[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [Translate]security/2003/dsa-258.wml & dsa-259.wml

From: Mariko GODA <mgoda@xxxxxxxxxxxxx>
Subject: Re: [Translate]security/2003/dsa-258.wml & dsa-259.wml
Date: Sat, 15 Mar 2003 01:14:47 +0900
List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
List-id: debian-www.debian.or.jp
List-owner: <mailto:debian-www-admin@debian.or.jp>
List-post: <mailto:debian-www@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
X-ml-name: debian-www
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-level:
X-spam-status: No, hits=-1.7 required=10.0 tests=ISO2022JP_BODY,MAILTO_TO_SPAM_ADDR,QUOTED_EMAIL_TEXT, SPAM_PHRASE_00_01 version=2.44
References: <20030315.000657.74754438.mgoda@xxxxxxxxxxxxxxxx> <87fzpqgevh.wl%tomos@xxxxxxxxxxxxxxxx>
Message-id: <20030315.011444.74753696.mgoda@xxxxxxxxxxxxxxxx>
X-mail-count: 04500
X-mailer: Mew version 2.1.52 on Emacs 21.2 / Mule 5.0 (SAKAKI)

郷田です。

杉山です。

チェックありがとうございます。
 
> > [2 dsa-259.wml <text/plain; iso-2022-jp (7bit)>]
>  (snip)
> > バージョン 4.0.4-9 以上にアップグレードすることが必要です。
> > qpopper パッケージを早急にアップグレードすることをお勧めします。
> > in version . Users running an unreleased version of Debian
> > should upgrade to 4.0.4-9 or newer. We recommend you upgrade your qpopper
> > package immediately.</p>
> > </define-tag>
> 
> ↑ここと
> 
> > [3 dsa-258.wml <text/plain; iso-2022-jp (7bit)>]
>  (snip)
> > <p>前安定版 (potato) には、この問題はないと思われます。</p>
> > by this problem.</p>
> 
> ↑ここに原文が残ってしまっているようです。

ご指摘ありがとうございます。
見なおすと時に見落としていました。どうもすみません。
修正版を添付いたします。

--
郷田まり子 [Mariko GODA]
東京大学工学部建築学科3年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: t20057@xxxxxxxxxxxxxxxxxxxxxx

<define-tag description>メールユーザの権限上昇</define-tag>
<define-tag moreinfo>
<p>Florian Heinz さん <E-メール: heinz@xxxxxxxxxxxx> は、
vsnprintf の実装に含まれるバグによる、qpopper の不正利用ができることを
Bugtraq メーリングリストに投稿しました。
サンプルの攻撃方法は、有効なユーザアカウントとパスワードを必要とし、
pop_msg() 関数の文字列をオーバーフローさせることで
ユーザに "mail" グループ権限とシステムのシェルをユーザに与えることができます。
Qvsnprintf 関数は qpopper のあるところにはどこでも使用されているので、
さらなる不正利用ができる可能性があります。
</p>

<p>Debian 2.2 (potato) の qpopper パッケージは、snprintf の実装の
脆弱性を含みません。
For Debian 3.0 (woody) では、バージョン 4.0.4-2.woody.3 で
アップデートされた版が使えます。
リリースされていないバージョンの Debian を使用しているユーザは、
バージョン 4.0.4-9 以上にアップグレードすることが必要です。
qpopper パッケージを早急にアップグレードすることをお勧めします。
</p>
</define-tag>

#use wml::debian::translation-check translation="1.1"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-259.data"
# $Id: dsa-259.wml,v 1.1 2003/03/13 13:04:56 alfie Exp $

<define-tag description>フォーマット文字列脆弱性</define-tag>
<define-tag moreinfo>
<p>Georgi Guninski さんにより、ネットワークトラフィック解析プログラム
である ethereal に問題が発見されました。
このプログラムにはフォーマット文字列脆弱性が含まれており、
それによって任意のコードを実行できる可能性があります。</p>

<p>現安定版 (stable)(woody)では、この問題はバージョン 0.9.4-1woody3
で修正されています。</p>

<p>前安定版 (potato) には、この問題はないと思われます。</p>

<p>不安定版 (unstable)(sid) では、この問題はバージョン 0.9.9-2 で
修正されています。</p>

<p>
ethereal パッケージをアップグレードすることをお勧めします。
</p>

</define-tag>

#use wml::debian::translation-check translation="1.2"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-258.data"
# $Id: dsa-258.wml,v 1.2 2003/03/10 16:03:19 kaare Exp $

Follow-Ups:
- Re: [Translate]security/2003/dsa-258.wml & dsa-259.wml
  - From: KISE Hiroshi

References:
- [Translate]security/2003/dsa-258.wml & dsa-259.wml
  - From: Mariko GODA
- Re: [Translate]security/2003/dsa-258.wml & dsa-259.wml
  - From: SUGIYAMA Tomoaki

Prev by Date: Debian JP master CVS www commits
Next by Date: [Translate]security/2003/dsa-260.wml & dsa-261.wml
Previous by thread: Re: [Translate]security/2003/dsa-258.wml & dsa-259.wml
Next by thread: Re: [Translate]security/2003/dsa-258.wml & dsa-259.wml
Index(es):
- Date
- Thread