[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

security/2002/dsa-139.wml - dsa-141.wml



ごうだです。

標題の訳ができましたので、添付にて投稿いたします。
チェックよろしくお願いします。

--
郷田まり子 [Mariko GODA]
東京大学工学部建築学科3年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: g040763@xxxxxxxxxxxxxxxxxxxxxx
<define-tag description>バッファオーバーフロー</define-tag>
<define-tag moreinfo>
<p>
Eckehard Berns さんにより、MIME (Multipurpose Internet Mail Extensions)
フォーマットのメールメッセージのに含まれるバイナリファイルの (それぞれ
の) デコードに用いる、munpack プログラムにバッファオーバフローの問題が
発見されました。munpack プログラムが、所定形式で悪意を持って作成された
メール (またはニュース記事) に対して実行された場合、このプログラムは
クラッシュし、場合によっては任意のコードを実行させることができる可能性もあります。
</p>

<p>Herbert Xu さんにより、不正に作成されたファイル名により、"../a" の
ように上位ディレクトリのファイルを参照できるという、もう一つの脆弱性が
発見されました。
"../" をつけることのみが可能であること、また新規ファイルの作成のみが
可能であること (ファイルの上書きはできません) により、
セキュリティ上の影響は限られています。
</p>

<p>これらの問題はどちらも、旧安定版 (potato) ではバージョン
1.5-5potato2 で、現安定版 (woody) ではバージョン 1.5-7woody2 で、
そして不安定版 (unstable)(sid) ではバージョン version 1.5-9 で
修正されています。</p>

<p>mpack パッケージを早急にアップグレードすることをお勧めします。
We recommend that you upgrade your mpack package immediately.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-141.data"
# $Id: dsa-141.wml,v 1.2 2002/08/02 10:09:55 danish Exp $
#use wml::debian::translation-check translation="1.2"
<define-tag description>buffer overflow</define-tag>
<define-tag moreinfo>
<p>PNG ライブラリの開発者により、バッファオーバーフローの問題が
修正されました。この問題は、PNG データストリームが
IDHR チャンクに指定されているものよりも大きな IDAT データを含んでいた
場合に、プログレッシブ画像リーダで起こるものです。
このように故意に不正にしたデータストリームは、通常アプリケーションの
クラッシュを起こしますが、攻撃者により悪意をもつコードを実行されてし
まう潜在的な可能性があります。Galeon や Konqueror のなどを含むプログラムが
このライブラリを使用しています。</p>

<p>どのパッケージがこのライブラリに依存しているかを知るには、
以下のコマンドを実行してください:</p>

<pre>
    apt-cache showpkg libpng2
    apt-cache showpkg libpng3
</pre>

<p>この問題は、現在の安定版 (woody) では libpng の
バージョン 1.0.12-3.woody.1 および libpng3 のバージョン 1.2.1-1.1.woody.1 で、
不安定版 (unstable)(sid) では libpng のバージョン 1.0.12-4 
および libpng3 のバージョン 1.2.1-2 で修正されています。<p>

<p>libpng のパッケージを早急にアップグレードし、これらもライブラリに
リンクして外部データを読みこんでいる、ウェブブラウザなどのプログラムやデーモン
を再起動するようお勧めします。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-140.data"
#use wml::debian::translation-check translation="1.3"
<define-tag description>フォーマット文字列の脆弱性</define-tag>
<define-tag moreinfo>
<p>GOBBLES さんにより、super パッケージに、フォーマット文字列の
安全でない使用をする部分が発見されました。
このパッケージに含まれているプログラム super は、プログラム sudo のように、
特定のユーザやプログラムに、システムの特定のユーザへのアクセスを提供す
ることと意図していますが、このフォーマット文字列の脆弱性を突くことで
ローカルのユーザが不正に root 権限を得ることができます。
</p>

<p>この問題は、旧安定版 (stable)(potato) のバージョン 3.12.2-2.1、
および現安定版 (woody) ではバージョン 3.16.1-1.1、そして
不安定版 (unstable)(sid)ではバージョン 3.18.0-3 でそれぞれ
修正されています。</p>

<p>super パッケージを早急にアップグレードすることをお勧めします。</pw>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-139.data"
# $Id: dsa-139.wml,v 1.2 2002/08/01 14:32:24 joey Exp $
#use wml::debian::translation-check translation="1.2"