[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:45905] [Translate] [SECURITY] [DSA 969-1] New scponly packages fix potential root vulnerability



かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- --------------------------------------------------------------------------
Debian Security Advisory DSA 969-1                     security@debian.org
http://www.debian.org/security/                             Martin Schulze
February 13th, 2006                     http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package        : scponly
Vulnerability  : 設計ミス
Problem type   : ローカル
Debian-specific: いいえ
CVE ID         : CVE-2005-4532
Debian Bug     : 344418

Max Vozeller さんにより、scp および sftp 時のユーザコマンドを制限するユー
ティリティ scponly が root 権限で任意のコマンドの実行を許すことが発見され
ました。この欠陥を攻撃可能なのは、scponlyc が setuid root でインストール
されており、一般ユーザがマシンにシェルアクセス権限を持っている場合のみで
す。

前安定版 (oldstable) ディストリビューション (woody) には、scponly パッケ
ージは収録されていません。

安定版  (stable) ディストリビューション (sarge) では、この問題はバージョ
ン 4.0-1sarge1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョ
ン 4.6-1 で修正されています。

直ぐに scponly パッケージをアップグレードすることを勧めます。


アップグレード手順
- --------------------

wget url
        	でファイルを取得できます。
dpkg -i file.deb
                で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 3.1 愛称 sarge
- --------------------------------

    ソースアーカイブ:

    http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1.dsc
      Size/MD5 checksum:      600 ef0e45e07cfdd80fd53c0d3cd3daa31e
    http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1.diff.gz
      Size/MD5 checksum:    27012 96ee81daa1b248fe679106a9d9986b1b
    http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0.orig.tar.gz
      Size/MD5 checksum:    85053 1706732945996865ed0cccd440b64fc1

  Alpha architecture:

    http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_alpha.deb
      Size/MD5 checksum:    31270 662c573abf24bf1094e939b89acd5575

  AMD64 architecture:

    http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_amd64.deb
      Size/MD5 checksum:    30254 5db48bd53f0ca4fea76091221ceee6ac

  ARM architecture:

    http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_arm.deb
      Size/MD5 checksum:    29046 95081c9ab7115b06f4b370bf8ecadae6

  Intel IA-32 architecture:

    http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_i386.deb
      Size/MD5 checksum:    29356 1f2e8799c3c018c17734665f2610bef2

  Intel IA-64 architecture:

    http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_ia64.deb
      Size/MD5 checksum:    33144 887025e1e4ff759edd4f69005c6c2b3b

  HP Precision architecture:

    http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_hppa.deb
      Size/MD5 checksum:    30262 f721669ee692a8b21d975912a0a67f56

  Motorola 680x0 architecture:

    http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_m68k.deb
      Size/MD5 checksum:    29002 e7d63e25636483f8437b57d897fcd1b3

  Big endian MIPS architecture:

    http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_mips.deb
      Size/MD5 checksum:    38582 995a79aab6d2ed7ab4bc37b921462a9e

  Little endian MIPS architecture:

    http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_mipsel.deb
      Size/MD5 checksum:    38564 95bbff4502021a1a53f45c014fca20e2

  PowerPC architecture:

    http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_powerpc.deb
      Size/MD5 checksum:    29702 60138f788f40ba7ffc35de22f7bb39cc

  IBM S/390 architecture:

    http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_s390.deb
      Size/MD5 checksum:    30060 340a4ed4effca8e9e27643789ea300c9

  Sun Sparc architecture:

    http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_sparc.deb
      Size/MD5 checksum:    29302 404579837618ae530847774aab4227a3


   これらのファイルは次の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>

------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------