[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:44066] [Translate] [SECURITY] [DSA 741-1] New bzip2 packages prevent decompression bomb

From: Seiji Kaneko <skaneko@xxxxxxxxxxxx>
Subject: [debian-users:44066] [Translate] [SECURITY] [DSA 741-1] New bzip2 packages prevent decompression bomb
Date: Thu, 7 Jul 2005 22:44:22 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-accept-language: ja, en-us, en
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-users@debian.or.jp
X-spam-level:
X-spam-status: No, hits=-2.8 required=10.0 tests=ISO2022JP_BODY,ISO2022JP_CHARSET,SIGNATURE_SHORT_DENSE, SPAM_PHRASE_00_01,USER_AGENT,X_ACCEPT_LANG version=2.44
Message-id: <42CD322B.7040105@xxxxxxxxxxxx>
X-mail-count: 44066
User-agent: Mozilla Thunderbird 1.0.2 (Macintosh/20050317)

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

#　Sarge 用のパッケージの記載がないのは原文からです :-(

------>8------------>8------------>8------------>8------------>8-
- --------------------------------------------------------------------------
Debian Security Advisory DSA 741-1                     security@debian.org
http://www.debian.org/security/                             Martin Schulze
July 7th, 2005                          http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package        : bzip2
Vulnerability  : 無限ループ
Problem-Type   : ローカルおよびリモート
Debian-specific: いいえ
CVE ID         : CAN-2005-1260
Debian Bug     : 310803

Chris Evans さんにより、特殊な形式のアーカイブにより bzip2 が無限ループに
入り、ディスクを使い尽くすまでいつまでも出力を吐き出し続けることが発見さ
れました。bzip2 アーカイブを自動的に伸長するシステムでは、これによりサー
ビス不能攻撃が可能です。

前安定版 (oldstable) ディストリビューション (woody) では、この問題はバー
ジョン 1.0.2-1.woody5 で修正されています。

安定版  (stable) ディストリビューション (sarge) では、この問題はバージョ
ン 1.0.2-7 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョ
ン 1.0.2-7 で修正されています。

直ぐに bzip2 パッケージをアップグレードすることを勧めます。

アップグレード手順
------------------

wget url
	でファイルを取得できます。
dpkg -i file.deb
        で参照されたファイルをインストールできます。

を用いて、apt-get パッケージマネージャに以下記載の sources.list を与えて
次のコマンドを使ってください。

apt-get update
        これは内部データベースを更新します。
apt-get upgrade
        これで修正されたパッケージをインストールします。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。

Debian GNU/Linux 3.0 愛称 woody
- ------------------------------------

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/b/bzip2/bzip2_1.0.2-1.woody5.dsc
      Size/MD5 checksum:      591 2bbebaa9594819a21b293cd679e88f9e

http://security.debian.org/pool/updates/main/b/bzip2/bzip2_1.0.2-1.woody5.diff.gz
      Size/MD5 checksum:    11423 d413545f13911158a7f382a1dc68008b
    http://security.debian.org/pool/updates/main/b/bzip2/bzip2_1.0.2.orig.tar.gz
      Size/MD5 checksum:   665198 ee76864958d568677f03db8afad92beb

  Alpha architecture:


http://security.debian.org/pool/updates/main/b/bzip2/bzip2_1.0.2-1.woody5_alpha.deb
      Size/MD5 checksum:   233882 d3c37c8ad0cb2420ee374b524a92a07c

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-1.0_1.0.2-1.woody5_alpha.deb
      Size/MD5 checksum:    44560 de6c1c030622783e52c4267ba1b501e3

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-dev_1.0.2-1.woody5_alpha.deb
      Size/MD5 checksum:    38716 0f8eef3a5703404e6e9ac0dd11898966

  ARM architecture:


http://security.debian.org/pool/updates/main/b/bzip2/bzip2_1.0.2-1.woody5_arm.deb
      Size/MD5 checksum:   230474 e07a9ae2b735d7b66590dd8fb00cd300

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-1.0_1.0.2-1.woody5_arm.deb
      Size/MD5 checksum:    38796 7cc672c5a6fea032afa005cfe9dad039

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-dev_1.0.2-1.woody5_arm.deb
      Size/MD5 checksum:    35504 a923ddc75c05df5d07aff126d6f11755

  Intel IA-32 architecture:


http://security.debian.org/pool/updates/main/b/bzip2/bzip2_1.0.2-1.woody5_i386.deb
      Size/MD5 checksum:   230044 956cb5c4e8c21ae3021ac4e8f3df1c94

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-1.0_1.0.2-1.woody5_i386.deb
      Size/MD5 checksum:    35844 0347c033eb73e0cc20207dd4eb556955

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-dev_1.0.2-1.woody5_i386.deb
      Size/MD5 checksum:    28372 bc465e4913826f411d6859a07cd6247a

  Intel IA-64 architecture:


http://security.debian.org/pool/updates/main/b/bzip2/bzip2_1.0.2-1.woody5_ia64.deb
      Size/MD5 checksum:   238600 b16122e6bd2a37085ac003ece8545ab2

