[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

security/2000/20000812.wml - 20000821.wml

郷田です。

security/2000/20000812.wml
security/2000/20000816.wml
security/2000/20000821.wml

が訳せましたので、添付にて投稿いたします。

これで、security/2000/ は一応終わりです。
残してしまったのは、give up です。どうもすみません。

引き続き、かねこさんが ML に投稿なさったものをベースにして
最新のセキュリティ情報を今週中に訳そうと思います。

--
郷田まり子 [Mariko GODA]
東京大学教養学部前期課程理科一類二年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: g040763@xxxxxxxxxxxxxxxxxxxxxx

<define-tag moreinfo>2.2.1 より古い Zope のバージョンにおいては、DTML
を編集することのできるユーザが、リクエスト中、認められている以上の役割
に対し、認証されていないアクセスをすることが可能となっています。
以前、GNU/Linux の zope パッケージ 2.1.6-5.1 では修正が発表されました
が、そのパッケージではこの問題について十分に発表されておらず、この発表
がそれにとって代わっています。
より詳しい情報は、 <a
href=http://www.zope.org/Products/Zope/Hotfix_2000-08-17/security_alert>http://www.zope.org/Products/Zope/Hotfix_2000-08-17/security_alert</a>
で入手することができます。

<p>Debian GNU/Linux 2.1 (slink) には zope は含まれておらず、脆弱<em>ではありません</em>。
Debian GNU/Linux 2.2 (potato) には zope  が含まれているので、この問題
に対して脆弱<em>です</em>。
Debian GNU/Linux 2.2 (potato) 用の修正されたパッケージは、 zope
2.1.6-5.2 で使用可能です。</define-tag>

<define-tag description>認証されていない権限の拡大 (更新されています)</define-tag>

#use wml::debian::translation-check translation="1.3"

# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20000821.data'

<define-tag moreinfo>xlockmore/xlockmore-gl のすべてのバージョンに、
フォーマット文字列のバグがあります。Debian GNU/Linux 2.1 (slink) はデ
フォルトで xlock setgid をインストールし、これを利用するとシャドーファ
イルを読み込めるようなアクセス権限を手に入れることができるようになりま
す。早急にアップグレードすることをお勧めします。

<p>Debian GNU/Linux 2.2 (potato) では通常、xlockmore は権限を与えられ
ていないプログラムとしてインストールされるので、この設定に対して脆弱で
はありません。xlockmore は、それまでの経緯によって、もしくは以前の 
Debian GNU/Linux のリリースからのアップグレード後に setuid/setgid とな
ります。xlock の権限、およびそれを無効にする方法については、
/usr/doc/xlockmore または /usr/doc/xlockmore-gl の中の README.Debian 
をご参照ください。ローカルな環境で xlock を setgid にしておく必要のあ
る場合、もしくは疑問のある場合には、早急に、修正されたパッケージにアッ
プグレードしてください。

<p>修正されたパッケージは、Debian GNU/Linux 2.1 (slink) 用の
xlockmore/xlockmore-gl 4.12-5 および Debian GNU/Linux 2.2 (potato) 用
の xlockmore/xlockmore-gl 4.15-9.</define-tag> で利用可能となっていま
す。
 
<define-tag description>シャドウファイルが見られる可能性</define-tag>

#use wml::debian::translation-check translation="1.4"

# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20000816.data'



<define-tag moreinfo>2.2beta1 より古いバージョンの Zope では、DTML を
編集することのできるユーザが、リクエスト中、認められている以上の役割に
対し、認証されていないアクセスをすることが可能となっています。

<p>注記: この報告は、<a href=20000821>更新</a>されています。
</define-tag>
<define-tag description>認証されていない権限の拡大</define-tag>

#use wml::debian::translation-check translation="1.3"

# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20000812.data'