[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:48554] [Translate] [SECURITY] [DSA 1287-1] New ldap-account-manager packages fix multiple vulnerabilities

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1287-1                security@debian.org
http://www.debian.org/security/                         Noah Meyerhans
May 07, 2007
- ------------------------------------------------------------------------

Package        : ldap-account-manager (0.4.9-2sarge1)
Vulnerability  : 複数
Problem type   : リモート
Debian-specific: いいえ
CVE Id(s)      : CVE-2006-7191 CVE-2007-1840
Debian Bug     : 415379

Debian 3.1 に収録された版の ldap-account-manager に二つの欠陥が発見され
ました。

CVE-2006-7191
   信頼できない PATH 関数を用いるという欠陥が存在するため、ローカルの攻
   撃者が悪意を持った rm という名の実行ファイルを用意し、それを PATH 変
   数を用いて参照することで、昇格した権限で任意のコードが実行可能です。

CVE-2007-1840
   HTML コンテンツに対して不適切なエスケープ処理を行っているため、攻撃者
   がクロスサイトスクリプティング攻撃 (XSS) を用いて、対象となるウェブサ
   イトのセキュリティコンテキストのもとで、被害者のブラウザで任意のコー
   ドの実行が可能です。

旧安定版 (oldstable) ディストリビューション (sarge) では、これらの問題は
バージョン 0.4.9-2sarge1 で修正されています。それ以降の版の Debian (etch,
lenny, および sid) にはこの欠陥はありません。

直ぐに ldap-account-manager パッケージをアップグレードすることを勧めます。

アップグレード手順
------------------

wget url
        	でファイルを取得できます。
dpkg -i file.deb
                で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian 3.1 (oldstable)
- ----------------------

Oldstable updates are available for alpha, amd64, arm, hppa, i386, ia64, m68k, mips,
mipsel, powerpc, s390 and sparc.

ソースアーカイブ:


http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1.dsc
    Size/MD5 checksum:      629 e35751aee6f3d2658caa7f7e605b7c69

http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1.diff.gz
    Size/MD5 checksum:    12059 4c853e7304c431d7da29e8988bafff7a

http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9.orig.tar.gz
    Size/MD5 checksum:   423988 6478d91210dbf13c9d49b7aa1a971be1

Architecture independent packages:


http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1_all.deb
    Size/MD5 checksum:   408360 47e7959aedbc6f62a3c266708d8208a8


  これらのファイルは次の版の安定版リリース時そちらに移されます。


- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------