[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Translate]security/2003/dsa-258.wml & dsa-259.wml



郷田です。

標題の訳ができましたので、添付にて投稿いたします。
査読よろしくお願いします。

--
郷田まり子 [Mariko GODA]
東京大学工学部建築学科3年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: t20057@xxxxxxxxxxxxxxxxxxxxxx
<define-tag description>メールユーザの権限上昇</define-tag>
<define-tag moreinfo>
<p>Florian Heinz さん <E-メール: heinz@xxxxxxxxxxxx> は、
vsnprintf の実装に含まれるバグによる、qpopper の不正利用ができることを
Bugtraq メーリングリストに投稿しました。
サンプルの攻撃方法は、有効なユーザアカウントとパスワードを必要とし、
pop_msg() 関数の文字列をオーバーフローさせることで
ユーザに "mail" グループ権限とシステムのシェルをユーザに与えることができます。
Qvsnprintf 関数は qpopper のあるところにはどこでも使用されているので、
さらなる不正利用ができる可能性があります。
</p>

<p>Debian 2.2 (potato) の qpopper パッケージは、snprintf の実装の
脆弱性を含みません。
For Debian 3.0 (woody) では、バージョン 4.0.4-2.woody.3 で
アップデートされた版が使えます。
リリースされていないバージョンの Debian を使用しているユーザは、
バージョン 4.0.4-9 以上にアップグレードすることが必要です。
qpopper パッケージを早急にアップグレードすることをお勧めします。
in version . Users running an unreleased version of Debian
should upgrade to 4.0.4-9 or newer. We recommend you upgrade your qpopper
package immediately.</p>
</define-tag>

#use wml::debian::translation-check translation="1.1"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-259.data"
# $Id: dsa-259.wml,v 1.1 2003/03/13 13:04:56 alfie Exp $
<define-tag description>フォーマット文字列脆弱性</define-tag>
<define-tag moreinfo>
<p>Georgi Guninski さんにより、ネットワークトラフィック解析プログラム
である ethereal に問題が発見されました。
このプログラムにはフォーマット文字列脆弱性が含まれており、
それによって任意のコードを実行できる可能性があります。</p>

<p>現安定版 (stable)(woody)では、この問題はバージョン 0.9.4-1woody3
で修正されています。</p>

<p>前安定版 (potato) には、この問題はないと思われます。</p>
by this problem.</p>

<p>不安定版 (unstable)(sid) では、この問題はバージョン 0.9.9-2 で
修正されています。</p>

<p>
ethereal パッケージをアップグレードすることをお勧めします。
</p>

</define-tag>

#use wml::debian::translation-check translation="1.2"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-258.data"
# $Id: dsa-258.wml,v 1.2 2003/03/10 16:03:19 kaare Exp $