[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: security/2004/dsa-{413,414,415,416,417}.wml
- From: Tomohiro KUBOTA <debian@xxxxxxxxxxxxxxxxx>
- Subject: Re: security/2004/dsa-{413,414,415,416,417}.wml
- Date: Sun, 22 Feb 2004 15:46:16 +0900
- List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
- List-id: debian-www.debian.or.jp
- List-owner: <mailto:debian-www-admin@debian.or.jp>
- List-post: <mailto:debian-www@debian.or.jp>
- List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
- List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
- X-ml-name: debian-www
- X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
- X-spam-level:
- X-spam-status: No, hits=0.1 required=10.0 tests=EIGHTBIT_BODY,ISO2022JP_BODY,QUOTED_EMAIL_TEXT, SPAM_PHRASE_00_01 version=2.44
- References: <20040221.134110.78216013.debian@xxxxxxxxxxxxxxxxx> <200402211449.i1LEmxq6023623@xxxxxxxxxxxxxxxxx>
- Message-id: <20040222.154556.01375865.debian@xxxxxxxxxxxxxxxxx>
- X-mail-count: 05668
- X-mailer: Mew version 3.3 on Emacs 21.1 / Mule 5.0 (SAKAKI)
久保田です。
From: Hideki Yamane <henrich@xxxxxxxxxxxxxx>
Subject: Re: security/2004/dsa-{413,414,415,416,417}.wml
Date: Sat, 21 Feb 2004 23:49:11 +0900
> #単に私的な言い回しの感覚から横槍を入れています。
チェックありがとうございます。cvs commit しました。
> >に mremap システムコールの境界チェックに欠陥があり、ローカルの攻撃者から
> >root 特権が奪えることが<a
>
> ローカルの攻撃者から、ではなくローカルの攻撃者「が」ですね。
このように変更するつもりでしたが、変更漏れが生じていました。
修正します。
> >バージョン 2.2 は、
> >(<a href="http://seclists.org/lists/fulldisclosure/2004/Jan/0095.html";>\
> >のちに示された</A>ように)
> >MREMAP_FIXED フラグをサポートしていませんので、
> >この欠陥に影響されません。
>
> サポートしていないので、この欠陥には影響されません。
「は」だけ採用させていただきました。
> ><p>不安定版 (unstable) ディストリビューション (sid) では、
> >この問題は新規にアップロードされるパッケージで近いうちに修正予定です。</p>
>
> この問題は近日中に新規にアップロードされるパッケージで修正される予定です。
「近日中に」は「アップロードされる」ではなく「修正される」に
かかりますので、それを明確にするため「近日中に」を「修正される」
の直前に移動しました。
> >すぐに kernel パッケージをアップグレードすることを勧めます。この問題は上流では
>
> 直ちに kernel パッケージのアップグレードを行うことをお勧めします。
これは、このほうがいいですね。
> >インスタントメッセージングサーバの jabber に、SSL
> >処理関連のバグによりサーバプロセスをクラッシュさせ、
> >その結果サービス不能攻撃を引き起こせる欠陥が発見されました。</p>
>
> 別のメールでも書きましたがDoSの付記は如何でしょうか。
> #zebraについても同様
そのほうがいいですね。「サービス不能 (DoS) 攻撃」としました。
(DoS = denial of service なので、attack は含まない)
> >ファイルサービスプロトコル (FSP) のクライアントユーティリティである
> > fsp に、リモートユーザが FSP
> >のルートディレクトリから移動できる問題
> >(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-1022";>CAN-2003-1022</a>)
> >と、固定長バッファをオーバーフローさせて任意コマンドが実行できる問題
>
> と、固定長のバッファをオーバーフローさせることによって、
> 任意のコマンドを実行できる問題
文全体の構造上、「、」を入れたくなかったので、
「オーバーフローさせることで任意のコマンドを...」としました。
> ><p>Andrew Morton さんは、brk システムコールに境界チェック忘れがあり、
> >これは root 特権奪取に用いることができることを発見しました。</p>
>
> これを root 特権奪取に用いるのが可能なことを発見しました。
> #〜こと の繰り返しをまとめてみました。
「これを用いて root 特権奪取ができることを発見しました」としました。
> >安定版 (stable) ディストリビューション (woody) では、この問題は
> >alpha 向けのバージョン 2.4.18-12 と
> >powerpc 向けのバージョン 2.4.18-1woody3
> >で各々修正されています。</p>
>
> 「各々」より「それぞれ」の方が柔らかくないでしょうか。
そのほうがいいですね。
---
久保田智広 Tomohiro KUBOTA <kubota@debian.org>
http://www.debian.or.jp/~kubota/