[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: security/2004/dsa-{413,414,415,416,417}.wml



久保田です。

From: Hideki Yamane <henrich@xxxxxxxxxxxxxx>
Subject: Re: security/2004/dsa-{413,414,415,416,417}.wml
Date: Sat, 21 Feb 2004 23:49:11 +0900

>  #単に私的な言い回しの感覚から横槍を入れています。

チェックありがとうございます。cvs commit しました。


> >に mremap システムコールの境界チェックに欠陥があり、ローカルの攻撃者から 
> >root 特権が奪えることが<a
> 
>  ローカルの攻撃者から、ではなくローカルの攻撃者「が」ですね。

このように変更するつもりでしたが、変更漏れが生じていました。
修正します。


> >バージョン 2.2 は、
> >(<a href="http://seclists.org/lists/fulldisclosure/2004/Jan/0095.html";>\
> >のちに示された</A>ように)
> >MREMAP_FIXED フラグをサポートしていませんので、
> >この欠陥に影響されません。
> 
>  サポートしていないので、この欠陥には影響されません。

「は」だけ採用させていただきました。


> ><p>不安定版 (unstable) ディストリビューション (sid) では、
> >この問題は新規にアップロードされるパッケージで近いうちに修正予定です。</p>
>  
>  この問題は近日中に新規にアップロードされるパッケージで修正される予定です。

「近日中に」は「アップロードされる」ではなく「修正される」に
かかりますので、それを明確にするため「近日中に」を「修正される」
の直前に移動しました。


> >すぐに kernel パッケージをアップグレードすることを勧めます。この問題は上流では
> 
>  直ちに kernel パッケージのアップグレードを行うことをお勧めします。

これは、このほうがいいですね。

> >インスタントメッセージングサーバの jabber に、SSL
> >処理関連のバグによりサーバプロセスをクラッシュさせ、
> >その結果サービス不能攻撃を引き起こせる欠陥が発見されました。</p>
> 
>  別のメールでも書きましたがDoSの付記は如何でしょうか。
>  #zebraについても同様 

そのほうがいいですね。「サービス不能 (DoS) 攻撃」としました。
(DoS = denial of service なので、attack は含まない)


> >ファイルサービスプロトコル (FSP) のクライアントユーティリティである
> > fsp に、リモートユーザが FSP
> >のルートディレクトリから移動できる問題
> >(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-1022";>CAN-2003-1022</a>)
> >と、固定長バッファをオーバーフローさせて任意コマンドが実行できる問題
> 
>  と、固定長のバッファをオーバーフローさせることによって、
>  任意のコマンドを実行できる問題

文全体の構造上、「、」を入れたくなかったので、
「オーバーフローさせることで任意のコマンドを...」としました。


> ><p>Andrew Morton さんは、brk システムコールに境界チェック忘れがあり、
> >これは root 特権奪取に用いることができることを発見しました。</p>
> 
>  これを root 特権奪取に用いるのが可能なことを発見しました。
>  #〜こと の繰り返しをまとめてみました。

「これを用いて root 特権奪取ができることを発見しました」としました。


> >安定版 (stable) ディストリビューション (woody) では、この問題は 
> >alpha 向けのバージョン 2.4.18-12 と
> >powerpc 向けのバージョン 2.4.18-1woody3
> >で各々修正されています。</p>
> 
>  「各々」より「それぞれ」の方が柔らかくないでしょうか。

そのほうがいいですね。


---
久保田智広 Tomohiro KUBOTA <kubota@debian.org>
http://www.debian.or.jp/~kubota/