[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:36392] [Translate] [SECURITY] [DSA 254-1] New NANOG traceroute packages fix buffer overflow
かねこです。
URL 等は元記事を確認ください。
------>8------------>8------------>8------------>8------------>8
- --------------------------------------------------------------------------
Debian Security Advisory DSA 254-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
February 27th, 2003 http://www.debian.org/security/faq
- --------------------------------------------------------------------------
Package : traceroute-nanog
Vulnerability : バッファオーバフロー
Problem-Type : ローカルおよびリモート
Debian-specific: いいえ
CVE Id : CAN-2002-1051 CAN-2002-1364 CAN-2002-1386 CAN-2002-1387
BugTraq Id : 4956 6166 6274 6275
Van Jacobson さんによる BSD traceroute program の拡張版である NANOG
traceroute に脆弱性が発見されました。get_origin() 関数中でバッファオーバ
フローをおこす箇所があります。whois パーサで配列の添字を不十分にしかチェ
ックしていないため、システムスタック上のメモリを壊すことが可能で、その結
果、対象のホストの root 特権をリモートから得る攻撃が可能です。但し、これ
は Debian システムでは困難です。
さらに、The Common Vulnerabilities and Exposures (CVE) プロジェクトでは、
Debian の前安定版 (stable) potato および現安定版 (stable) woody では既に
修正済の脆弱性について指摘していますので、ここでも完全を期すため言及して
おきます (他のディストリビューションではこの問題のため、独立した勧告の発
行を余儀なくされたようです)。
* CAN-2002-1364 (BugTraq ID 6166) には、get_origin 関数中にバッファオー
バフローがあり、長い WHOIS 応答により攻撃者が任意のコードを実行可能で
あることが指摘されています。
* CAN-2002-1051 (BugTraq ID 4956) には、フォーマットストリングバグにより、
-T (terminator) コマンドライン引数を用いて、ローカルユーザが任意のコー
ドを実行可能であることが指摘されています。
* CAN-2002-1386 では、バッファオーバフローにより、長いホスト名引数を用い
てローカルユーザが任意のコードを実行可能であることが指摘されています。
* CAN-2002-1387 では、spray mode により、ローカルユーザがメモリの任意の
箇所を上書き可能であることが指摘されています。
幸いなことに、Debian パッケージではスタートアップ後のかなり早い時期に特権
を落としていますので、これらの問題は Debian マシンでは攻撃困難だと思いま
す。
現安定版 (stable) woody では、これはバージョン 6.1.1-1.2 で修正されていま
す。
前安定版 (stable) potato では、これはバージョン 6.0-2.2 で修正されていま
す。
不安定版 (unstable) sid では、これはバージョン 6.3.0-1 で修正されていま
す。
直ぐに traceroute-nanog パッケージをアップグレードすることを勧めます。
アップデート手順
----------------
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
apt-get パッケージマネージャを使っているなら、以下記載の sources.list
を用いて、次のコマンドを使ってください。
apt-get update
これは内部データベースを更新します。
apt-get upgrade
これで修正されたパッケージをインストールします。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 2.2 愛称 potato
- --------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.0-2.2.dsc
Size/MD5 checksum: 578 c0a65b3b527a4939ceb53195eb67078f
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.0-2.2.diff.gz
Size/MD5 checksum: 6651 74ae0eb419bd8bcbcf3f0f591b1015aa
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.0.orig.tar.gz
Size/MD5 checksum: 27020 39246e5b1d44d6276489d4801c4a7bfb
Alpha architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.0-2.2_alpha.deb
Size/MD5 checksum: 23168 67c44d189c1c2c8384e49fda6dc25df1
ARM architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.0-2.2_arm.deb
Size/MD5 checksum: 19872 4f9a429c9eb0623e02ebcf226dcfb20a
Intel IA-32 architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.0-2.2_i386.deb
Size/MD5 checksum: 18588 78445b5c9cbef332d14f22e40dce094b
Motorola 680x0 architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.0-2.2_m68k.deb
Size/MD5 checksum: 17742 a797b9831aee1f5bdca3fa879a39fc34
PowerPC architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.0-2.2_powerpc.deb
Size/MD5 checksum: 19550 66ccd20f5d062885425531ee141d0cf1
Sun Sparc architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.0-2.2_sparc.deb
Size/MD5 checksum: 22154 623a8662411fd9a00fea53688237c60d
Debian GNU/Linux 3.0 愛称 woody
- ------------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.2.dsc
Size/MD5 checksum: 589 d7eb4bd225e4f2fc16c021776da0c081
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.2.diff.gz
Size/MD5 checksum: 6769 fbe2f9d877d77681846838bf7dea67f2
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1.orig.tar.gz
Size/MD5 checksum: 27560 493e77d8cf0e86744668e3efd4622378
Alpha architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.2_alpha.deb
Size/MD5 checksum: 23882 82ddf32182750bc2fa044a6cf9a85733
ARM architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.2_arm.deb
Size/MD5 checksum: 20374 e23517c29047740b8d8b0ae7820e10f8
Intel IA-32 architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.2_i386.deb
Size/MD5 checksum: 19068 2be7ec42cc04ffff294a53b3156126d2
Intel IA-64 architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.2_ia64.deb
Size/MD5 checksum: 26644 6c77e2d0deca24c66840705f790bdb80
HP Precision architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.2_hppa.deb
Size/MD5 checksum: 21754 562203dd8680bc949e13af13665a5bf7
Motorola 680x0 architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.2_m68k.deb
Size/MD5 checksum: 18360 511b65c864403cdd3837a5f864349244
Big endian MIPS architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.2_mips.deb
Size/MD5 checksum: 21370 67ea3bb02eae05d9036cacd9b2077a04
Little endian MIPS architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.2_mipsel.deb
Size/MD5 checksum: 21414 4d3606016b222a566fc9b9221b1cf7e5
PowerPC architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.2_powerpc.deb
Size/MD5 checksum: 20320 378a7f4eaf2b14f30d8d1e97d5562bdc
IBM S/390 architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.2_s390.deb
Size/MD5 checksum: 20286 3433605f96800f3028330cac370018e8
Sun Sparc architecture:
http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.2_sparc.deb
Size/MD5 checksum: 23038 2785266b4cd3c7c14ebd50be2095dcf4
これらのファイルは次の版の安定版リリース時そちらに移されます。
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
--------------------------- http://plaza25.mbn.or.jp/~efialtes
足跡 = 55A4 898A C765 F20A 1693 7882 579A 3339 D6ED 97E8