[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:45584] [Translate] [SECURITY] [DSA 934-1] New pound packages fix multiple vulnerabiliti

From: seiji.kaneko.na@xxxxxxxxxxx
Subject: [debian-users:45584] [Translate] [SECURITY] [DSA 934-1] New pound packages fix multiple vulnerabiliti
Date: Tue, 10 Jan 2006 21:48:04 +0900
Importance: normal
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
Message-type: Multiple Part
Priority: normal
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-users@debian.or.jp
X400-content-identifier: X43C3ACD200000M
X400-mts-identifier: [/C=JP/ADMD=HITNET/PRMD=HITACHI/;gmml040601102147145HC]
Message-id: <XNM1$4$0$4$$9$3$2$A$9000555U43c3acd2@xxxxxxxxxxx>
X-mail-count: 45584

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- --------------------------------------------------------------------------
Debian Security Advisory DSA 934-1                     security@debian.org
http://www.debian.org/security/                         Moritz Muehlenhoff
January 9, 2006                         http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package        : pound
Vulnerability  : 複数
Problem-Type   : リモート
Debian-specific: いいえ
CVE ID         : CVE-2005-1391 CVE-2005-3751
Debian Bug     : 307852

リバースプロキシ及びロードバランサ Pound に二つの欠陥が発見されました。
The Common Vulnerabilities and Exposures project では以下の問題を認識し
ています。

   * CVE-2005-1391:
     過度に長い HTTP Host: ヘッダにより add_port() 関数中でバッファオー
     バフローが起こる可能性があります。この欠陥を攻撃することで任意のコ
     ードの実行が出来る可能性があります。

   * CVE-2005-3751:
     Content-Length および Transfer-Encoding の記載に矛盾した HTTP リク
     エストにより、HTTP Request Smuggling Attack が可能で、これによりパ
     ケットフィルタバイパスやウェブキャッシュの汚染などが可能です。

前安定版 (oldstable) ディストリビューション (woody) には、pound パッケー
ジは収録されていません。

安定版  (stable) ディストリビューション (sarge) では、この問題はバージョ
ン 1.8.2-1sarge1 で修正されています。

不安定版 (unstable) ディストリビューション sid では、この問題はバージョ
ン 1.9.4-1 で修正されています。

直ぐに pound パッケージをアップグレードすることを勧めます。

アップグレード手順
------------------

wget url
	でファイルを取得できます。
dpkg -i file.deb
        で参照されたファイルをインストールできます。

を用いて、apt-get パッケージマネージャに以下記載の sources.list を与えて
次のコマンドを使ってください。

apt-get update
        これは内部データベースを更新します。
apt-get upgrade
        これで修正されたパッケージをインストールします。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 3.1 愛称 sarge
- --------------------------------

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1.dsc
      Size/MD5 checksum:      643 334d91f8800581281ab9c8bad5bbdbf4
    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1.diff.gz
      Size/MD5 checksum:    13242 9e404c899bfd5409610ed5f14345d341
    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2.orig.tar.gz
      Size/MD5 checksum:   140455 c9b0793bb4d57be2270093d79b13c019

  Alpha architecture:

    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_alpha.deb
      Size/MD5 checksum:    73284 0458e20d63c3f5f5788afe7564a385da

  AMD64 architecture:

    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_amd64.deb
      Size/MD5 checksum:    68652 01ae48ac313a8e533f32eec2f6f7a62f

  ARM architecture:

    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_arm.deb
      Size/MD5 checksum:    69072 73b7eb49a74c8a5ff6a8015cf9a0e45d

  Intel IA-32 architecture:

    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_i386.deb
      Size/MD5 checksum:    68684 da43b8adaf115680c72d8f5dce9bc99f

  Intel IA-64 architecture:

    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_ia64.deb
      Size/MD5 checksum:    80756 ec6d043c70e50e8ba492ef6a73a4cc18

  HP Precision architecture:

    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_hppa.deb
      Size/MD5 checksum:    70288 22fa75150b2253640667714cf6197567

  Motorola 680x0 architecture:

    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_m68k.deb
      Size/MD5 checksum:    65138 1de5e7b4492a51900e13f9a0f5decd18

  Big endian MIPS architecture:

    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_mips.deb
      Size/MD5 checksum:    68586 3eb28320dc9229ee8cc08d2967e8ee9b

  Little endian MIPS architecture:

    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_mipsel.deb
      Size/MD5 checksum:    68654 510807d792c96e8cc43edf72fcdcc243

  PowerPC architecture:

    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_powerpc.deb
      Size/MD5 checksum:    69218 d03e4cc71f99c2017a417cf8f073438c

  IBM S/390 architecture:

    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_s390.deb
      Size/MD5 checksum:    69268 dac44abdc98358ccc66c2c3f41bd0965


  これらのファイルは次の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-

Prev by Date: [debian-users:45583] Re: 802.1q vlanで謎現象
Next by Date: [debian-users:45585] Re: Windows Update不能(msnにアクセスできない)
Previous by thread: [debian-users:45593] Re: 802.1q vlanで謎現象
Next by thread: [debian-users:45587] [Translate] [SECURITY] [DSA 930-2] New smstools packages fix format string vulne
Index(es):
- Date
- Thread