[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
dsa-40[0-5].wml and reservation for dsa-39[0-9].wml
いまいです。
# 自分で言っておいて予約せずにやってしまってすいません。
dsa-401.wml、dsa-402.wml、dsa-403.wml、dsa-404.wml、dsa-405.wml を、
かねこさんの訳を元に wml にしてみました。チェックをお願いします。
ついでに、dsa-39[0-9].wml(10 個) を予約します。
--
Nobuhiro IMAI <nov@xxxxxxxxxxxx>
Key fingerprint = F39E D552 545D 7C64 D690 F644 5A15 746C BD8E 7106
#use wml::debian::translation-check translation="1.2"
<define-tag description>buffer overflow</define-tag>
<define-tag moreinfo>
<p>Steve Kemp により、テキストベースの rogue 風迷宮探索ゲーム omega-rpg
の、コマンドラインと環境変数の取扱いにバッファオーバフローが発見されました。
これにより、ローカルの攻撃者が games グループの権限を不正に得ることができます。
</p>
<p>安定版 (stable) ディストリビューション (woody) では、
この問題はバージョン 0.90-pa9-7woody1 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid) では、
この問題はバージョン 0.90-pa9-11 で修正されています。</p>
<p>直ちに omega-rpg パッケージをアップグレードすることをお勧めします。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-400.data"
#use wml::debian::translation-check translation="1.1"
<define-tag description>フォーマット文字列</define-tag>
<define-tag moreinfo>
<p>The SuSE Security Team により、柔軟性に富んだクライアント/サーバ FAX
システムの hylafax に、いくつかの攻撃可能なフォーマット文字列脆弱性が
発見されました。</p>
<p>安定版 (stable) ディストリビューション (woody) では、
この問題はバージョン 4.1.1-1.3 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid) では、
この問題はバージョン 4.1.8-1 で修正されています。</p>
<p>直ちに hylafax パッケージをアップグレードすることをお勧めします。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-401.data"
#use wml::debian::translation-check translation="1.1"
<define-tag description>入力のサニタイズ漏れ</define-tag>
<define-tag moreinfo>
<p>メーリングリストを管理する minimalist に、リモートの攻撃者が
任意のコマンドを実行できるという、セキュリティ関連の問題が発見されました。</p>
<p>安定版 (stable) ディストリビューション (woody) では、
この問題はバージョン 2.2-4 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid) では、
この問題はバージョン 2.4-1 で修正されています。</p>
<p>直ちに minimalist パッケージをアップグレードすることをお勧めします。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-402.data"
#use wml::debian::translation-check translation="1.4"
<define-tag description>ローカルのルート権限取得</define-tag>
<define-tag moreinfo>
<p>最近、Debian プロジェクトの複数のサーバに、Debian 開発者のアカウントを
用いたセキュリティ侵害が発生し、未知の root 権限取得が行われました。調査により、
burneye で暗号化された攻撃ツールが見つかりました。Robert van der Meulen
さんがバイナリを復号化したところ、カーネルへの攻撃ツールであると判明しました。
Red Hat と SuSE のカーネル・セキュリティチームの分析により、これはすぐに brk
システムコールに存在する整数オーバフローを用いた攻撃ツールであると判明しました。
このバグを悪用すると、ユーザランドのプログラムからカーネルメモリ全体への
アクセスが可能となります。この問題は 9 月の時点で Andrew Morton さんが
発見していましたが、残念ながら 2.4.22 カーネルのリリースには間に合いませんでした。
</p>
<p>このバグは、2.4 系ではカーネルバージョン 2.4.23 で、そして 2.6.0-test6
カーネルツリーで修正されています。Debian では、カーネルソースパッケージの
バージョン 2.4.18-14、i386 カーネルイメージのバージョン 2.4.18-12、alpha
カーネルイメージのバージョン 2.4.18-11 でそれぞれ修正されています。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-403.data"
#use wml::debian::translation-check translation="1.2"
<define-tag description>ヒープオーバーフロー</define-tag>
<define-tag moreinfo>
<p>The rsync team は、2.5.7 以前のバージョンの rsync (高速リモートファイル
コピープログラム) に脆弱性があり、これを最近の Linux カーネルにある脆弱性と
組み合わせることで、公開 rsync サーバのセキュリティを侵害できるという証拠を
受け取りました。</p>
<p>このヒープオーバフローの脆弱性だけでは rsync サーバの root
権限を得ることはできませんが、最近発表された Linux カーネルの do_brk()
関数にある脆弱性と組み合わせることで、完全にリモートからセキュリティを
侵害できます。</p>
<p>この脆弱性は、rsync を 「rsync サーバ」として利用しているときのみ
影響するということに注意してください。rsync サーバを起動しているかどうかを
確認するには、"<kbd>netstat -a -n</kbd>" コマンドを実行して、TCP
ポート 873 を LISTEN しているか調べてください。TCP ポート 873 が LISTEN
されていなければ、rsync サーバは起動されていません。</p>
<p>安定版 (stable) ディストリビューション (woody) では、
この問題はバージョン 2.5.5-0.2 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid) では、
この問題はバージョン 2.5.6-1.1 で修正されています。</p>
<p>しかし、Debian のインフラは最近の侵害以後まだ完全には機能していないので、
しばらくの間不安定版 (unstable) ディストリビューション用のパッケージは
アーカイブに入れることができません。したがって、これらはセキュリティマシンの Joey
のホーム<a href="http://klecker.debian.org/~joey/rsync/">ディレクトリ</a>に
置かれます。</p>
<p>リモートの rsync サービスを提供しているなら、直ちに rsync パッケージを
アップグレードすることをお勧めします。テスト版 (testing) を使ってリモートの
rsync サービスを提供しているなら、woody 用のパッケージを使ってください。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-404.data"
#use wml::debian::translation-check translation="1.2"
<define-tag description>特権の開放抜け</define-tag>
<define-tag moreinfo>
<p>Steve Kemp さんにより、倉庫番ゲームによく似た、X11 向けの
シングルプレーヤ戦略ゲームの xsok に問題が発見されました。
この問題を攻撃することで、グループ games
の権限で任意のコマンドを実行させることが可能です。</p>
<p>安定版 (stable) ディストリビューション (woody) では、
この問題はバージョン 1.02-9woody2 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid) では、
この問題はバージョン 1.02-11 で修正されています。</p>
<p>直ちに xsok パッケージをアップグレードすることをお勧めします。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-405.data"