[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
security/2000/20001225a.wml - 20001225b.wml
少し前に自己紹介した野上です。
作業状況を確認の上、
security/2000/20001225a.wml
security/2000/20001225b.wml
を翻訳してみたので本文張り付けで投稿します。
#test/plainで添付できなかったので、、、
初めてですのでちゃんと翻訳できているか心配ですが、、、
よろしくおねがいします。
--
野上大介 me@xxxxxxxx / http://www.garmy.jp/
東京大学教養学部広域科学科・情報教育棟相談員
----security/2000/20001225a.wml----
<define-tag moreinfo>Lez さんから、他のネットワークデーモンに汎用の SSL トンネルを作るツールである stunnel に、文字のフォーマットに関する問題が発見されたと報告がありました。 Brian Hatch はすでに、複数のセキュリティ問題の修正を行う新しいリリースを準備中であると返答しました。
<ol>
<li>PRNG (疑似乱数発生) は、正しく乱数を発生しません。これは、 Linux のような、
安全な乱数生成関数を持っていないオペレーティングシステムに影響します。
<li>Pid (Process ID) ファイルは安全に生成されないために、 stunnel はシンボリ
ックリンク攻撃を受けやすくなります。
<li>安全でない syslog() 関数呼び出しがあります。これは、ユーザが記録された文
字列に文字列を挿入できるようにしたときに利用されうるものです。Lez によって、偽造された identd のレスポンスを利用してこのバグを利用する方法
が示されています。
</ol>
<p>これらの問題はバージョン 3.10-0potato1 では解決されています。</define-tag>
<define-tag description>安全でないファイル操作, 文字フォーマットに関するバグ</define-tag>
#use wml::debian::translation-check translation="1.2"
# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20001225a.data'
----security/2000/20001225b.wml----
<define-tag moreinfo>現在二つのバグが GnuPG に発見されています:
<ol>
<li>分離された署名の正当性を確認するときに誤って正当であると示す
<p>gpg が分離された署名の正当性を確認するときに、誤って正当であると示す方法があります。それは、分離された署名が以下のようなコマンドで確認されるときです: <code>gpg --verify detached.sig < mydata</code>
<p>もし、誰かが detached.sig を署名された文章 (分離された署名ではなく) に置き換えると、 mydata が変更されても、 gpg は置き換え前と同様に署名の確認が成功したと報告します。
<p>この問題を修正するために、 --verify オプションがどのように働くかが変更されました: 現在では分離された署名を確認するのに 2 つのオプションが必要です: 片方は分離された署名ファイルで、もう 1 つは確認されるデータが入ったファイルです。この変更が過去のバージョンとの互換性を失わせることに注意してください。
<li>秘密鍵が報告無しに取り込まれる
<p>Florian Weimer が、 gpg が秘密鍵を鍵サーバから取り込む可能性があることを発見
しました。 gpg が、公開鍵を既知の信用されている秘密鍵と符合すると判断すると、
攻撃者は Web 認証を回避することができます。
<p>この問題を修正するために、 gpg に秘密鍵を取り込むことを許可する新しいオプシ
ョン --allow-key-import が追加されました。
</ol></define-tag>
<define-tag description>分離した署名に関するバグ、 Web 認証の回避</define-tag>
#use wml::debian::translation-check translation="1.3"
# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20001225b.data'