[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:50856] [Translate] [SECURITY] [DSA 1629-2] New postfix packages fix installability problem on i386

From: Seiji Kaneko <skaneko@xxxxxxxxxxxx>
Subject: [debian-users:50856] [Translate] [SECURITY] [DSA 1629-2] New postfix packages fix installability problem on i386
Date: Sat, 23 Aug 2008 00:05:34 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-2.4 required=10.0 tests=KI autolearn=disabled version=3.1.7-deb
Message-id: <48AED5B9.1020107@xxxxxxxxxxxx>
X-mail-count: 50856
User-agent: Thunderbird 2.0.0.16 (Macintosh/20080707)

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1629-2                  security@debian.org
http://www.debian.org/security/                          Thijs Kinkhorst
August 19, 2008                       http://www.debian.org/security/faq
- ------------------------------------------------------------------------

Package        : postfix
Vulnerability  : プログラムミス
Problem type   : ローカル
Debian-specific: いいえ
CVE Id(s)      : CVE-2008-2936

バージョン番号付けの問題のため、DSA-1629 の Postfix の更新が i386
アーキテクチャ (Intel ia32) でインストールできなくなっていました。
この更新ではバージョン番号を上げ、i386 でもインストールできるよう
にしています。念のため元の勧告を再掲します。

Sebastian Krahmer は、メール転送エージェント postfix によるメール
ボックスの所有権のチェックが正しく行われていないこと発見しました。
これによって、設定によっては、root として任意のファイルにデータの
追加を行えてしまいます。

Debian のデフォルト設定でインストールされた postfix は、この影響を
受けません。以下の条件にすべてに適合するような設定が脆弱性を持つこ
とになります。

 * メール配送形式が mailbox で、postfix ビルトインの配送エージェント
   である local(8) または virtual(8) を使っている場合。
 * メールスプールディレクトリがユーザによって書き込み可能な場合。
 * ルートが所有しているシンボリックリンクに対して、一般ユーザが
   他のディレクトリからハードリンクを張れるような場合。

この問題の扱いに関する詳細は、上流の作者による以下のアナウンスを
参照してください:
http://article.gmane.org/gmane.mail.postfix.announce/110

安定版 (stable) ディストリビューション (etch) では、この問題は
バージョン 2.3.8-2+etch1 で修正されています。

テスト版 (testing) ディストリビューション (lenny) では、この問題は
バージョン  2.5.2-2lenny1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題は
バージョン 2.5.4-1 で修正されています。

直ぐに postfix パッケージをアップグレードすることを勧めます。


アップグレード手順
------------------

wget url
        	でファイルを取得できます。
dpkg -i file.deb
                で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 4.0 alias etch
- -------------------------------

ソースアーカイブ:

  http://security.debian.org/pool/updates/main/p/postfix/postfix_2.3.8-2+etch1.diff.gz
    Size/MD5 checksum:   187783 06817c1a9ac78db520c4a9856e1f606f
  http://security.debian.org/pool/updates/main/p/postfix/postfix_2.3.8.orig.tar.gz
    Size/MD5 checksum:  2787761 a6c560657788fc7a5444fa9ea32f5513
  http://security.debian.org/pool/updates/main/p/postfix/postfix_2.3.8-2+etch1.dsc
    Size/MD5 checksum:     1201 67cfbe6d62f54b03248610decf23430c

アーキテクチャに依存しないパッケージ:


http://security.debian.org/pool/updates/main/p/postfix/postfix-doc_2.3.8-2+etch1_all.deb
    Size/MD5 checksum:   784924 be2dfaabc9e4346fb211be9383c6b7b0

http://security.debian.org/pool/updates/main/p/postfix/postfix-dev_2.3.8-2+etch1_all.deb
    Size/MD5 checksum:   130964 ee83b6a25f458aa3fe785202db29763c

amd64 architecture (AMD x86_64 (AMD64))


http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_2.3.8-2+etch1_amd64.deb
    Size/MD5 checksum:    38398 7a1047488b79e2e02f624d11014eeecf

http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_2.3.8-2+etch1_amd64.deb
    Size/MD5 checksum:    38426 a016eeaf7033d0ac5eb07b999f2e6af7

http://security.debian.org/pool/updates/main/p/postfix/postfix-cdb_2.3.8-2+etch1_amd64.deb
    Size/MD5 checksum:    36466 e0e5537af489daac95e2d74fdee07a6e
  http://security.debian.org/pool/updates/main/p/postfix/postfix_2.3.8-2+etch1_amd64.deb
    Size/MD5 checksum:  1148900 f631d16e8027a78c47ac6ab2c6503e56

http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_2.3.8-2+etch1_amd64.deb
    Size/MD5 checksum:    43348 1daae02f16464e366f2386e4b82de1d9

http://security.debian.org/pool/updates/main/p/postfix/postfix-pgsql_2.3.8-2+etch1_amd64.deb
    Size/MD5 checksum:    38532 63a6da1adb632be43c7118e48ef6f5a6

hppa architecture (HP PA RISC)


http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_2.3.8-2+etch1_hppa.deb
    Size/MD5 checksum:    45392 6d5ac13f7d0cd38c4568f5dce3b2de18

http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_2.3.8-2+etch1_hppa.deb
    Size/MD5 checksum:    39720 89ed20f277270f74b7b6f7e92bb5b2b1

http://security.debian.org/pool/updates/main/p/postfix/postfix-pgsql_2.3.8-2+etch1_hppa.deb
    Size/MD5 checksum:    40194 8635fee29c0e8b661ea8cbd3bf6093e9
  http://security.debian.org/pool/updates/main/p/postfix/postfix_2.3.8-2+etch1_hppa.deb
    Size/MD5 checksum:  1174188 fee76ba8167cdffacd22445eca7396b2

