[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
security/2002/dsa-145.wml - dsa-147.wml
- From: Mariko GODA <mgoda@xxxxxxxxxxxxx>
- Subject: security/2002/dsa-145.wml - dsa-147.wml
- Date: Fri, 9 Aug 2002 21:35:28 +0900
- X-dispatcher: imput version 20000228(IM140)
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
- X-ml-name: debian-www
- X-mlserver: fml [fml 3.0pl#17]; post only (only members can post)
- X-spam-level: *****
- X-spam-status: No, hits=5.2 required=10.0 tests=ISO2022JP_BODY,CASHCASHCASH,US_DOLLARS_2,UPPERCASE_25_50, HTTP_CTRL_CHARS_HOST version=2.31
- Message-id: <20020809213755R.mgoda@xxxxxxxxxxxxx>
- X-mail-count: 03555
- X-mailer: Mew version 1.94.2 on Emacs 20.7 / Mule 4.0 (HANANOEN)
郷田です。
標題の訳ができました。
添付にて投稿いたしますので、チェックお願いいたします。
DSA の訳がなんとか追い付きましたので、今週末にでもどこか別のところを
予約しようと思います。
--
郷田まり子 [Mariko GODA]
東京大学工学部建築学科3年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: g040763@xxxxxxxxxxxxxxxxxxxxxx
<define-tag description>クロスサイトスクリプティング</define-tag>
<define-tag moreinfo>
<p>クロスサイトスクリプティングの脆弱性が mailman (メーリングリストの
管理を行うソフトウェア) に発見されました。
特別に細工を施した URL に Internet Explorer (他のブラウザには影響が
ないようです) でアクセスすると、その結果得られるウェブページは実際の
ものと同じになりますが、javascript コンポーネントも同様に実行されて
しまい、攻撃者に、秘匿すべき情報を得ることに悪用されてしまいます。
Debian 2.2 用の新しいバージョンも、セキュリティ関連のパッチを
mailman 2.0.11 からバックポートしたものになっています。
</p>
<p>この問題は、現安定版 (stable)(woody) ではバージョン 2.0.11-1woody2
で、旧安定版 (potato) ではバージョン 1.1-10.1 で、
不安定版 (unstable)(sid) ではバージョン 2.0.12-1 で各々修正されています。
</p>
<p>mailman パッケージを早急にアップグレードすることをお勧めします。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-147.data"
# $Id: dsa-147.wml,v 1.2 2002/08/09 07:59:28 joey Exp $
#use wml::debian::translation-check translation="1.2
<define-tag description>整数オーバーフロー</define-tag>
<define-tag moreinfo>
<p>整数オーバーフローのバグが、dietlibc (サイズを小さくするのに最適化
された libc) の用いている SunRPC 由来のRPC ライブラリに発見されました。
このバグは、このコードをリンクしているソフトウェアに対し、認証を通って
いない root 権限の奪取に悪用可能です。
下記のパッケージは、calloc、fread および fwrite のコードの整数オーバー
フローも修正しています。さらに、これらは脆弱性の原因となるような、悪意
をもった DNS パケットも、より厳密に取り扱うようになっています。</p>
<p>これらの問題は、現安定版 (stable)(woody) ではバージョン 0.12-2.4 で、
不安定版 (unstable)(sid) ではバージョン 0.20-0cvs20020808 で修正
されています。
旧安定版の Debian 2.2 (potato) は、dietlibc パッケージを含まないので、
この問題の影響は受けません。</p>
<p>dietlibc パッケージを早急にアップグレードすることをお勧めします。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-146.data"
# $Id: dsa-146.wml,v 1.2 2002/08/09 07:17:34 joey Exp $
#use wml::debian::translation-check translation="1.2"
<define-tag description>メモリの二重解放</define-tag>
<define-tag moreinfo>
<p>動作の軽い HTTP プロキシである tinyproxy の作者は、ある種の
不正なプロキシリクエストの扱いにおけるバグを発見しました。
ある状況下では、不正なリクエストが、割り当てられたメモリを
二重に解放しようとする場合があります。これは、潜在的に、任意の
コードの実行につながる可能性があります。
</p>
<p>この問題は、現安定版 (stable)(woody) ではバージョン 1.4.3-2woody2 で、
不安定版 (unstable)(sid)ではバージョン 1.4.3-3 では修正されています。
旧安定版 (potato) はこの問題による影響は受けません。</p>
<p>tinyproxy パッケージを早急にアップグレードすることをお勧めします。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-145.data"
# $Id: dsa-145.wml,v 1.1 2002/08/07 17:56:57 joey Exp $
#use wml::debian::translation-check translation="1.1"