[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

dsa-40[0-5].wml and reservation for dsa-39[0-9].wml

From: Nobuhiro IMAI <nov@xxxxxxxxxxxx>
Subject: dsa-40[0-5].wml and reservation for dsa-39[0-9].wml
Date: Mon, 1 Mar 2004 02:43:45 +0900
List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
List-id: debian-www.debian.or.jp
List-owner: <mailto:debian-www-admin@debian.or.jp>
List-post: <mailto:debian-www@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
X-ml-name: debian-www
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-level:
X-spam-status: No, hits=-1.6 required=10.0 tests=ISO2022JP_BODY,SPAM_PHRASE_00_01 version=2.44
Message-id: <20040301.024339.74757375.nov@xxxxxxxxxxxx>
X-mail-count: 05710
X-mailer: Mew version 4.0.64 on Emacs 21.3 / Mule 5.0 (SAKAKI)

いまいです。

# 自分で言っておいて予約せずにやってしまってすいません。

dsa-401.wml、dsa-402.wml、dsa-403.wml、dsa-404.wml、dsa-405.wml を、
かねこさんの訳を元に wml にしてみました。チェックをお願いします。


ついでに、dsa-39[0-9].wml(10 個) を予約します。
--
Nobuhiro IMAI <nov@xxxxxxxxxxxx>
Key fingerprint = F39E D552 545D 7C64 D690  F644 5A15 746C BD8E 7106

#use wml::debian::translation-check translation="1.2"
<define-tag description>buffer overflow</define-tag>
<define-tag moreinfo>
<p>Steve Kemp により、テキストベースの rogue 風迷宮探索ゲーム omega-rpg
の、コマンドラインと環境変数の取扱いにバッファオーバフローが発見されました。
これにより、ローカルの攻撃者が games グループの権限を不正に得ることができます。
</p>

<p>安定版 (stable) ディストリビューション (woody) では、
この問題はバージョン 0.90-pa9-7woody1 で修正されています。</p>

<p>不安定版 (unstable) ディストリビューション (sid) では、
この問題はバージョン 0.90-pa9-11 で修正されています。</p>

<p>直ちに omega-rpg パッケージをアップグレードすることをお勧めします。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-400.data"

#use wml::debian::translation-check translation="1.1"
<define-tag description>フォーマット文字列</define-tag>
<define-tag moreinfo>
<p>The SuSE Security Team により、柔軟性に富んだクライアント/サーバ FAX
システムの hylafax に、いくつかの攻撃可能なフォーマット文字列脆弱性が
発見されました。</p>

<p>安定版 (stable) ディストリビューション (woody) では、
この問題はバージョン 4.1.1-1.3 で修正されています。</p>

<p>不安定版 (unstable) ディストリビューション (sid) では、
この問題はバージョン 4.1.8-1 で修正されています。</p>

<p>直ちに hylafax パッケージをアップグレードすることをお勧めします。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-401.data"

#use wml::debian::translation-check translation="1.1"
<define-tag description>入力のサニタイズ漏れ</define-tag>
<define-tag moreinfo>
<p>メーリングリストを管理する minimalist に、リモートの攻撃者が
任意のコマンドを実行できるという、セキュリティ関連の問題が発見されました。</p>

<p>安定版 (stable) ディストリビューション (woody) では、
この問題はバージョン 2.2-4 で修正されています。</p>

<p>不安定版 (unstable) ディストリビューション (sid) では、
この問題はバージョン 2.4-1 で修正されています。</p>

<p>直ちに minimalist パッケージをアップグレードすることをお勧めします。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-402.data"