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-1.0_1.0.2-1.woody5_ia64.deb
      Size/MD5 checksum:    53758 e17ccb297e38c7fa4c2ccdb569ea4dbe

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-dev_1.0.2-1.woody5_ia64.deb
      Size/MD5 checksum:    47592 f1bfbf630c9fd023abb32f67e99167bc

  HP Precision architecture:


http://security.debian.org/pool/updates/main/b/bzip2/bzip2_1.0.2-1.woody5_hppa.deb
      Size/MD5 checksum:   232234 5264f07a33b904b0b33a7785c1446d82

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-1.0_1.0.2-1.woody5_hppa.deb
      Size/MD5 checksum:    41122 e6e29616e1b93cd1c2a17f7df0daa6ec

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-dev_1.0.2-1.woody5_hppa.deb
      Size/MD5 checksum:    33744 e88276e32923b2298467314e835b4ee8

  Motorola 680x0 architecture:


http://security.debian.org/pool/updates/main/b/bzip2/bzip2_1.0.2-1.woody5_m68k.deb
      Size/MD5 checksum:   227958 9a248a2c98973a0c2acc108ddd734872

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-1.0_1.0.2-1.woody5_m68k.deb
      Size/MD5 checksum:    33690 92d2c08e723a48f0bb4f599cee6d2c87

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-dev_1.0.2-1.woody5_m68k.deb
      Size/MD5 checksum:    26342 aa65d4c4501693544ab7bf64993bfe0e

  Big endian MIPS architecture:


http://security.debian.org/pool/updates/main/b/bzip2/bzip2_1.0.2-1.woody5_mips.deb
      Size/MD5 checksum:   231258 bd0b416bdc17dc6cf0c6cbe039e5e763

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-1.0_1.0.2-1.woody5_mips.deb
      Size/MD5 checksum:    37684 616624223d16bd3ba4ec883e19e5551a

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-dev_1.0.2-1.woody5_mips.deb
      Size/MD5 checksum:    32854 9f12e2896db97d60b811ad2fc35858b4

  Little endian MIPS architecture:


http://security.debian.org/pool/updates/main/b/bzip2/bzip2_1.0.2-1.woody5_mipsel.deb
      Size/MD5 checksum:   231230 7072312d3a023281dd67061b02a74b82

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-1.0_1.0.2-1.woody5_mipsel.deb
      Size/MD5 checksum:    37756 b9a1403598e7b0aa9e8e7ff81dedc110

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-dev_1.0.2-1.woody5_mipsel.deb
      Size/MD5 checksum:    33028 a8b9090f027c22c34e33341b3188b514

  PowerPC architecture:


http://security.debian.org/pool/updates/main/b/bzip2/bzip2_1.0.2-1.woody5_powerpc.deb
      Size/MD5 checksum:   229704 416a8557b1ab191c79360cd1e7d04cd2

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-1.0_1.0.2-1.woody5_powerpc.deb
      Size/MD5 checksum:    37712 5f2539505ce656196d5e12def3e19ce0

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-dev_1.0.2-1.woody5_powerpc.deb
      Size/MD5 checksum:    31644 2a5ccdc0789aaa91b996e6add8ff9be0

  IBM S/390 architecture:


http://security.debian.org/pool/updates/main/b/bzip2/bzip2_1.0.2-1.woody5_s390.deb
      Size/MD5 checksum:   230446 67fddd242f6f0846e0b6f553be167330

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-1.0_1.0.2-1.woody5_s390.deb
      Size/MD5 checksum:    38658 c1312c461fd205df9561363e5288bafd

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-dev_1.0.2-1.woody5_s390.deb
      Size/MD5 checksum:    31874 1f3da1b03000aae476009ad7b3de968c

  Sun Sparc architecture:


http://security.debian.org/pool/updates/main/b/bzip2/bzip2_1.0.2-1.woody5_sparc.deb
      Size/MD5 checksum:   236538 ec72b7afb317a1395bdf660a9d33310a

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-1.0_1.0.2-1.woody5_sparc.deb
      Size/MD5 checksum:    37304 2e037b1c17a0344add10fbf66472e2ef

http://security.debian.org/pool/updates/main/b/bzip2/libbz2-dev_1.0.2-1.woody5_sparc.deb
      Size/MD5 checksum:    30818 c9fc751b79920dc5aa4216785310652a


 これらのファイルは次の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------

Prev by Date: [debian-users:44065] [Translate] [SECURITY] [DSA 740-1] New zlib packages fix denial of service
Next by Date: [debian-users:44067] [Translate] [SECURITY] [DSA 739-1] New trac package fixes upload/download vulnerability
Previous by thread: [debian-users:44065] [Translate] [SECURITY] [DSA 740-1] New zlib packages fix denial of service
Next by thread: [debian-users:44067] [Translate] [SECURITY] [DSA 739-1] New trac package fixes upload/download vulnerability
Index(es):
- Date
- Thread