security/2000/20001219.wml - 20001225.wml

[Mariko GODA <mgoda@xxxxxxxxxxxxx>]

郷田です。

先日お送りした訳をcommitしてくださった方、どうもありがとうございます。
これから2000年のぶんのセキュリティ情報を訳していこうと思います。

security/2000/20001219.wml
security/2000/20001220.wml
security/2000/20001225.wml

の3つをまず翻訳いたしました。添付しておきますので、問題個所などがあり
ましたらご指摘ください。
MLのアーカイブを見ていると、訳文を投稿する際に本文に挿入されている方
と添付されている方がいらっしゃるようですが、チェックや commit がより
しやすいのはどちらの形式なのでしょうか。

----
郷田まり子 [Mariko GODA]
東京大学教養学部前期課程理科一類二年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: g040763@xxxxxxxxxxxxxxxxxxxxxx

#use wml::debian::translation-check translation="1.2"
<define-tag moreinfo>Matt Kraai さんから、dialog がロックファイルを生成する際に起こる問題を発見したという報告がありました。dialog は安全にロックファイルを生成せず、シンボリックリンク攻撃を受けやすくなっていました。

<p>この問題は、バージョン 0.9a-20000118-3bis では解決されています。 </define-tag> 

<define-tag description>安全性のないテンポラリファイル</define-tag>

# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20001225.data'

#use wml::debian::translation-check translation="1.3"
<define-tag moreinfo>Zope チームにとっては忙しい週です。月曜にも、もう一つのセキュリティ警告が出されました。それは、Peter Kelly さんによって発見された潜在的な問題を明らかにするものです。この問題は、イメージやファイルのオブジェクトのデータをアップデートする際の不正な保護の問題を伴います。DTML を編集する権限のあるユーザなら誰でも、ファイルやイメージのオブジェクトデータを直接アップデートできてしまいます。
<p>この問題は、バージョン 2.1.6-5.4 では 2001-12-19 hotfix を含めて修正されています。zope パッケージをただちにアップデートすることをお勧めします。</define-tag>
<define-tag description>不十分な保護</define-tag>

# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20001220.data'


#use wml::debian::translation-check translation="1.3"
<define-tag moreinfo>先週、Zope のセキュリティ勧告が発表されました。これは、Erik Enge さんによって発見された、Zope が役割を適用するときの問題を示すものです。いくつかの場合に、Zope は間違ったフォルダ階層をチェックしていました。それによって、そのフォルダには、そうすべきでない場合にもローカルでの役割が認められてしまいます。言い方を変えれば、一つのフォルダで権限を持ったユーザが、他のフォルダでも権限を得ることができるということです。
<p>
この問題は、バージョン 2.1.6-5.3 では hotfix2.1.6-5.3 を含めて修正されています。ただちに zope パッケージをアップデートすることをお勧めします。
</define-tag>
<define-tag description>権限の拡大</define-tag>

# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20001219.data'