[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

security/2004/dsa-{468,469}.wml



久保田です。

表記ページの日本語訳です。例によってかねこさんの日本語訳を
もとにしています。ところで、

 An attacker could exploit this bug to insert SQL statements.
                                       ~~~~~~~~~~~~~~~~~~~~~

が、

 攻撃者はこのバグを用いて SQL インジェクション攻撃を行うことが可能です。
                          ~~~~~~~~~~~~~~~~~~~~~~~~

になるのでしょうか?

---
久保田智広 Tomohiro KUBOTA <kubota@debian.org>
http://www.debian.or.jp/~kubota/
<define-tag description>複数の欠陥</define-tag>
<define-tag moreinfo>
<p>Ulf H&auml;rnhammar さんにより、インターネットメールメッセージ変換フィルタ
emil に複数の欠陥が発見されました。欠陥は大別して以下の 2 種類です。</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0152";>CAN-2004-0152</a>
   <p>(1) encode_mime 関数 (2) encode_uuencode 関数、(3) decode_uuencode
   関数、にバッファオーバフロー箇所があります。これらのバグにより、
   注意深く作成された電子メールメッセージを用い、そのメッセージが
   emil で処理された際にメッセージに含まれる任意のコードを実行させることが
   できます。</p>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0153";>CAN-2004-0153</a>
   <p>エラーメッセージを表示する多数の箇所にフォーマット文字列バグがあります。
   これらのバグの攻撃手法はまだ知られていませんし、
   構成依存であると思われます。</p>

</ul>

<p>
安定版 (stable) ディストリビューション (woody) では、この問題はバージョン
2.1.0-beta9-11woody1 で修正されています。</p>

<p>不安定版 (unstable) ディストリビューション (sid) 
では、近く修正予定です。</p>

<p>直ちに emil パッケージをアップグレードすることをお勧めします。</p>
</define-tag>

#use wml::debian::translation-check translation="1.2"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-468.data"
# $Id: dsa-468.wml,v 1.2 2004/03/26 20:34:49 peterk Exp $
<define-tag description>入力のサニタイズ抜け</define-tag>
<define-tag moreinfo>
<p>
Primoz Bratanic さんにより、PostgreSQL データベースの利用の認証を行う 
libpam-pgsgl PAM モジュールにバグが発見されました。このライブラリでは、
データベースに送る、
ユーザの与えたデータの全てに対してサニタイズを行ってはいませんでした。
攻撃者はこのバグを用いて SQL インジェクション攻撃を行うことが可能です。</p>

<p>安定版 (stable) ディストリビューション (woody) では、この問題はバージョン
0.5.2-3woody2 で修正されています。</p>

<p>不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン
0.5.2-7.1 で修正されています。</p>

<p>直ちに libpam-pgsql パッケージをアップグレードすることをお勧めします。</p>
</define-tag>

#use wml::debian::translation-check translation="1.1"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-469.data"
# $Id: dsa-469.wml,v 1.1 2004/03/29 13:44:30 joey Exp $