[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:38862] Re: Debian GNU/Linux 3.0 updated (r2)
やまね です。
Kenshi Muto さんの
"Mon, 24 Nov 2003 10:08:49 +0900"に送信された
【[debian-users:38861] Debian GNU/Linux 3.0 updated (r2)】に対する返信です。
》Debian GNU/Linux 3.0 (woody) のセキュリティアップデート r2 がリリース
》されました。
》
》http://www.debian.org/News/2003/20031121a
ざっと見たのですが、以下のパッケージについては残念ながら
今回のリリース中ではsecurity updateが提供されておらず、
削除もされてはいないようです。
参考までに私が自身のサイトにメモしておいた判る範囲での
脆弱性の内容と対応状況を列挙しておきます。
----------------------------------------------------------------------------
・phpmyadmin
----------------------------------------------------------------------------
2.5.2以前にある
"Directory transversal attack"
"Remote local file retrieving"
"Remote internal directory listing"
"XSS and Path disclosures"
"Information encoding weakness"
上記脆弱性に proposed-update で対応したバージョンが提供済み
ただし、stableにあるものよりベースとなるバージョンがあがっている
----------------------------------------------------------------------------
・mgetty
----------------------------------------------------------------------------
- cnd-program buffer overflow (CAN-2002-1391)
- shell metacharacter quoting(CAN-2003-0516)
- faxrunqd file creation race(CAN-2003-0517)
別途対応したものが提供されている
http://home.arcor.de/andreas-barth/debian/mgetty-woody/
ただし、stableにあるものよりベースとなるバージョンがあがっている
----------------------------------------------------------------------------
・mozilla 1.0
----------------------------------------------------------------------------
http://www.linuxsecurity.com/advisories/redhat_advisory-3461.html
proposed-update で対応したバージョンが提供済み
----------------------------------------------------------------------------
・squid
----------------------------------------------------------------------------
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0713
proposed-update で対応したバージョンが提供済み(2.4.6-2)
* There is a buffer overflow in the ftp and gopher code. Fixed by:
o squid-2.4.STABLE6-ftp_directories.patch
o squid-2.4.STABLE6-gopher.patch
----------------------------------------------------------------------------
以上です。次のリリースでは対応されるといいですね。
--
Regards,
Hideki Yamane mailto:henrich @ samba.gr.jp/iijmio-mail.jp