[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: security/2003/dsa-39[0-4].wml



いまいです。

# 杉山さんに指摘していただいた方は修正しておきます。

From: KISE Hiroshi <kise@xxxxxxxxxxx>
Subject: Re: security/2003/dsa-39[0-4].wml
Date: Mon, 15 Mar 2004 21:19:01 +0900

> From: Nobuhiro IMAI <nov@xxxxxxxxxxxx>
> Subject: security/2003/dsa-39[0-4].wml
> Date: Mon, 15 Mar 2004 18:54:42 +0900
> > <p>Steve Kemp さんにより、freesweep がいくつかの環境変数を処理する際の
> > バッファオーバフローが発見されました。この脆弱性により、
> 
> 「いくつかの」→「複数の」
> 
> で、複数あるのは「環境変数」なのか「バッファオーバフロー」なのか、
> 間違えようがないように変えてみました。
> 
> 「Steve Kemp さんにより、freesweep が環境変数を複数個処理する際の、
>   バッファオーバフローが発見されました。」

「環境変数を複数個」ではなく、利用する環境変数のうちのいくつかを処理す
るときにバッファオーバフローが起こるのかな?と思いました。

http://security.debian.org/pool/updates/main/f/freesweep/freesweep_0.88-4woody1.diff.gz

などを見ると、HOME と USER の処理が問題のようです。

「Steve Kemp さんにより、freesweep が環境変数を処理する際に、
複数箇所でバッファオーバフローが起こることが発見されました。」

でどうでしょうか?
# will be fixed soon. とか言ってる割りに、sid ではまだ修正されていない
# ようですね。
--
Nobuhiro IMAI <nov@xxxxxxxxxxxx>
Key fingerprint = F39E D552 545D 7C64 D690  F644 5A15 746C BD8E 7106