[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:44964] [Translate] [SECURITY] [DSA 870-1] New sudo packages fix arbitrary command execution
かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。
------>8------------>8------------>8------------>8------------>8-
- --------------------------------------------------------------------------
Debian Security Advisory DSA 870-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
October 25th, 2005 http://www.debian.org/security/faq
- --------------------------------------------------------------------------
Package : sudo
Vulnerability : 入力のサニタイズ漏れ
Problem type : ローカル
Debian-specific: いいえ
CVE ID : CVE-2005-2959
Tavis Ormandy さんにより、特定ユーザに制限されたスーパユーザ権限を与える
プログラム sudo が環境変数を十分にサニタイズしていないことが発見されまし
た。SHELLOPTS および PS4 は危険であるのにもかかわらず、スーパユーザ権限
で実行されるプログラムに渡されていました。この欠陥を攻撃することで、bash
スクリプトが実行された場合任意のコマンドの実行が可能です。また、この欠陥
は、制限付きのスーパユーザ権限でのコマンドが実行可能なユーザからのみ攻撃
可能です。
前安定版 (oldstable) ディストリビューション (woody) には、この問題はバー
ジョン 1.6.6-1.4 で修正されています。
安定版 (stable) ディストリビューション (sarge) では、この問題はバージョ
ン 1.6.8p7-1.2 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージ
ョン 1.6.8p9-3 で修正されています。
直ぐに sudo パッケージをアップグレードすることを勧めます。
アップグレード手順
------------------
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
を用いて、apt-get パッケージマネージャに以下記載の sources.list を与えて
次のコマンドを使ってください。
apt-get update
これは内部データベースを更新します。
apt-get upgrade
これで修正されたパッケージをインストールします。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 3.0 愛称 woody
- --------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4.dsc
Size/MD5 checksum: 587 c22d78e545cc41285b70e928baf5ef2a
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4.diff.gz
Size/MD5 checksum: 12353 49b036195d8797105cc48b77343409df
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
Size/MD5 checksum: 333074 4da4bf6cf31634cc7a17ec3b69fdc333
Alpha architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_alpha.deb
Size/MD5 checksum: 151570 03fce4fe476ae16b4672dab579d5fd69
ARM architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_arm.deb
Size/MD5 checksum: 141524 9337ba4f86b1bfc23b9c0ac43831e5b8
Intel IA-32 architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_i386.deb
Size/MD5 checksum: 134978 ad3fa7172bdf1367bcb7ffada5fe8bd1
Intel IA-64 architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_ia64.deb
Size/MD5 checksum: 172532 a37d469d4b88fbf61ffcf2bfe2ba2ac9
HP Precision architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_hppa.deb
Size/MD5 checksum: 147642 48ee191d753ce8231406383ddfeca83b
Motorola 680x0 architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_m68k.deb
Size/MD5 checksum: 132792 661352760c71a856734ed98cf59718f8
Big endian MIPS architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_mips.deb
Size/MD5 checksum: 144444 8bd20f7ef341e7b4210bf83888288817
Little endian MIPS architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_mipsel.deb
Size/MD5 checksum: 144320 65cd1110ea9d0a24cfd42a963c2e932c
PowerPC architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_powerpc.deb
Size/MD5 checksum: 140708 d46cca27fddf5ba89b3a7ccbce87bfd8
IBM S/390 architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_s390.deb
Size/MD5 checksum: 140294 c2b73dd934d2852bd97395021b82bcb1
Sun Sparc architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_sparc.deb
Size/MD5 checksum: 143106 7fe864a335c9f438765cedb78b602695
Debian GNU/Linux 3.1 愛称 sarge
- --------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2.dsc
Size/MD5 checksum: 571 ee704f9a7147f4af70b7f98c03fe63ca
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2.diff.gz
Size/MD5 checksum: 20291 85b39fe73ce73b17f89077f5baff1061
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7.orig.tar.gz
Size/MD5 checksum: 585302 ad65d24f20c736597360d242515e412c
Alpha architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_alpha.deb
Size/MD5 checksum: 176516 f3d8c031b827697735e1fb4c6b30aa05
AMD64 architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_amd64.deb
Size/MD5 checksum: 169978 13c5fb4e10b152a0b8c304c9b5070f33
ARM architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_arm.deb
Size/MD5 checksum: 163528 08b9302954e490b86915ba1c77ad2e95
Intel IA-32 architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_i386.deb
Size/MD5 checksum: 159618 b96c7e49de019a22e63b146108d373b2
Intel IA-64 architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_ia64.deb
Size/MD5 checksum: 195042 ea11fb9d63c42cd5e987cbc426b2d850
HP Precision architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_hppa.deb
Size/MD5 checksum: 170464 db7b10db7027d76e9db541e1ecfdf3c5
Motorola 680x0 architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_m68k.deb
Size/MD5 checksum: 154890 984de6ffe0c4148eb4ec2524be48ec93
Big endian MIPS architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_mips.deb
Size/MD5 checksum: 168394 2915f237172414cd34d5a5f9d7bf9f52
Little endian MIPS architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_mipsel.deb
Size/MD5 checksum: 168296 1a69c185ad41d450e4cb0ee593e53779
PowerPC architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_powerpc.deb
Size/MD5 checksum: 165140 4cef8bdb04fb8c91a69d93a41f14a449
IBM S/390 architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_s390.deb
Size/MD5 checksum: 167986 ef2691f0af99039da331c7cc68136a06
Sun Sparc architecture:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_sparc.deb
Size/MD5 checksum: 162382 897dd50a90835ff5ffeaa34a6d499506
これらのファイルは次の版の安定版リリース時そちらに移されます。
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------