[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:36266] [Translate] [SECURITY] [DSA 248-1] New hypermail packages fix arbitrary code execution



かねこです。
URL 等は元記事を確認ください。

------>8------------>8------------>8------------>8------------>8
- --------------------------------------------------------------------------
Debian Security Advisory DSA 248-1                     security@debian.org
http://www.debian.org/security/                             Martin Schulze
January 31st, 2003                      http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package        : hypermail
Vulnerability  : バッファオーバフロー
Problem-Type   : リモート
Debian-specific: いいえ
CVE Id         : CAN-2003-0057

Ulf Härnhammar さんにより、メーリングリストから HTML アーカイブを作
成するプログラム hypermail に二つの問題が発見されました。

攻撃者から長いファイル名の添付ファイルを作成することで、特定の対話型のオ
プションを指定している場合に二つのバッファをオーバフローさせることができ、
その結果任意のコードを挿入される可能性があります。このコードは hypermail
を実行しているユーザ ID (通常ローカルユーザ) で実行されます。hypermail
を自動またはサイレントモードで実行している場合には脆弱性はないようです。

また、CGI プログラムの mail は Debian パッケージではインストールされませ
んが、ユーザの IP 番号を逆引きして、得られたホスト名を固定長のバッファに
格納するようになっています。特別製の DNS 応答を返すことでこのバッファを
オーバフローさせられるため、攻撃可能です。

現安定版 (stable) woody では、これはバージョン 2.1.3-2.0 で修正さ
れています。

前安定版 (stable) potato では、これはバージョン 2.0b25-1.1 で修正さ
れています。

不安定版 (unstable) sid では、これはバージョン 2.1.6-1 で修正され
ています。

直ぐに hypermail パッケージをアップグレードすることを勧めます。

アップデート手順
----------------

wget url
	でファイルを取得できます。
dpkg -i file.deb
        で参照されたファイルをインストールできます。

apt-get パッケージマネージャを使っているなら、以下記載の sources.list
を用いて、次のコマンドを使ってください。

apt-get update
        これは内部データベースを更新します。
apt-get upgrade
        これで修正されたパッケージをインストールします。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。

Debian GNU/Linux 2.2 愛称 potato
- --------------------------------

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.0b25-1.1.dsc
      Size/MD5 checksum:      577 96bc728b8bdc3f3b31b2f6e7fb96e1c8
    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.0b25-1.1.diff.gz
      Size/MD5 checksum:     9685 0450f68f3ab45eadc7fab7e97076c845
    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.0b25.orig.tar.gz
      Size/MD5 checksum:   297049 7a5875311ae71fc6fa5dee18e9d826ee

  Alpha architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.0b25-1.1_alpha.deb
      Size/MD5 checksum:   416502 97032e2a8ad790a2b760a49ac39871f2

  ARM architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.0b25-1.1_arm.deb
      Size/MD5 checksum:   150356 d3bf5bcce7068ccec8c5e246f6cc9491

  Intel IA-32 architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.0b25-1.1_i386.deb
      Size/MD5 checksum:   145048 987bb3659b98eb4dc7e020afd58c24ac

  Motorola 680x0 architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.0b25-1.1_m68k.deb
      Size/MD5 checksum:   141910 cbe0d66a017f5ab47b6318c7a40a02b6

  PowerPC architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.0b25-1.1_powerpc.deb
      Size/MD5 checksum:   156548 5cda5263360e4f39d8b82e47843039e3

  Sun Sparc architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.0b25-1.1_sparc.deb
      Size/MD5 checksum:   175610 3dec97942bb30b61eff8c748577bc473


Debian GNU/Linux 3.0 愛称 woody
- ------------------------------------

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.1.3-2.0.dsc
      Size/MD5 checksum:      606 e335b50b6f796c6e4808084840560bee
    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.1.3-2.0.diff.gz
      Size/MD5 checksum:    13146 106aba184df6afb95733bfe24da073fc
    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.1.3.orig.tar.gz
      Size/MD5 checksum:   723942 f1bea3df4b34e58e2f6318f2ed3f9770

  Alpha architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.1.3-2.0_alpha.deb
      Size/MD5 checksum:   212258 8bad85e95bfa8f47e967a29a7b0a9f85

  ARM architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.1.3-2.0_arm.deb
      Size/MD5 checksum:   187986 0583077e67b953f71de182ff42547bbe

  Intel IA-32 architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.1.3-2.0_i386.deb
      Size/MD5 checksum:   179114 aeb01e13233b078e4ad7266d5b5d5860

  Intel IA-64 architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.1.3-2.0_ia64.deb
      Size/MD5 checksum:   243654 a11258231578df4f2cbd906792990fca

  HP Precision architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.1.3-2.0_hppa.deb
      Size/MD5 checksum:   203300 b7a96e5819c87be6c970c815c141b5ee

  Motorola 680x0 architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.1.3-2.0_m68k.deb
      Size/MD5 checksum:   171634 ac39ecc46835d711321b42041d5e967d

  Big endian MIPS architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.1.3-2.0_mips.deb
      Size/MD5 checksum:   200810 2f389f8858d479e523a41e45308c201c

  Little endian MIPS architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.1.3-2.0_mipsel.deb
      Size/MD5 checksum:   199906 6d4db8dd21081d4b27c6ce1331476cb0

  PowerPC architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.1.3-2.0_powerpc.deb
      Size/MD5 checksum:   193648 cb233bbc6cb8064f59c1dc6ef56539dd

  IBM S/390 architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.1.3-2.0_s390.deb
      Size/MD5 checksum:   188614 68b89720900812d551c760b61af04daf

  Sun Sparc architecture:

    http://security.debian.org/pool/updates/main/h/hypermail/hypermail_2.1.3-2.0_sparc.deb
      Size/MD5 checksum:   194596 103964dcf3a82f8d1df4d5afe9edecc9


  これらのファイルは次の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>

------>8------------>8------------>8------------>8------------>8
-- 
Seiji Kaneko                              skaneko@xxxxxxxxxxxx
--------------------------- http://plaza25.mbn.or.jp/~efialtes
足跡 = 55A4 898A C765 F20A 1693  7882 579A 3339 D6ED 97E8