[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

security/2001/dsa-070.wml & dsa-071.wml



郷田です。

久保田樣、commitどうもありがとうございます。
昨日にひきつづき、

security/2001/dsa-070.wml
security/2001/dsa-071.wml

の訳を投稿いたします。
セキュリティ情報の発表直後にかねこさんがUsers ML に投稿なさった訳

http://www.debian.or.jp/Lists-Archives/debian-users/200108/msg00118.html
http://www.debian.or.jp/Lists-Archives/debian-users/200108/msg00115.html

および過去のセキュリティ情報の訳などを参考にさせていただきました。
おかしな点などありましたらご指摘お願いいたします。

ご迷惑でなければ、まとまった時間のとれる今週から来月にかけて、2001年
の最新情報ら遡る形でセキュリティ情報の訳をしてゆこうかと思います。

--------------------------
security/2001/dsa-070.wml
--------------------------
#use wml::debian::translation-check translation="1.4" 
<define-tag description>リモートからの攻撃</define-tag>
<define-tag moreinfo>

Debian GNU/Linux の「安定版」(2.2, potato) で配布された
<code>telnetd</code> パッケージのバージョン 0.16-4potato1 に含まれる 
netkit-telnet デーモンには、出力を取り扱う際にオーバーフローを起こす危
険性があります。

<p> このバグはもともと &lt;scut@xxxxxxxxxxxxxxx&gt; さんによって発見さ
れ、2001年7月18日の bugtraq で報告されました。その時点では、
netkit-telnet のバージョン 0.14 以降に危険性はないと考えられていました。

<p> 2001年8月10日には、zen-parse さんが、バージョン 0.17 以前の 
netkit-telnet にすべて同様の問題があるという勧告を投稿しています。

<p> より詳しい情報は、<a href="http://www.securityfocus.com/archive/1/203000";>http://www.securityfocus.com/archive/1/203000</a> 
にあります。<code>in.telnetd</code> を動かす際に Debian は 'telnetd' 
ユーザを使うため、Debian のシステムの root 権限を遠隔から奪われること
はありませんが、ユーザ 'telnetd' が危険にさらされるおそれがあります。

<p> ただちに <code>telnetd</a> パッケージを下記のリストにあるバージョ
ンにアップデートすることを強くお勧めします。

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-070.data"


--------------------------
security/2001/dsa-071.wml
--------------------------
#use wml::debian::translation-check translation="1.4"
<define-tag description>メモリの破壊</define-tag>
<define-tag moreinfo>

Salvatore Sanfilippo さんによって、セキュリティの検証の際に
<code>fetchmail</code> で遠隔から引き起こされる二つの問題が発見されま
した。IMAP および POP3 のコードにおいて、入力を確認せずに配列に数値が
格納されます。この際配列の要素数の上限がチェックされないため、攻撃者に
よってメモリに任意のデータを書き込まれてしまう可能性があります。攻撃者
は、自分で特別に制御している IMAP または POP3 サーバからメールをユー
ザに転送させることができた場合に、こうした攻撃を仕掛けることができてし
まいます。

<p> この問題は、バージョン 5.3.3-3 では修正されています。ただちに
<code>fetchmail</code> のパッケージをアップデートすることをお勧めしま
す。

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-071.data"

----

以上です。

----
郷田まり子 [Mariko GODA]
東京大学教養学部前期過程理科一類二年
Private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: g040763@xxxxxxxxxxxxxxxxxxxxxx