[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Translate] dsa-287.wml & dsa-288.wml
郷田です。
標題の訳ができましたので、添付にて投稿いたします。
チェックをお願いいたします。
--
郷田まり子 [Mariko GODA]
東京大学工学部建築学科4年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: t20057@xxxxxxxxxxxxxxxxxxxxxx
<define-tag description>いくつかの脆弱性</define-tag>
<define-tag moreinfo>
<p>研究者たちにより、Secure Socket Layer (SSL) のライブラリと
暗号化ツールの実装である OpenSSL に、二つの問題が発見されました。
このライブラリとリンクしているアプリケーションは、通常攻撃により
サーバの秘密鍵の漏曳や、暗号化されたセッションを他の方法で
復号化可能になるなどの脆弱性があります。
The Common Vulnerabilities and Exposures (CVE) プロジェクトは、
以下の脆弱性を把握しています。
<dl>
<dt><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0147">CAN-2003-0147</a></dt>
<dd>
OpenSSL はデフォルトでは RSA ブラインディングを使用しないため、
ローカルおよびリモートの攻撃者からサーバの秘密鍵を得られる
可能性があります。</dd>
<dt><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0131">CAN-2003-0131</a></dt>
<dd>
SSL は、リモートの攻撃者に、認証されていない RSA 秘密鍵操作を許して
しまい、それによって OpenSSL が暗号化されたテキストと関連平文テキスト
の関係を漏曳してしまいます。
</dd>
</dl>
<p>現安定版 (stable)(woody) では、これらの問題はバージョン
0.9.6c-2.woody.3 で修正されています。
</p>
<p>旧安定版 (potato) では、これらの問題はバージョン
version 0.9.6c-2.woody.3 で修正されています。</p>
<p>不安定版 (unstable)(sid) では、これらの問題は、openssl のバージョン
0.9.7b-1 および openssl096 のバージョン 0.9.6j-1 で修正されています。</p>
<p>openssl パッケージをアップグレードし、OpenSSL を用いるアプリケーション
を再起動することをお勧めします。</p>
<p>残念ながら、RSA ブラインディングはスレッドに対応しておらず、
スレッドと OpenSSL を両方使用する stunnel などのプログラムで
問題を起こします。
しかし、この件に関して提案されている修正はバイナリインターフェイス
(ABI) を変更するものであるため、OpenSSL に動的にリンクしているプログラム
は動作しなくなります。
これは、私たちにはどうしようもないジレンマです。
</p>
<p>したがって、スレッド未対応のセキュリティアップデートで良いのかどうかを
判断する必要があります。
それで良ければ、アップグレード後に明らかに動かなくなったアプリケーション
のみを再コンパイルしてください。
また、スレッド対応が必要ならば、この勧告の最後にある追加の
ソースパッケージを入手し、スレッド対応の OpenSSL を作成し、
同時に OpenSSL ライブラリを使用するアプリケーション
(apache-ssl、mod_ssl、ssh など) をすべて再コンパイルしてください。</p>
<p>しかし、スレッドを使用して OpenSSL ライブラリにリンクしている
パッケージはごくわずかしかないので、ほとんどのユーザはこのパッケージを
問題なく利用することが可能と考えられます。</p>
</define-tag>
#use wml::debian::translation-check translation="1.1"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-288.data"
# $Id: dsa-288.wml,v 1.3 2003/04/24 16:10:49 peterk Exp $
<define-tag description>バッファオーバーフロー</define-tag>
<define-tag moreinfo>
<p>Timo Sirainen さんにより、ポピュラーな
Internet Relay Chat (IRC) クライアントである EPIC に
いくつかの問題が発見されました。
悪意のあるサーバは、特別なリプライ文字列を作り、クライアントに
バッファ容量をこえて書き込みを行わせることができます。
この問題により、クライアントがクラッシュさせてサービス停止攻撃を
したり、さらにチャットをしているユーザの id で任意のコードを
実行することができます。</p>
<p>現安定版 (stable)(woody) では、この問題はバージョン 3.004-17.1 で
修正されています。</p>
<p>旧安定版 (potato) では、この問題はバージョン 3.004-16.1 で
修正されています。</p>
<p>不安定版 (unstable)(sid) では、この問題はバージョン 3.004-19 で
修正されています。</p>
<p>EPIC パッケージをアップグレードすることをお勧めします。</p>
</define-tag>
#use wml::debian::translation-check translation="1.2"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-287.data"
# $Id: dsa-287.wml,v 1.1 2003/04/15 10:01:11 joey Exp $