[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Translate]dsa-269.wml - dsa-271.wml
郷田です。
標題の訳ができました。チェックをお願いいたします。
--
郷田まり子 [Mariko GODA]
東京大学工学部建築学科4年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: t20057@xxxxxxxxxxxxxxxxxxxxxx
<define-tag description>認証されないパスワード変更</define-tag>
<define-tag moreinfo>
<p>メーリングリストマネージャの ecartis (もとの名称は listar) に
問題が発見されました。
この脆弱性により、攻撃者は、リストの管理者を含む、リストサーバに
登録されている任意のユーザのパスワードを変更することができます。
</p>
<p>現安定版 (stable)(woody) では、この問題は ecartis の
バージョン 0.129a+1.0.0-snap20020514-1.1 で修正されています。</p>
<p>旧安定版 (potato)では、この問題は listar のバージョン
0.129a-2.potato3 で修正されています。</p>
<p>不安定版 (unstable)(sid) では、この問題は、ecartis の
バージョン 1.0.0+cvs.20030321-1 で修正されています。</p>
<p>ecartis および listar パッケージをアップグレードすることを
お勧めします。</p>
</define-tag>
#use wml::debian::translation-check translation="1.1"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-271.data"
# $Id: dsa-271.wml,v 1.1 2003/03/27 11:56:31 joey Exp $
<define-tag description>ローカルにおける権限の昇格</define-tag>
<define-tag moreinfo>
<p>Linux 2.2 および Linux 2.4 のカーネルのカーネルモジュールローダ
は、ptrace において欠陥があります。この問題により、カーネルによっ
て生成された子プロセスに付随するように ptrace を利用することで
ローカルのユーザが root 権限を奪取することができてしまいます。
このセキュリティホールは、リモートからは攻撃不可です。
</p>
<p>この勧告は、ビッグエンディアンとリトルエンディアンの
MIPS アーキテクチャ向けカーネルパッケージのみが対象となっています。
他のアーキテクチャでは、別の勧告で扱われます。
</p>
<p>現安定版 (stable)(woody) では、この問題は
kernel-patch-2.4.17-mips (mips+mipsel) ではバージョン 2.4.17-0.020226.2.woody1 で、
kernel-patch-2.4.19-mips (mips のみ) ではバージョン 2.4.19-0.020911.1.woody1
で修正されています。
</p>
<p>旧安定版 (potato) には、この問題の影響はありません。mips と mipselは
Debian GNU/Linux 3.0 (woody) で初めて収録されたからです。</p>
<p>不安定版 (unstable)(sid) では、この問題は
kernel-patch-2.4.19-mips (mips+mipsel) のバージョン 2.4.19-0.020911.6
で修正されています。</p>
<p>早急に kernel-images パッケージをアップグレードすることをお勧めします。</p>
</define-tag>
#use wml::debian::translation-check translation="1.1"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-270.data"
# $Id: dsa-270.wml,v 1.1 2003/03/27 06:49:22 joey Exp $
<define-tag description>暗号化の弱点</define-tag>
<define-tag moreinfo>
<p>Kerberos プロトコルのバージョン 4 には暗号化に脆弱性があり、
攻撃者は選択平文攻撃を使ってレルム内のいかなるプリンシパルにも
なりすますことができます。
krb4 の実装にはさらなる暗号化の弱点があり、triple-DES 鍵が krb4 の鍵の
扱いに使用されている場合、カットアンドペースト攻撃によって、
認証されていないクライアントプリンシパルの krb4 チケットを
偽造することができます。
これらの攻撃により、サイト内のすべての Kerberos 認証のインフラストラクチャ
を破壊することができます。
</p>
<p>このバージョンの heimdal パッケージは、デフォルトの挙動を変更したり、
Kerberos バージョン 4 のためのクロスレルム認証を無効にします。
この問題の基本的な性質により、Kerberos バージョン 4 における
クロスレルム認証は安全に行われず、サイトはその使用を避ける必要が
あります。
新しいオプション (--kerberos4-cross-realm) が kdc コマンドに提供されており、
このオプションによって、この機能を使用する必要がありつつも他のセキュリ
ティ
修正を使用したいサイトのためにバージョン 4 のクロスレルム認証を
再度有効化することができます。
</p>
<p>現安定版 (stable)(woody) では、この問題はバージョン 0.4e-7.woody.6
で修正されています。</p>
<p>旧安定版 (potato) は、kerberos 4 に向けてコンパイルされてはいない
ので、この問題の影響は受けません。
</p>
<p>不安定版 (unstable)(sid) では、この問題はバージョン 0.5.2-1 で
修正されています。</p>
<p>早急に heimdal パッケージをアップグレードすることをお勧めします。
</p>
</define-tag>
#use wml::debian::translation-check translation="1.2"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-269.data"
# $Id: dsa-269.wml,v 1.2 2003/03/26 20:26:12 peterk Exp $