#use wml::debian::translation-check translation="1.4"
<define-tag description>ローカルのルート権限取得</define-tag>
<define-tag moreinfo>
<p>最近、Debian プロジェクトの複数のサーバに、Debian 開発者のアカウントを
用いたセキュリティ侵害が発生し、未知の root 権限取得が行われました。調査により、
burneye で暗号化された攻撃ツールが見つかりました。Robert van der Meulen
さんがバイナリを復号化したところ、カーネルへの攻撃ツールであると判明しました。
Red Hat と SuSE のカーネル・セキュリティチームの分析により、これはすぐに brk
システムコールに存在する整数オーバフローを用いた攻撃ツールであると判明しました。
このバグを悪用すると、ユーザランドのプログラムからカーネルメモリ全体への
アクセスが可能となります。この問題は 9 月の時点で Andrew Morton さんが
発見していましたが、残念ながら 2.4.22 カーネルのリリースには間に合いませんでした。
</p>

<p>このバグは、2.4 系ではカーネルバージョン 2.4.23 で、そして 2.6.0-test6
カーネルツリーで修正されています。Debian では、カーネルソースパッケージの
バージョン 2.4.18-14、i386 カーネルイメージのバージョン 2.4.18-12、alpha
カーネルイメージのバージョン 2.4.18-11 でそれぞれ修正されています。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-403.data"

#use wml::debian::translation-check translation="1.2"
<define-tag description>ヒープオーバーフロー</define-tag>
<define-tag moreinfo>

<p>The rsync team は、2.5.7 以前のバージョンの rsync (高速リモートファイル
コピープログラム) に脆弱性があり、これを最近の Linux カーネルにある脆弱性と
組み合わせることで、公開 rsync サーバのセキュリティを侵害できるという証拠を
受け取りました。</p>

<p>このヒープオーバフローの脆弱性だけでは rsync サーバの root
権限を得ることはできませんが、最近発表された Linux カーネルの do_brk()
関数にある脆弱性と組み合わせることで、完全にリモートからセキュリティを
侵害できます。</p>

<p>この脆弱性は、rsync を 「rsync サーバ」として利用しているときのみ
影響するということに注意してください。rsync サーバを起動しているかどうかを
確認するには、"<kbd>netstat -a -n</kbd>" コマンドを実行して、TCP
ポート 873 を LISTEN しているか調べてください。TCP ポート 873 が LISTEN
されていなければ、rsync サーバは起動されていません。</p>

<p>安定版 (stable) ディストリビューション (woody) では、
この問題はバージョン 2.5.5-0.2 で修正されています。</p>

<p>不安定版 (unstable) ディストリビューション (sid) では、
この問題はバージョン 2.5.6-1.1 で修正されています。</p>

<p>しかし、Debian のインフラは最近の侵害以後まだ完全には機能していないので、
しばらくの間不安定版 (unstable) ディストリビューション用のパッケージは
アーカイブに入れることができません。したがって、これらはセキュリティマシンの Joey
のホーム<a href="http://klecker.debian.org/~joey/rsync/";>ディレクトリ</a>に
置かれます。</p>

<p>リモートの rsync サービスを提供しているなら、直ちに rsync パッケージを
アップグレードすることをお勧めします。テスト版 (testing) を使ってリモートの
rsync サービスを提供しているなら、woody 用のパッケージを使ってください。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-404.data"

#use wml::debian::translation-check translation="1.2"
<define-tag description>特権の開放抜け</define-tag>
<define-tag moreinfo>

<p>Steve Kemp さんにより、倉庫番ゲームによく似た、X11 向けの
シングルプレーヤ戦略ゲームの xsok に問題が発見されました。
この問題を攻撃することで、グループ games
の権限で任意のコマンドを実行させることが可能です。</p>

<p>安定版 (stable) ディストリビューション (woody) では、
この問題はバージョン 1.02-9woody2 で修正されています。</p>

<p>不安定版 (unstable) ディストリビューション (sid) では、
この問題はバージョン 1.02-11 で修正されています。</p>

<p>直ちに xsok パッケージをアップグレードすることをお勧めします。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-405.data"

Follow-Ups:
- Re: dsa-40[0-5].wml and reservation for dsa-39[0-9].wml
  - From: Tomohiro KUBOTA

Next by Date: Debian Web site Translation Update
Next by thread: Re: dsa-40[0-5].wml and reservation for dsa-39[0-9].wml
Index(es):
- Date
- Thread