[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Translate]security/2003/dsa-253.wml - 254.wml

From: Mariko GODA <mgoda@xxxxxxxxxxxxx>
Subject: [Translate]security/2003/dsa-253.wml - 254.wml
Date: Fri, 28 Feb 2003 18:07:37 +0900
List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
List-id: debian-www.debian.or.jp
List-owner: <mailto:debian-www-admin@debian.or.jp>
List-post: <mailto:debian-www@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
X-ml-name: debian-www
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-level:
X-spam-status: No, hits=-0.9 required=10.0 tests=ISO2022JP_BODY,MAILTO_TO_SPAM_ADDR,SPAM_PHRASE_00_01 version=2.44
Message-id: <20030228.180728.74751139.mgoda@xxxxxxxxxxxxxxxx>
X-mail-count: 04416
X-mailer: Mew version 2.1.52 on Emacs 21.2 / Mule 5.0 (SAKAKI)

郷田です。

標題の訳ができましたので、添付にて投稿いたします。
査読お願いいたします。


--
郷田まり子 [Mariko GODA]
東京大学工学部建築学科3年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: t20057@xxxxxxxxxxxxxxxxxxxxxx

<define-tag description>バッファーバーフロー</define-tag>
<define-tag moreinfo>
<p>
NANOG traceroute (Van Jacobson/BSD の traceroute プログラムの
強化版) に、脆弱性が発見されました。
'get-origin()' 関数で、バッファオーバーフローが起こります。
whois パーザによる不十分な範囲チェックのため、システムスタック上の
メモリが破壊される可能性があります。
この脆弱性を悪用することにより、リモートの攻撃者は、標的となる
ホストでroot 権限を奪取することができます。ただし、このような攻撃の
大部分は Debian におけるものではありません。</p>

<p>The Common Vulnerabilities and Exposures (CVE) プロジェクトは
さらに、以下のような脆弱性を確認しています。これらは、Debian の中では
現安定版 (stable)(woody) と旧安定版 (potato) で修正されたものであり、
その完全性に言及されているものです。(また、他のディストリビューション
については個別の勧告が出されます。):

<ul>
<li> CAN-2002-1364 (BugTraq ID 6166) では、get_origin 関数での
バッファオーバーフローについて書かれています。この問題により、攻撃者
は長い WHOIS レスポンスによって任意のコードを実行できてしまいます。
</li>

<li> CAN-2002-1051 (BugTraq ID 4956) では、フォーマット文字列の
脆弱性について書かれています。この問題により、ローカルのユーザは
-T (末尾) コマンドライン引数を介して、任意のコードを実行できます。</li>

<li> CAN-2002-1386 では、バッファオーバーフローについて言及されています。
この問題により、ローカルのユーザは長いホスト名を引数とすることにより
任意のコードを実行することができてしまいます。</li>

<li> CAN-2002-1387 では、スプレーモードについて言及されています。
この問題により、ローカルのユーザは、任意のメモリ上の位置を上書きすることが
できます。/li>
</ul>

<p>幸い、Debian パッケージはスタートアップからすぐに権限を落とすので、
これらの問題は Debian マシンでの攻撃に</P>

<P>現安定版 (woody) では、上記の問題はバージョン 6.1.1-1.2 で
修正されています。</p>

<p>旧安定版 (potato) では、上記の問題はバージョン6.0-2.2 で
修正されています。</p>

<p>不安定版(sid) では、これらの問題はバージョン6.3.0-1 で修正されています。</p>

<p>traceroute-nanog パッケージをアップグレードすることをお勧めします。</p>
</define-tag>

#use wml::debian::translation-check translation="1.1"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-254.data"
# $Id: dsa-254.wml,v 1.2 2003/02/27 16:21:53 kaare Exp $

<define-tag description>情報の漏曳</define-tag>
<define-tag moreinfo>
<p>
セキュアソケットレイヤー (SSL) の実装である OpenSSL に脆弱性が発見されました。
Brice Canvel さん (EPEL)、Alain Hiltgen さん
(UBS)、Serge Vaudenay さん (EPEL)、Martin Vuagnoux さん (EPEL、Ilion)
さんの論文に、SSL および TLS に用いられている CBC 暗号化機能への
タイミングベースの攻撃の原理と方法が書かれています。
OpenSSL には、この攻撃に対する脆弱性があるということがわかっています。
</p>

<p>現安定版 (stable)(woody) では、この問題はバージョン0.9.6c-2.woody.2
で修正されています。</p>

<p>旧安定版 (potato) では、この問題はバージョン 0.9.6c-0.potato.5 で
修正されています。なお、この版は、potato に含まれる、
potato-prposed-updatesで提供されるバージョンをアップデートする
ということにご注意ください。</p>

<p>不安定版 (unstable)(sid) では、この問題はバージョン 0.9.7a-1 で
修正されています。</p>

<p>openssl パッケージをアップグレードすることをお勧めします。</p>
</define-tag>

#use wml::debian::translation-check translation="1.1"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-253.data"
# $Id: dsa-253.wml,v 1.1 2003/02/24 13:57:29 joey Exp $

Prev by Date: Debian Web site Translation Update
Next by Date: [Translate]security/2003/dsa-255.wml
Previous by thread: webwml/japanese/ports/hurd/hurd-contact.wml
Next by thread: [Translate]security/2003/dsa-255.wml
Index(es):
- Date
- Thread