[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:44849] [Translate] [SECURITY] [DSA 844-1] New mod-auth-shadow packages fix authentication bypass
かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。
------>8------------>8------------>8------------>8------------>8-
- --------------------------------------------------------------------------
Debian Security Advisory DSA 844-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
October 5th, 2005 http://www.debian.org/security/faq
- --------------------------------------------------------------------------
Package : mod-auth-shadow
Vulnerability : プログラム上の誤り
Problem type : リモート
Debian-specific: いいえ
CVE ID : CAN-2005-2963
Debian Bug : 323789
/etc/shadow を使ってユーザの HTTP 認証を行う Apache モジュール
mod_auth_shadow に欠陥が発見されました。このモジュールは全域で「グループ
権限を必要とする」状態で動作しており、たとえば AuthGroupFile ファイルな
どによるそれ以外の認証による制限を無視しています。このため、ユーザ名が
passwd ファイルと gshadow ファイルにあり、適切なグループに属しており、与
えられたパスワードが shadow ファイルに記載されているものと一致する場合、
他の認証メカニズムが動作しません。
前安定版 (oldstable) ディストリビューション (woody) には、この問題はバー
ジョン 1.3-3.1woody.2 で修正されています。
安定版 (stable) ディストリビューション (sarge) では、この問題はバージョ
ン 1.4-1sarge1 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージ
ョン 1.4-2 で修正されています。
直ぐに mod-auth-shadow パッケージをアップグレードすることを勧めます。
アップグレード手順
------------------
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
を用いて、apt-get パッケージマネージャに以下記載の sources.list を与えて
次のコマンドを使ってください。
apt-get update
これは内部データベースを更新します。
apt-get upgrade
これで修正されたパッケージをインストールします。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 3.0 愛称 woody
- --------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/mod-auth-shadow_1.3-3.1woody.2.dsc
Size/MD5 checksum: 628 78a6276d158c96247f87c2a82ad337c9
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/mod-auth-shadow_1.3-3.1woody.2.diff.gz
Size/MD5 checksum: 5818 e57059b3d026f4490e83ef48e7c64551
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/mod-auth-shadow_1.3.orig.tar.gz
Size/MD5 checksum: 7476 3ad4432193ac603049ad0f2fa94f2054
Alpha architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.2_alpha.deb
Size/MD5 checksum: 12204 4f659abcf88fe710a35c09a24f6294d4
ARM architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.2_arm.deb
Size/MD5 checksum: 11306 ed1b93be804e3233000e7bc9951ee836
Intel IA-32 architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.2_i386.deb
Size/MD5 checksum: 11334 a384bb22d08d3d8ad2ee76803517866f
Intel IA-64 architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.2_ia64.deb
Size/MD5 checksum: 13488 63798f86c1cd944d5f635890b1ae7edb
HP Precision architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.2_hppa.deb
Size/MD5 checksum: 12048 cea187ef3898639b248c9b6f8b36e7a0
Motorola 680x0 architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.2_m68k.deb
Size/MD5 checksum: 11302 8887098ee92b1be61470b8a00ac72df9
Big endian MIPS architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.2_mips.deb
Size/MD5 checksum: 11466 9846f15f1c98a3cbb01b12d8e8563d93
Little endian MIPS architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.2_mipsel.deb
Size/MD5 checksum: 11458 d2ae47a2320ef6a8b45aa2354c9eebe9
PowerPC architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.2_powerpc.deb
Size/MD5 checksum: 11372 1ce0c98e16ea699726c0e45b98de5ec6
IBM S/390 architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.2_s390.deb
Size/MD5 checksum: 11516 e92c004036842d0f6f79b0e5d9f64455
Sun Sparc architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.2_sparc.deb
Size/MD5 checksum: 14484 524248ef32be0bffef4dcc147eece09b
Debian GNU/Linux 3.1 愛称 sarge
- --------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/mod-auth-shadow_1.4-1sarge1.dsc
Size/MD5 checksum: 618 8a413e53ca39d904d95dccd1b0705693
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/mod-auth-shadow_1.4-1sarge1.diff.gz
Size/MD5 checksum: 5816 4b010699db55a2c3446e71cc4af6e167
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/mod-auth-shadow_1.4.orig.tar.gz
Size/MD5 checksum: 7982 7da6ea1d72640c334fefab4e078eadd4
Alpha architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.4-1sarge1_alpha.deb
Size/MD5 checksum: 13462 9a035f44ccbfec2ddedeb97ba25de685
AMD64 architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.4-1sarge1_amd64.deb
Size/MD5 checksum: 12978 ffdd9eab120efbd6ad58befb069ead8d
ARM architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.4-1sarge1_arm.deb
Size/MD5 checksum: 12332 20edffd17e6cfed8bf60d50f0cf918da
Intel IA-32 architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.4-1sarge1_i386.deb
Size/MD5 checksum: 12426 7e27802cc15e0478e06f00cff72c4133
Intel IA-64 architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.4-1sarge1_ia64.deb
Size/MD5 checksum: 14444 b1a34f75958df70ee4566445ceb80a26
HP Precision architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.4-1sarge1_hppa.deb
Size/MD5 checksum: 13602 448068ac275fe81e7ba0d997b8bc3566
Motorola 680x0 architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.4-1sarge1_m68k.deb
Size/MD5 checksum: 12258 ae4ef5bdca2baaeb0067cf908e57ac09
Big endian MIPS architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.4-1sarge1_mips.deb
Size/MD5 checksum: 13238 e0a0f68fb3a164bc80607ba974a05f3d
Little endian MIPS architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.4-1sarge1_mipsel.deb
Size/MD5 checksum: 13248 24218030e050490cbe0578474ec46403
PowerPC architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.4-1sarge1_powerpc.deb
Size/MD5 checksum: 14120 85d7a92000946e11db7ae213960c4927
IBM S/390 architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.4-1sarge1_s390.deb
Size/MD5 checksum: 12964 46951fcacb6c99c779e31c7aa21d8bf3
Sun Sparc architecture:
http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.4-1sarge1_sparc.deb
Size/MD5 checksum: 12300 e05d59189d387427c9017180631aeba4
これらのファイルは次の版の安定版リリース時そちらに移されます。
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------