[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:45742] [Translate] [SECURITY] [DSA 959-1] New unalz packages fix arbitrary code execution



かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- --------------------------------------------------------------------------
Debian Security Advisory DSA 959-1                     security@debian.org
http://www.debian.org/security/                             Martin Schulze
January 30th, 2006                      http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package        : unalz
Vulnerability  : バッファオーバフロー
Problem-Type   : ローカル (リモート)
Debian-specific: いいえ
CVE ID         : CVE-2005-3862
Debian Bug     : 340842

Debian Security Audit Project の Ulf Härnhammar さんにより、ALZ ア
ーカイブの伸張を行うツール unalz がファイル名を処理する際に行う境界チェ
ックが不十分であることが発見されました。この欠陥を攻撃することにより、特
殊な ALZ アーカイブを用いて任意のコードの実行が可能です。

前安定版 (oldstable) ディストリビューション (woody) には、unalz パッケー
ジは収録されていません。

安定版  (stable) ディストリビューション (sarge) では、この問題はバージョ
ン 0.30.1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修
正予定です。

直ぐに unalz パッケージをアップグレードすることを勧めます。


アップグレード手順
- --------------------

wget url
        	でファイルを取得できます。
dpkg -i file.deb
                で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 3.1 愛称 sarge
- --------------------------------

    ソースアーカイブ:

    http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1.dsc
      Size/MD5 checksum:      505 6946e7c6ae2e663674cb968a17517d6b
    http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1.tar.gz
      Size/MD5 checksum:   108993 9b45066980a87f11db43f24b0756be33

  Alpha architecture:

    http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_alpha.deb
      Size/MD5 checksum:    54350 5cf460c260a651fa6c48a39a350fea19

  AMD64 architecture:

    http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_amd64.deb
      Size/MD5 checksum:    47924 21585b3182e29c28c4871bd75d2b8565

  ARM architecture:

    http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_arm.deb
      Size/MD5 checksum:    49050 7e2bb36975ff0f6e601be3c4ac5de5a9

  Intel IA-32 architecture:

    http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_i386.deb
      Size/MD5 checksum:    42794 c9ca20d6840ca8381eee1dcfa34ad89a

  Intel IA-64 architecture:

    http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_ia64.deb
      Size/MD5 checksum:    77534 4e626bf47842d551ed1761336259fcfe

  HP Precision architecture:

    http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_hppa.deb
      Size/MD5 checksum:    51558 34d2c5c50af71e9ade2c3b608041cbc5

  Motorola 680x0 architecture:

    http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_m68k.deb
      Size/MD5 checksum:    42514 747eeb6b49dc1c7e43f6d0e4034fa2c7

  Big endian MIPS architecture:

    http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_mips.deb
      Size/MD5 checksum:    54364 9e797dbb849cbe5f65f61d5e052902e5

  Little endian MIPS architecture:

    http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_mipsel.deb
      Size/MD5 checksum:    53938 aef1b01344791cdefed5f837b66bf9aa

  PowerPC architecture:

    http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_powerpc.deb
      Size/MD5 checksum:    45412 621dafe9070b461d0f86655a1dda9507

  IBM S/390 architecture:

    http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_s390.deb
      Size/MD5 checksum:    49970 2f6a285270fcd8084f9e2948e87ebfc4

  Sun Sparc architecture:

    http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_sparc.deb
      Size/MD5 checksum:    46612 2142655456c03385e69d156a7831005c


    これらのファイルは次の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>

------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------