[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:54390] [Translate] [SECURITY] [DSA 2088-1] New wget packages fix potential code execution
かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。
------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-2088-1 security@debian.org
http://www.debian.org/security/ Florian Weimer
August 05, 2010 http://www.debian.org/security/faq
- ------------------------------------------------------------------------
Package : wget
Vulnerability : 入力のサニタイズ漏れ
Problem type : ローカル (リモート)
Debian-specific: いいえ
CVE Id(s) : CVE-2010-2252
Debian Bug : 590296
WWW からファイルをダウンロードするためのコマンドラインツール wget
が、ローカルでのファイルの作成の際にサーバの提供したファイル名をそ
のまま使っていることが発見されました。特定条件下で、この欠陥により
コードの実行が可能です。
この更新後は、wget はサーバの提供したファイル名を無視するようになり
ます。これがまずく、昔の動作を望む場合は wget を
--use-server-file-name オプション付きで起動してください。
安定版 (stable) ディストリビューション (lenny) では、この問題はバー
ジョン 1.11.4-2+lenny2 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題は近
く修正予定です。 .
直ぐに wget パッケージをアップグレードすることを勧めます。
アップグレード手順
------------------
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、
apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 5.0 alias lenny
- --------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4.orig.tar.gz
Size/MD5 checksum: 1475149 69e8a7296c0e12c53bd9ffd786462e87
http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2.dsc
Size/MD5 checksum: 1351 165ddfab21bec6a90621d3c862e3a640
http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2.diff.gz
Size/MD5 checksum: 20038 b4ff0dd5aca4325cd6bb810c80a10ac2
alpha architecture (DEC Alpha)
http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_alpha.deb
Size/MD5 checksum: 632918 a911f943d3117fe874fc0d1ccdfcabcc
amd64 architecture (AMD x86_64 (AMD64))
http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_amd64.deb
Size/MD5 checksum: 615714 ced5fb50f5c1f852dab3499a7e789591
arm architecture (ARM)
http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_arm.deb
Size/MD5 checksum: 605770 a2e1770f81364d506e32273b6664b532
armel architecture (ARM EABI)
http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_armel.deb
Size/MD5 checksum: 609656 647e20606aad2f1b91dcae2fcf16c7a6
hppa architecture (HP PA RISC)
http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_hppa.deb
Size/MD5 checksum: 621172 8b62a1a3bf2283f944c94536566153d2
i386 architecture (Intel ia32)
http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_i386.deb
Size/MD5 checksum: 608094 1c10b6d3382359ca474bea2a11668e51
ia64 architecture (Intel ia64)
http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_ia64.deb
Size/MD5 checksum: 678432 c63753107b2ae8a71dc30ba47f3cd060
mips architecture (MIPS (Big Endian))
http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_mips.deb
Size/MD5 checksum: 622254 4e14e455793e56095104c061ff4c61c7
mipsel architecture (MIPS (Little Endian))
http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_mipsel.deb
Size/MD5 checksum: 621242 efb101ae6b9c40aa77cbf949743d6e32
powerpc architecture (PowerPC)
http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_powerpc.deb
Size/MD5 checksum: 624122 a85d5fe77b024aa5a3075c3134ea36d4
s390 architecture (IBM S/390)
http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_s390.deb
Size/MD5 checksum: 622754 a25ebc6b2dedae98ebaf4b0870002c44
sparc architecture (Sun SPARC/UltraSPARC)
http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_sparc.deb
Size/MD5 checksum: 611542 191b61e5edca722a54f7e19728346f94
これらのファイルは次の版の安定版リリース時そちらに移されます。
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------