[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Translate]security/2002/dsa-158.wml & dsa-159.wml



郷田です。

標題どおりの、DSA の wml 版の訳ができました。
添付にて投稿させていただきます。

--
郷田まり子 [Mariko GODA]
東京大学工学部建築学科3年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: g040763@xxxxxxxxxxxxxxxxxxxxxx
<define-tag description>安全でない一時ファイル</define-tag>
<define-tag moreinfo>
<p>Zack Weinberg さんにより、os.py からの os._execvpe で安全でない一時
ファイルの扱いがあることが発見されました。
予測可能なファイル名が使用されており、それによって任意のコードが実行できて
しまいます。
</p>

<p>この問題は、Python の各バージョンで修正されています:
現安定版 (stable) (woody) では、Python 1.5 に対してはバージョン 1.5.2-23.1 で、
Python 2.1 に対してはバージョン 2.1.3-3.1 で、
Python 2.2 に対してはバージョン 2.2.1-4.1 で各々修正されています。
旧安定版 (potato) では、Python 1.5 に対してはバージョン
1.5.2-10potato12 で修正されています。
また、不安定版 (unstable)(sid) では、Python 1.5 に対してはバージョン
1.5.2-24で、Python 2.1 に対してはバージョン 2.1.3-6a で、
Python 2.2 に対してはバージョン 2.2.1-8 で各々修正されています。
Python 2.3 は、この問題の影響は受けません。
</p>

<p>Python パッケージを早急にアップグレードすることをお勧めします。</p>
</define-tag>

#use wml::debian::translation-check translation="1.1"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-159.data"
<define-tag description>任意のプログラムの実行</define-tag>
<define-tag moreinfo>
<p>Gaim (複数のネットワークを繋げて使用できるインスタントメッセンジャ)
の開発者が、ハイパーリンクを処理するコードに脆弱性を発見しました。
'Manual' ブラウザコマンドは、信用できない文字列を、エスケープしたり
信頼できる引用符での囲み処理を行ったりすることなくシェルに渡すように
なっているため、攻撃者がユーザのマシン上で任意のコマンドを実行できます。
残念ながら、Gaim はユーザがクリックするまでハイーパーリンクである
ことを表示しません。他の組み込みブラウザコマンドを使うユーザには、
この脆弱性はありません。
</p>

<p>この問題は、現安定版 (stable) (woody) ではバージョン 0.58-2.2 で、
不安定版 (unstable) (sid) ではバージョン 0.59.1-2 で各々
修正されています。
旧安定版 (potato) は、Gaim プログラムを収録していないため、
この問題の影響は受けません。
</p>

<p>
修正されたバージョンの Gaim は、ユーザのマニュアルブラウザコマンドを
渡さないようになりました。引用符中に "%" を含むコマンドは、引用符を
含まないように修正する必要があります。
'Manual' ブラウザコマンドは、'Preferences' ダイアログの 'General' 
ペインの中で編集できます。これは、ログインウインドウで 'Options'
をクリックすることによって、また、buddy list ウインドウのメニューバー
内の 'Tools' から 'Preference' を辿ることでアクセス可能です。
</p>

<p>早急に gaim パッケージをアップグレードすることをお勧めします。</p>
</define-tag>

#use wml::debian::translation-check translation="1.1"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-158.data"