http://security.debian.org/pool/updates/main/p/postfix/postfix-cdb_2.3.8-2+etch1_hppa.deb
    Size/MD5 checksum:    37600 c3cddbeefe87b66277dccd6e2bd52f64

http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_2.3.8-2+etch1_hppa.deb
    Size/MD5 checksum:    39922 572e0d5c09d39a34373d8340c2326b2b

i386 architecture (Intel ia32)

  http://security.debian.org/pool/updates/main/p/postfix/postfix_2.3.8-2+etch1_i386.deb
    Size/MD5 checksum:  1090008 e38c0784774c29bb313b8b7d77719782

http://security.debian.org/pool/updates/main/p/postfix/postfix-cdb_2.3.8-2+etch1_i386.deb
    Size/MD5 checksum:    36596 88af7c1ebb9d6ef8ff1ae1fe82892ca5

http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_2.3.8-2+etch1_i386.deb
    Size/MD5 checksum:    38456 3fd5eb9b366ff22b4a8c46b621a216df

http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_2.3.8-2+etch1_i386.deb
    Size/MD5 checksum:    38772 049c34f8a10e283505978c6be7255a7b

http://security.debian.org/pool/updates/main/p/postfix/postfix-pgsql_2.3.8-2+etch1_i386.deb
    Size/MD5 checksum:    38864 440cb71e2a26168a938896ff2af1adc2

http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_2.3.8-2+etch1_i386.deb
    Size/MD5 checksum:    43250 f5432050f81caf7e58f52cb48c22e7e1

ia64 architecture (Intel ia64)


http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_2.3.8-2+etch1_ia64.deb
    Size/MD5 checksum:    47956 915c2fab14248e142187e5a613f274c9

http://security.debian.org/pool/updates/main/p/postfix/postfix-cdb_2.3.8-2+etch1_ia64.deb
    Size/MD5 checksum:    38050 4b9c7bda45177283e157153d43633e43

http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_2.3.8-2+etch1_ia64.deb
    Size/MD5 checksum:    40858 0cdb4f975d9a630f8df58c9cf124fbd1

http://security.debian.org/pool/updates/main/p/postfix/postfix-pgsql_2.3.8-2+etch1_ia64.deb
    Size/MD5 checksum:    41164 f0a564de59c461d0e0b667848a18a3f5

http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_2.3.8-2+etch1_ia64.deb
    Size/MD5 checksum:    40856 3e9ad3317bf31270eaa686f84f7fb8bb
  http://security.debian.org/pool/updates/main/p/postfix/postfix_2.3.8-2+etch1_ia64.deb
    Size/MD5 checksum:  1439632 c341d7a699bbe6b13dc560e6f5b4cbbd

powerpc architecture (PowerPC)


http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_2.3.8-2+etch1_powerpc.deb
    Size/MD5 checksum:    44290 4c9c2a9c614643bfe983d13b6423d423

http://security.debian.org/pool/updates/main/p/postfix/postfix-pgsql_2.3.8-2+etch1_powerpc.deb
    Size/MD5 checksum:    40060 4804a7f44b861b6dbeb1a7294709c5ed

http://security.debian.org/pool/updates/main/p/postfix/postfix-cdb_2.3.8-2+etch1_powerpc.deb
    Size/MD5 checksum:    37822 11ba1ae93492801dc9de16b6130288d1

http://security.debian.org/pool/updates/main/p/postfix/postfix_2.3.8-2+etch1_powerpc.deb
    Size/MD5 checksum:  1167796 7a24c4ea8588e62178a5d2a1c4817f85

http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_2.3.8-2+etch1_powerpc.deb
    Size/MD5 checksum:    39902 363e664c54605ee838c6cf0c8fd9f790

http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_2.3.8-2+etch1_powerpc.deb
    Size/MD5 checksum:    39758 a33b97afba4cfe193884cdf4a3543e03

s390 architecture (IBM S/390)


http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_2.3.8-2+etch1_s390.deb
    Size/MD5 checksum:    43392 1318549e29ce2585850562abb98b07f7

http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_2.3.8-2+etch1_s390.deb
    Size/MD5 checksum:    38836 a76263d1e6715aa1294307bf581b6424

http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_2.3.8-2+etch1_s390.deb
    Size/MD5 checksum:    38454 00b3e98eb57590201dfe4d8775ce298b

http://security.debian.org/pool/updates/main/p/postfix/postfix-pgsql_2.3.8-2+etch1_s390.deb
    Size/MD5 checksum:    39010 2d3a02a0e7c7a8ddbe9d0619fe4f8c7d

http://security.debian.org/pool/updates/main/p/postfix/postfix-cdb_2.3.8-2+etch1_s390.deb
    Size/MD5 checksum:    36654 82b473e570eff711781cc384e86636e2
  http://security.debian.org/pool/updates/main/p/postfix/postfix_2.3.8-2+etch1_s390.deb
    Size/MD5 checksum:  1154442 64bf33d9dc4f14badb1c6397a74713f4


  これらのファイルは次の版の安定版リリース時そちらに移されます。


- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------

Prev by Date: [debian-users:50855] [Translate] [SECURITY] [DSA 1630-1] New Linux 2.6.18 packages fix several vulnerabilities
Next by Date: [debian-users:50857] [Translate] [SECURITY] [DSA 1631-1] New libxml2 packages fix denial of service
Previous by thread: [debian-users:50855] [Translate] [SECURITY] [DSA 1630-1] New Linux 2.6.18 packages fix several vulnerabilities
Next by thread: [debian-users:50857] [Translate] [SECURITY] [DSA 1631-1] New libxml2 packages fix denial of service
Index(es):
- Date
- Thread