel.deb
Size/MD5 checksum: 396998 1c0c22d86c37c1d45be00ae5109398cb
http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mipsel.deb
Size/MD5 checksum: 607172 656a46f56cf74c5a3344867d6035ac32
http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_mipsel.deb
Size/MD5 checksum: 416714 f0cc84cc3ebc22a57676fc772c2d0ac6
PowerPC architecture:
http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_powerpc.deb
Size/MD5 checksum: 413474 b550a080853403e43b22b87e93cf5d49
http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_powerpc.deb
Size/MD5 checksum: 642704 6cc33cd7c71f9d9aa876fdc8ec9d398a
http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_powerpc.deb
Size/MD5 checksum: 434308 cb41515071ff367d0ef4fc0f5584922e
IBM S/390 architecture:
http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_s390.deb
Size/MD5 checksum: 392194 06512a9f37536e2e35c1f86005fd5756
http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_s390.deb
Size/MD5 checksum: 639284 4da689aa738e0a4d9e2cd8f706ba43d2
http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_s390.deb
Size/MD5 checksum: 413366 86da87c92f1683a5fc28f48a81a8fdea
Sun Sparc architecture:
http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_sparc.deb
Size/MD5 checksum: 409692 235cd54de30bc2350327f9f23402c2b3
http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_sparc.deb
Size/MD5 checksum: 653688 7db26ec6875eb42c7a655fb9622f0128
http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_sparc.deb
Size/MD5 checksum: 428526 3e4ecedebe2eeaa38c4857f5a37816dc
これらのファイルは次の版の安定版リリース時そちらに移されます。
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------