[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: security/2000/20000812.wml - 20000821.wml

郷田です。

かねこさん:

直していただいて、どうもありがとうございました。
最近誤訳連発でどうも申し訳ありません。

security/2000/20000816.wml
security/2000/20000821.wml

の修正版を添付して投稿いたします。

> 0821 ですが
> :以前、GNU/Linux の zope パッケージ 2.1.6-5.1 では修正が発表されました
> :が、そのパッケージではこの問題について十分に発表されておらず、この発表
> :がそれにとって代わっています。
> 
> この address は、「対策する」ということです。平たく言うと、バグが取り切
> れていないということです。
> 
> 0816 は 0902a と同じ問題あり。0812 は OK です。

--
郷田まり子 [Mariko GODA]
東京大学教養学部前期課程理科一類二年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: g040763@xxxxxxxxxxxxxxxxxxxxxx










<define-tag moreinfo>xlockmore/xlockmore-gl のすべてのバージョンに、
フォーマット文字列のバグがあります。Debian GNU/Linux 2.1 (slink) はデ
フォルトでは xlock を setgid でインストールし、これを利用するとシャドー
ファイルを読み込めるようなアクセス権限を手に入れることができるようにな
ります。早急にアップグレードすることをお勧めします。

<p>Debian GNU/Linux 2.2 (potato) では通常、xlockmore は権限を与えられ
ていないプログラムとしてインストールされるので、この設定に対して脆弱で
はありません。xlockmore は、それまでの経緯によって、もしくは以前の 
Debian GNU/Linux のリリースからのアップグレード後に setuid/setgid とな
ります。xlock の権限、およびそれを無効にする方法については、
/usr/doc/xlockmore または /usr/doc/xlockmore-gl の中の README.Debian 
をご参照ください。ローカルな環境で xlock を setgid にしておく必要のあ
る場合、もしくは疑問のある場合には、早急に、修正されたパッケージにアッ
プグレードしてください。

<p>修正されたパッケージは、Debian GNU/Linux 2.1 (slink) 用の
xlockmore/xlockmore-gl 4.12-5 および Debian GNU/Linux 2.2 (potato) 用
の xlockmore/xlockmore-gl 4.15-9.</define-tag> で利用可能となっていま
す。
 
<define-tag description>シャドウファイルが見られる可能性</define-tag>

#use wml::debian::translation-check translation="1.4"

# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20000816.data'



<define-tag moreinfo>2.2.1 より古い Zope のバージョンにおいては、DTML
を編集することのできるユーザが、リクエスト中、認められている以上の役割
に対し、認証されていないアクセスをすることが可能となっています。
以前、GNU/Linux の zope パッケージ 2.1.6-5.1 では修正が発表されました
が、そのパッケージではこの問題について十分に対策がとられておらず、この発表
がそれにとって代わっています。
より詳しい情報は、 <a
href=http://www.zope.org/Products/Zope/Hotfix_2000-08-17/security_alert>http://www.zope.org/Products/Zope/Hotfix_2000-08-17/security_alert</a>
で入手することができます。

<p>Debian GNU/Linux 2.1 (slink) には zope は含まれておらず、脆弱<em>ではありません</em>。
Debian GNU/Linux 2.2 (potato) には zope  が含まれているので、この問題
に対して脆弱<em>です</em>。
Debian GNU/Linux 2.2 (potato) 用の修正されたパッケージは、 zope
2.1.6-5.2 で使用可能です。</define-tag>

<define-tag description>認証されていない権限の拡大 (更新されています)</define-tag>

#use wml::debian::translation-check translation="1.3"

# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20000821.data'