security/2000/20000910.wml - 20000911.wml

[Mariko GODA <mgoda@xxxxxxxxxxxxx>]

郷田です。

security/2000/20000910.wlm
security/2000/20000910a.wml
security/2000/20000911.wml

が翻訳できましたので、投稿いたします。
へんなところがあったら、御指摘よろしくおねがいいたします。

--
郷田まり子 [Mariko GODA]
東京大学教養学部前期課程理科一類二年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: g040763@xxxxxxxxxxxxxxxxxxxxxx

<define-tag moreinfo>libpam-smb には、ルート権限で任意のコマンドを実行
するのに利用されうるバッファオーバーフローの問題があります。libpam-smb
は、Debian 2.1 (slink) に含まれていませんが、Debian 2.2 (potato) には
含まれています。

<p>修正された libpam-smb のバージョンは、Debian 2.2 (potato) 用のバー
ジョン 1.1.6-1 で使用可能となっています。早急に libpam-smb パッケージ
をアップデートすることをお勧めします。
<define-tag description>リモートからの root 権限の不正使用</define-tag>

#use wml::debian::translation-check translation="1.2"

# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20000911.data'

<define-tag moreinfo>Debian GNU/Linux 2.2 で配布された xpdf には、二つ
の問題がありました。
<ol>
<li>テンポラリファイルの生成が安全に行われず、そのために xpdf はシンボ
リックリンク攻撃に対して脆弱になっていました。
<li>書類に含まれる URL を扱う際、ブラウザを起動する前にシェルのメタキャ
ラクタの確認が行われていませんでした。この問題のため、ユーザが URL を
閲覧する際に xpdf に任意のコマンドを実行させるような書類を作成すること
が可能となっていました。
</ol>
これら二つの問題は、バージョン 0.90-7 では修正されています。xpdf パッ
ケージを早急にアップデートすることをお勧めします。
</define-tag>
<define-tag description>ローカルからの攻撃</define-tag>

#use wml::debian::translation-check translation="1.2"

# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20000910a.data'



<define-tag moreinfo>Debian GNU/Linux 2.2 で配布された imp は、ユーザ
から与えられたデータを適切にチェックしないという問題の影響を受けていま
した。
IMP ウェブメールインターフェイスは、送信者のアドレスを含む $from 変数
の中にシェルのメタキャラクタが含まれているかを確認していませんでした。
この問題を利用して、imp を動かしているサーバ上で任意のコマンドを実行す
ることができます。

<p>この問題を修正するために、horde (imp の使用するライブラリ) は $from
の問題をなくすように修正され、imp はユーザからの入力の確認を強化するよ
うにパッチをあてられています。アップデートされたバージョンは、horde
1.2.1-0 と imp 2.2.1-0 です。これらのパッケージを早急にアップデートす
るよう、強くお勧めします。

<define-tag description>リモートからの攻撃</define-tag>

#use wml::debian::translation-check translation="1.4"

# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20000910.data'