[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: security/2003/dsa-39[0-4].wml

From: Nobuhiro IMAI <nov@xxxxxxxxxxxx>
Subject: Re: security/2003/dsa-39[0-4].wml
Date: Tue, 16 Mar 2004 01:17:04 +0900
List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
List-id: debian-www.debian.or.jp
List-owner: <mailto:debian-www-admin@debian.or.jp>
List-post: <mailto:debian-www@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
X-ml-name: debian-www
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-www@debian.or.jp
X-spam-level:
X-spam-status: No, hits=-2.4 required=10.0 tests=ISO2022JP_BODY,QUOTED_EMAIL_TEXT,SPAM_PHRASE_00_01 version=2.44
References: <20040315.185450.88697181.nov@xxxxxxxxxxxx> <20040315.211851.112625661.kise@xxxxxxxxxxx>
Message-id: <20040316.011717.74755959.nov@xxxxxxxxxxxx>
X-mail-count: 05805
X-mailer: Mew version 4.0.65 on Emacs 21.3 / Mule 5.0 (SAKAKI)

いまいです。

# 杉山さんに指摘していただいた方は修正しておきます。

From: KISE Hiroshi <kise@xxxxxxxxxxx>
Subject: Re: security/2003/dsa-39[0-4].wml
Date: Mon, 15 Mar 2004 21:19:01 +0900

> From: Nobuhiro IMAI <nov@xxxxxxxxxxxx>
> Subject: security/2003/dsa-39[0-4].wml
> Date: Mon, 15 Mar 2004 18:54:42 +0900
> > <p>Steve Kemp さんにより、freesweep がいくつかの環境変数を処理する際の
> > バッファオーバフローが発見されました。この脆弱性により、
> 
> 「いくつかの」→「複数の」
> 
> で、複数あるのは「環境変数」なのか「バッファオーバフロー」なのか、
> 間違えようがないように変えてみました。
> 
> 「Steve Kemp さんにより、freesweep が環境変数を複数個処理する際の、
>   バッファオーバフローが発見されました。」

「環境変数を複数個」ではなく、利用する環境変数のうちのいくつかを処理す
るときにバッファオーバフローが起こるのかな？と思いました。

http://security.debian.org/pool/updates/main/f/freesweep/freesweep_0.88-4woody1.diff.gz

などを見ると、HOME と USER の処理が問題のようです。

「Steve Kemp さんにより、freesweep が環境変数を処理する際に、
複数箇所でバッファオーバフローが起こることが発見されました。」

でどうでしょうか？
# will be fixed soon. とか言ってる割りに、sid ではまだ修正されていない
# ようですね。
--
Nobuhiro IMAI <nov@xxxxxxxxxxxx>
Key fingerprint = F39E D552 545D 7C64 D690  F644 5A15 746C BD8E 7106

References:
- security/2003/dsa-39[0-4].wml
  - From: Nobuhiro IMAI
- Re: security/2003/dsa-39[0-4].wml
  - From: KISE Hiroshi

Prev by Date: Re: security/2003/dsa-39[0-4].wml
Next by Date: Debian Web site Translation Update
Previous by thread: Re: security/2003/dsa-39[0-4].wml
Next by thread: News/weekly/2004/10/index.wml
Index(es):
- Date
- Thread