[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:45707] [Translate] [SECURITY] [DSA 956-1] New lsh-utils packages fix local vulnerabilities
かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。
------>8------------>8------------>8------------>8------------>8-
- --------------------------------------------------------------------------
Debian Security Advisory DSA 956-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
January 26th, 2006 http://www.debian.org/security/faq
- --------------------------------------------------------------------------
Package : lsh-utils
Vulnerability : ファイルディスクリプタの漏洩
Problem type : ローカル
Debian-specific: いいえ
CVE ID : CVE-2006-0353
Debian Bug : 349303
Stefan Pfetzing さんにより、Secure Shell v2 (SSH2) プロトコルサーバ
lshd が、乱数発生器に絡んで lshd から起動されたユーザシェルにいくつかの
ファイルディスクリプタを漏洩することが発見されました。ローカルの攻撃者
がサーバの seed ファイルを切りつめることによってサーバが起動しないよう
にすることが可能で、更に細かな工夫を行うことでセッションキーをクラック
することも可能です。
このアップデートの適用後、サーバの seed ファイル
(/var/spool/lsh/yarrow-seed-file) を削除し、"lsh-make-seed --server" コ
マンドにより root 権限で再作成してください。
セキュリティ上の理由により、lsh-make-seed は必ず実行しているシステムのコ
ンソールで実行してください。リモートのシェルから lsh-make-seed を実行し
た場合、lsh-make-seed が乱数の seed として用いるタイミング情報が変になり
ます。必要な場合、実際にインストールする以外の他のシステムに lsh-utils
パッケージをインストールし、"lsh-make-seed -o my-other-server-seed-file"
を実行することにより、この他システムで作成した乱数の seed を用いることも
できます。この後対象のシステムに、安全な経路でこの seed を転送してくださ
い。
安定版 (oldstable) ディストリビューション (woody) には、この問題はない模
様です。
安定版 (stable) ディストリビューション (sarge) では、この問題はバージョ
ン 2.0.1-3sarge1 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージ
ョン 2.0.1cdbs-4 で修正されています。
直ぐに lsh パッケージをアップグレードすることを勧めます。
アップグレード手順
- --------------------
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、
apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 3.1 愛称 sarge
- --------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1.dsc
Size/MD5 checksum: 827 27a08dea0eb4d51595d12325dd2dc9b9
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1.diff.gz
Size/MD5 checksum: 65643 ce143cd95c98d22be17702cfa7d00883
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1.orig.tar.gz
Size/MD5 checksum: 1866063 25ca0b4385779de3d58d2d5757f495c3
Architecture independent components:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils-doc_2.0.1-3sarge1_all.deb
Size/MD5 checksum: 167108 8a72fcaeee3a9e87bb2f596790e0ed0d
Alpha architecture:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_alpha.deb
Size/MD5 checksum: 401168 b3c017e4498e57576f75c8c6a4141bd1
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_alpha.deb
Size/MD5 checksum: 338576 573bddb6eaf7a2488199c4559aae3c29
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_alpha.deb
Size/MD5 checksum: 1024694 db2d07041589921cea746b35970448c9
ARM architecture:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_arm.deb
Size/MD5 checksum: 295730 dbbf6d2c5a9a78d8757536c0a91c12b1
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_arm.deb
Size/MD5 checksum: 263990 524f432ff03e1e4e0de80868b5251dc1
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_arm.deb
Size/MD5 checksum: 751640 662e1c293a3ad6ee830e0c154899a5e3
Intel IA-32 architecture:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_i386.deb
Size/MD5 checksum: 300088 5038534a8bf05c1afe3b6a02d949d19e
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_i386.deb
Size/MD5 checksum: 265836 6236889e8e52a65e3302a9cde882b46d
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_i386.deb
Size/MD5 checksum: 746754 a8608dc7abfb61b37b49985d6914939d
Intel IA-64 architecture:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_ia64.deb
Size/MD5 checksum: 447126 6e6ea9ed0b40b44f6a77de4bff109d15
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_ia64.deb
Size/MD5 checksum: 374070 9c7aea3671804cbd9e67c621aa08ae11
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_ia64.deb
Size/MD5 checksum: 1164462 e73a3d57a099a72d436f071d8666c41f
HP Precision architecture:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_hppa.deb
Size/MD5 checksum: 343638 de455b0e097e6702ada6deaaf8803898
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_hppa.deb
Size/MD5 checksum: 295558 225a99b05fafbe38ecba5ed54ae56997
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_hppa.deb
Size/MD5 checksum: 868638 79878de6808ade34d2551aae99f9cd7b
Motorola 680x0 architecture:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_m68k.deb
Size/MD5 checksum: 272632 01605d69846557dfc5b2d3f802eeb9c2
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_m68k.deb
Size/MD5 checksum: 244748 ae046120b9001ef2109b83ae014e7206
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_m68k.deb
Size/MD5 checksum: 669880 1ba0c5ea28762faaaffebf763666c7b9
Big endian MIPS architecture:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_mips.deb
Size/MD5 checksum: 352524 b760940edecb51c6f138f92ed79e1027
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_mips.deb
Size/MD5 checksum: 305572 42622131e45e23460a40a168b22f2cdf
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_mips.deb
Size/MD5 checksum: 886516 0a3a7d73e941ccb3d042a17ed91757e2
Little endian MIPS architecture:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_mipsel.deb
Size/MD5 checksum: 353328 3aae28d22cd30aa12f9cc1edcc3f1800
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_mipsel.deb
Size/MD5 checksum: 306144 3d47e49fa2507587cb1d92992e593081
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_mipsel.deb
Size/MD5 checksum: 888880 0afea7b20d9dc5c12ca7cce15c74643f
PowerPC architecture:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_powerpc.deb
Size/MD5 checksum: 316982 d6bbece27b282748d90d5938a8111f21
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_powerpc.deb
Size/MD5 checksum: 282628 9c7a4830a74bc90a5832e6160e1e082d
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_powerpc.deb
Size/MD5 checksum: 809622 31709a65f368f7a068dcbdce4e1aff06
IBM S/390 architecture:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_s390.deb
Size/MD5 checksum: 343902 6f3d3524ce342b6a2497940d4bc4bb40
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_s390.deb
Size/MD5 checksum: 297426 50e9c6e52e3c32c6a8597d2a0475b0d4
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_s390.deb
Size/MD5 checksum: 883990 8683782431b1e5e418265972c8877f81
Sun Sparc architecture:
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-client_2.0.1-3sarge1_sparc.deb
Size/MD5 checksum: 292410 44c4c08694ffc59077c2f1fc1112d33f
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-server_2.0.1-3sarge1_sparc.deb
Size/MD5 checksum: 262056 05063d13ff9e2b43a4e27e915507d932
http://security.debian.org/pool/updates/main/l/lsh-utils/lsh-utils_2.0.1-3sarge1_sparc.deb
Size/MD5 checksum: 751050 a2f59d44ed6b8c7759a240f491416b63
これらのファイルは次の版の安定版リリース時そちらに移されます。
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------