[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:55155] [Translate] [SECURITY] [DSA 2215-1] gitolite security update



かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- -------------------------------------------------------------------------
Debian Security Advisory DSA-2215-1                   security@debian.org
http://www.debian.org/security/                                Nico Golde
April 9, 2011                          http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package        : gitolite
Vulnerability  : ディレクトリトラバーサル
Problem type   : リモート
Debian-specific: いいえ
CVE ID         : 未採番

Dylan Simon さんにより、SSH ベースの git リポジトリへのゲートキーパー
gitolite に、管理者定義コマンド (ADC) 実行の際にディレクトリトラバーサ
ルを許す欠陥が発見されました。この欠陥により、攻撃者が細工したコマンド
名を用いて gitolite サーバ権限で任意のコマンドを実行可能です。

但し、この問題は ADC を有効にしている環境でのみ影響があります。これは
Debian での標準設定ではありません。

旧安定版 (lenny) には、gitolite は含まれずこの問題の影響はありません。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー
ジョン 1.5.4-2+squeeze1 で修正されています。

テスト版ディストリビューション (wheezy) では、この問題はバージョン
1.5.7-2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー
ジョン 1.5.7-2 で修正されています。


直ぐに gitolite パッケージをアップグレードすることを勧めます。

Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。

Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------