[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:38862] Re: Debian GNU/Linux 3.0 updated (r2)

 やまね です。

 Kenshi Muto さんの
  "Mon, 24 Nov 2003 10:08:49 +0900"に送信された
 【[debian-users:38861] Debian GNU/Linux 3.0 updated (r2)】に対する返信です。

》Debian GNU/Linux 3.0 (woody) のセキュリティアップデート r2 がリリース
》されました。
》
》http://www.debian.org/News/2003/20031121a

 ざっと見たのですが、以下のパッケージについては残念ながら
 今回のリリース中ではsecurity updateが提供されておらず、
 削除もされてはいないようです。

 参考までに私が自身のサイトにメモしておいた判る範囲での
 脆弱性の内容と対応状況を列挙しておきます。


----------------------------------------------------------------------------
 ・phpmyadmin
----------------------------------------------------------------------------
  2.5.2以前にある
   "Directory transversal attack"
   "Remote local file retrieving"
   "Remote internal directory listing"
   "XSS and Path disclosures"
   "Information encoding weakness"

  上記脆弱性に proposed-update で対応したバージョンが提供済み
  ただし、stableにあるものよりベースとなるバージョンがあがっている


----------------------------------------------------------------------------
 ・mgetty
----------------------------------------------------------------------------
  - cnd-program buffer overflow (CAN-2002-1391)
  - shell metacharacter quoting(CAN-2003-0516)
  - faxrunqd file creation race(CAN-2003-0517)

  別途対応したものが提供されている
  http://home.arcor.de/andreas-barth/debian/mgetty-woody/
  ただし、stableにあるものよりベースとなるバージョンがあがっている  


----------------------------------------------------------------------------
 ・mozilla 1.0
----------------------------------------------------------------------------
  http://www.linuxsecurity.com/advisories/redhat_advisory-3461.html

  proposed-update で対応したバージョンが提供済み


----------------------------------------------------------------------------
 ・squid
----------------------------------------------------------------------------
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0713

  proposed-update で対応したバージョンが提供済み(2.4.6-2)
   * There is a buffer overflow in the ftp and gopher code. Fixed by:
       o squid-2.4.STABLE6-ftp_directories.patch
       o squid-2.4.STABLE6-gopher.patch
  

----------------------------------------------------------------------------
 
 以上です。次のリリースでは対応されるといいですね。

 

-- 
Regards,

 Hideki Yamane    mailto:henrich @ samba.gr.jp/iijmio-mail.jp