[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

security/2000/20000830.wml & 20000830a.wml



郷田です。

security/2000/20000830.wml
security/2000/20000830a.wml

の訳ができましたので、添付にて投稿いたします。
へんなところなどがありましたら、直してください。

20000901.wml は降参とさせていただきます。実力不足で申し訳ありません。

--
郷田まり子 [Mariko GODA]
東京大学教養学部前期課程理科一類二年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: g040763@xxxxxxxxxxxxxxxxxxxxxx
<define-tag moreinfo>Debian GNU/Linux 2.2 とともに配布された X-Chat の
バージョンには、URL を扱うコードに脆弱性がありました。ユーザが URL を
クリックすると、X-Chat はそのターゲットを閲覧するために netscape を立
ち上げようとします。しかし、URL にシェル文字が含まれているかを確認して
おらず、このことを悪用すると xchat に任意のコマンドを実行させることが
できてしまいます。

<P>この問題は、バージョン 1.4.3-0.1 では修正されています。xchat パッケー
ジを早急にアップグレードすることをお勧めします。</P>

<P>アップデート: このセキュリティ勧告での最初のリリースで言及されてい
た powerpc 用パッケージは、Debian GNU/Linux 2.2 では利用できない libgtk 
のバージョンとリンクされていました。このパッケージは、正しいバージョン
を用いて再コンパイルされ、再度アップロードされています。</P>

</define-tag>
<define-tag description>URL を通じたコマンド実行の脆弱性</define-tag>

#use wml::debian::translation-check translation="1.5"

# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20000830a.data'





<define-tag moreinfo>
8 月 5 日にリリースされた ntop (1.2a7-10) の修正されたバージョンが、ま
だ安全でないことがわかりました。まだ不正利用可能なバッファオーバーフロー
があったのです。これを利用すると、ウェブモードで ntop を実行しているユー
ザとして任意のコードを実行することが可能です。

<P>この問題を恒久的に修正するために、ウェブモードを完全に使用不可とす
るようアップデートされたバージョンがリリースされました。この修正のなさ
れたバージョンは、1.2a7-11 です。</P>
<P>ntop パッケージを早急にアップデートすることをお勧めします。</P>
</define-tag>
<define-tag description>いまだ利用可能なバッファオーバーフロー</define-tag>

#use wml::debian::translation-check translation="1.4"

# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20000830.data'