[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: security/2004/dsa-{443,444}.wml

From: Hideki Yamane <henrich@xxxxxxxxxxxxxx>
Subject: Re: security/2004/dsa-{443,444}.wml
Date: Sat, 21 Feb 2004 23:42:49 +0900
List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
List-id: debian-www.debian.or.jp
List-owner: <mailto:debian-www-admin@debian.or.jp>
List-post: <mailto:debian-www@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
X-ml-name: debian-www
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-level:
X-spam-status: No, hits=-2.0 required=10.0 tests=EIGHTBIT_BODY,ISO2022JP_BODY,QUOTED_EMAIL_TEXT, SIGNATURE_SHORT_SPARSE,SPAM_PHRASE_00_01 version=2.44
References: <20040221.131356.01369212.debian@xxxxxxxxxxxxxxxxx>
Message-id: <200402211442.i1LEgcIA027095@xxxxxxxxxxxxxxxxx>
X-mail-count: 05663
X-mailer: Datula version 1.52.01.01 for Windows

  やまね  です。

  "Sat, 21 Feb 2004 13:14:08 +0900", "Tomohiro KUBOTA"
  "security/2004/dsa-{443,444}.wml"

><p>複数のセキュリティ欠陥が、XFree86 に発見されました。

　セキュリティ上の欠陥、のほうが言い回しとしては自然に感じます。


>修正は、以下 the Common Vulnerabilities and Exposures (CVE) project 
>の認識番号と合わせて示します。</p>
>
><ul>
>
><li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0083";>CAN-2004-0083</a>:
>
>    <p>XFree86 4.1.0 から 4.3.0 の dirfile.c で、ReadFontAlias
>    のバッファオーバフローの問題があり、ローカルのユーザやリモートの攻撃者が、
>    長いトークンを持つフォント別名ファイル (font.alias)

　フォント別名ファイル　というのは一般的に通じるのでしょうか。


>    不正なエントリを持つフォント alias ファイル (font.alias) を用いて、

　先ほどと同じようなことを指しますよね。統一した方が良いと思います。
　フォントエイリアスファイル　と全てカタカナ書きはどうでしょうか。


>    ローカルまたは認証されたリモートユーザが任意のコードを実行できます。

　「ローカルユーザ、あるいは認証されたリモート接続のユーザ」
　　という言い方はどうでしょうか。


>    <p>クライアントデータのチェック抜け
>    (配列の添字範囲外 [CAN-2004-0093] と整数の符号誤り [CAN-2004-0094]) 
>    のために、X サーバに対して、
>    GLX 拡張とダイレクトレンダリング拡張を用いたクライアントから、
>    サービス不能攻撃が可能です。</p>

　原文にはありませんがサービス不能攻撃はよく略称で表されるので
　DoSと付記してはどうでしょうか。ざっと見の把握の際に楽です。




><p>すぐに xfree86 パッケージをアップグレードすることを勧めます。</p>

　直ちに xfree86 パッケージのアップグレードを行うことをお勧めします。
　（あまり変わりないですけど。）



>isec.pl の Paul Starzetz さんと Wojciech Purczynski さんにより、Linux 
>のメモリ管理コードの mremap(2) 
>システムコール内に致命的なセキュリティの欠陥が発見されました。

　セキュリティ上の欠陥


><p>他のアーキテクチャ向けでは、独立の別勧告が出されるか、影響がないか (m68k)
>です。</p>

　他のアーキテクチャは、独立した別の勧告が出されるか、あるいは影響がありません (m68k)。


><p>すぐに Linux カーネルをアップグレードすることを勧めます。</p>

　直ちに Linux カーネルのアップグレードを行うことをお勧めします。




-- 
Regards,

 Hideki Yamane    mailto:henrich @ samba.gr.jp/iijmio-mail.jp

References:
- security/2004/dsa-{443,444}.wml
  - From: Tomohiro KUBOTA

Prev by Date: Debian Web site Translation Update
Next by Date: Re: security/2004/dsa-{413,414,415,416,417}.wml
Previous by thread: security/2004/dsa-{443,444}.wml
Next by thread: security/2004/dsa-{413,414,415,416,417}.wml
Index(es):
- Date
- Thread