[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Translate] dsa-287.wml & dsa-288.wml

From: Mariko GODA <mgoda@xxxxxxxxxxxxx>
Subject: [Translate] dsa-287.wml & dsa-288.wml
Date: Mon, 12 May 2003 21:17:38 +0900
List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
List-id: debian-www.debian.or.jp
List-owner: <mailto:debian-www-admin@debian.or.jp>
List-post: <mailto:debian-www@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
X-ml-name: debian-www
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-level: *
X-spam-status: No, hits=1.6 required=10.0 tests=EIGHTBIT_BODY,ISO2022JP_BODY,MAILTO_TO_SPAM_ADDR, SPAM_PHRASE_00_01 version=2.44
Message-id: <20030512.211735.78706070.mgoda@xxxxxxxxxxxxxxxx>
X-mail-count: 04772
X-mailer: Mew version 2.1.52 on Emacs 21.2 / Mule 5.0 (SAKAKI)

郷田です。

標題の訳ができましたので、添付にて投稿いたします。
チェックをお願いいたします。

--
郷田まり子 [Mariko GODA]
東京大学工学部建築学科4年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: t20057@xxxxxxxxxxxxxxxxxxxxxx

<define-tag description>いくつかの脆弱性</define-tag>
<define-tag moreinfo>
<p>研究者たちにより、Secure Socket Layer (SSL) のライブラリと
暗号化ツールの実装である OpenSSL に、二つの問題が発見されました。
このライブラリとリンクしているアプリケーションは、通常攻撃により
サーバの秘密鍵の漏曳や、暗号化されたセッションを他の方法で
復号化可能になるなどの脆弱性があります。
The Common Vulnerabilities and Exposures (CVE) プロジェクトは、
以下の脆弱性を把握しています。

<dl>
<dt><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0147";>CAN-2003-0147</a></dt>

<dd>
OpenSSL はデフォルトでは RSA ブラインディングを使用しないため、
ローカルおよびリモートの攻撃者からサーバの秘密鍵を得られる
可能性があります。</dd>

<dt><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0131";>CAN-2003-0131</a></dt>

<dd>
SSL は、リモートの攻撃者に、認証されていない RSA 秘密鍵操作を許して
しまい、それによって OpenSSL が暗号化されたテキストと関連平文テキスト
の関係を漏曳してしまいます。
</dd>
</dl>

<p>現安定版 (stable)(woody) では、これらの問題はバージョン
0.9.6c-2.woody.3 で修正されています。
</p>

<p>旧安定版 (potato) では、これらの問題はバージョン
version 0.9.6c-2.woody.3 で修正されています。</p>

<p>不安定版 (unstable)(sid) では、これらの問題は、openssl のバージョン
0.9.7b-1 および  openssl096 のバージョン 0.9.6j-1 で修正されています。</p>

<p>openssl パッケージをアップグレードし、OpenSSL を用いるアプリケーション
を再起動することをお勧めします。</p>

<p>残念ながら、RSA ブラインディングはスレッドに対応しておらず、
スレッドと OpenSSL を両方使用する stunnel などのプログラムで
問題を起こします。
しかし、この件に関して提案されている修正はバイナリインターフェイス
(ABI) を変更するものであるため、OpenSSL に動的にリンクしているプログラム
は動作しなくなります。
これは、私たちにはどうしようもないジレンマです。
</p>

<p>したがって、スレッド未対応のセキュリティアップデートで良いのかどうかを
判断する必要があります。
それで良ければ、アップグレード後に明らかに動かなくなったアプリケーション
のみを再コンパイルしてください。
また、スレッド対応が必要ならば、この勧告の最後にある追加の
ソースパッケージを入手し、スレッド対応の OpenSSL を作成し、
同時に OpenSSL ライブラリを使用するアプリケーション
(apache-ssl、mod_ssl、ssh など) をすべて再コンパイルしてください。</p>

<p>しかし、スレッドを使用して OpenSSL ライブラリにリンクしている
パッケージはごくわずかしかないので、ほとんどのユーザはこのパッケージを
問題なく利用することが可能と考えられます。</p>
</define-tag>

#use wml::debian::translation-check translation="1.1"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-288.data"
# $Id: dsa-288.wml,v 1.3 2003/04/24 16:10:49 peterk Exp $

<define-tag description>バッファオーバーフロー</define-tag>
<define-tag moreinfo>
<p>Timo Sirainen さんにより、ポピュラーな 
Internet Relay Chat (IRC) クライアントである EPIC に
いくつかの問題が発見されました。
悪意のあるサーバは、特別なリプライ文字列を作り、クライアントに
バッファ容量をこえて書き込みを行わせることができます。
この問題により、クライアントがクラッシュさせてサービス停止攻撃を
したり、さらにチャットをしているユーザの id で任意のコードを
実行することができます。</p>

<p>現安定版 (stable)(woody) では、この問題はバージョン 3.004-17.1 で
修正されています。</p>

<p>旧安定版 (potato) では、この問題はバージョン 3.004-16.1 で
修正されています。</p>

<p>不安定版 (unstable)(sid) では、この問題はバージョン 3.004-19 で
修正されています。</p>

<p>EPIC パッケージをアップグレードすることをお勧めします。</p>
</define-tag>

#use wml::debian::translation-check translation="1.2"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-287.data"
# $Id: dsa-287.wml,v 1.1 2003/04/15 10:01:11 joey Exp $

Prev by Date: Re: [Translate]security/2003/dsa-285.wml & dsa-286.wml
Next by Date: Debian Web site Translation Update
Previous by thread: Re: News/weekly/2003/18/index.wml
Next by thread: Debian憲章改正案
Index(es):
- Date
- Thread