[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [rfr] webwml://security/2004/dsa-{581,582}.wml
- From: Nobuhiro IMAI <nov@xxxxxxxxxxxx>
- Subject: Re: [rfr] webwml://security/2004/dsa-{581,582}.wml
- Date: Thu, 11 Nov 2004 12:46:49 +0900
- List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
- List-id: debian-www.debian.or.jp
- List-owner: <mailto:debian-www-admin@debian.or.jp>
- List-post: <mailto:debian-www@debian.or.jp>
- List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
- List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
- X-ml-name: debian-www
- X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
- X-original-to: debian-www@debian.or.jp
- X-spam-level: ***
- X-spam-status: No, hits=3.2 required=10.0 tests=EIGHTBIT_BODY,IN_REP_TO,ISO2022JP_BODY,PATCH_UNIFIED_DIFF, QUOTED_EMAIL_TEXT,RCVD_IN_ORBS,RCVD_IN_OSIRUSOFT_COM, REFERENCES,SPAM_PHRASE_00_01,X_OSIRU_OPEN_RELAY version=2.44
- References: <87fz3s3wes.wl%tomos@xxxxxxxxxxxxxxxx> <200411070541.iA75fE8p010809@xxxxxxxxxxxxxxxxx>
- Message-id: <20041111.124643.41628696.nov@xxxxxxxxxxxx>
- X-mail-count: 06977
- X-mailer: Mew version 4.1.50 on Emacs 21.3 / Mule 5.0 (SAKAKI)
いまいです。
ここに繋げます。遅くなりましたが、dsa-57[6-9].wml, dsa-58[0-3].wml を
cvs commit しました。どのファイルも少しずついじりました。詳しくは添付
したファイルを見てください。
From: Hideki Yamane <henrich@xxxxxxxxxxxxxx>
Subject: Re: [rfr] webwml://security/2004/dsa-{581,582}.wml
Date: Sun, 7 Nov 2004 14:41:17 +0900
>
> やまね です。
>
> "Wed, 3 Nov 2004 04:04:19 +0900", "SUGIYAMA Tomoaki"
> "[rfr] webwml://security/2004/dsa-{581,582}.wml"
> ><define-tag description>バッファオーバフロー</define-tag>
> ><define-tag moreinfo>
> ><p>"infamous41md" により、GNOME 用の XML C パーサおよびツールキットの
> >libxml と libxml2 に複数のバッファオーバフローが発見されました。
> >境界チェック抜けが複数のバッファオーバフローを引き起こし、
> >クライアントに任意のコードを実行される危険があります。</p>
> >
> ><p>これらのライブラリのバージョンは、以下の欠陥マトリックスリストで修正されました。</p>
>
> 欠陥マトリックスリスト?
>
> The following vulnerability matrix lists corrected versions of these
> libraries:
>
> 以下がこれらのライブラリについて脆弱性を修正したバージョンの一覧を記
> 載したものです。(意訳気味ですが…)
大きく変えたのはここだけで、
「以下にこれらのライブラリについて脆弱性を修正したバージョンの組合せを
挙げます。」
としてあります。stable と unstable、libxml と libxml2 の組合せが
matrix ということなんだと思います。
# あぁ、やっぱりここだけは聞いてからにすればよかったなぁ。
他の部分も含めて、問題があれば教えてください。
--
Nobuhiro IMAI <nov@xxxxxxxxxxxx>
Key fingerprint = F39E D552 545D 7C64 D690 F644 5A15 746C BD8E 7106
--- dsa-576.wml~
+++ dsa-576.wml
@@ -1,7 +1,7 @@
<define-tag description>複数の欠陥</define-tag>
<define-tag moreinfo>
<p>WWW プロキシキャッシュとして広く使われているインターネットオブジェクトキャッシュの
-Squid に複数のセキュリティ上の欠陥が発見されました。Common
+Squid に、複数のセキュリティ上の欠陥が発見されました。Common
Vulnerabilities and Exposures プロジェクトでは以下の問題を確認しています。</p>
<ul>
@@ -9,15 +9,15 @@
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0710";>CVE-1999-0710</a>
<p>標準でインストールされる cachemgr.cgi によってアクセスリストを迂回し、
- ネットワーク上の任意のホストやポートをスキャンすることができてしまいます。
- 本修正ではこの機能を無効にし、その振る舞いをコントロールするために設定ファイル
+ ネットワーク上の任意のホストやポートをスキャンされる恐れがあります。
+ 今回の修正ではこの機能を無効にし、その挙動をコントロールするための設定ファイル
(/etc/squid/cachemgr.conf) を導入します。</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0918";>CAN-2004-0918</a>
- <p>Squid 用の SNMP モジュール中の asn_parse_header 関数 (asn1.c)
- は、メモリ割り当てエラーの原因となる負の値のフィールド長を持った特定の
- SNMP パケットによって、攻撃者がサービス不能 (DoS) 攻撃を引き起こせてしまいます。</p>
+ <p>Squid の SNMP モジュール内の asn_parse_header 関数 (asn1.c) は、
+ 負の長さのフィールドを指定した特定の SNMP パケットでメモリ割り当てエラーとなり、
+ リモートの攻撃者がサービス不能 (DoS) 攻撃を引き起こせます。
</ul>
@@ -33,5 +33,4 @@
#use wml::debian::translation-check translation="1.2"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-576.data"
-# $Id: dsa-576.wml,v 1.2 2004/10/29 14:24:40 peterk Exp $
-
+# $Id: dsa-576.wml,v 1.1 2004/11/10 18:18:33 nov Exp $
--- dsa-577.wml~
+++ dsa-577.wml
@@ -1,8 +1,8 @@
<define-tag description>ローカル</define-tag>
<define-tag moreinfo>
<p>Trustix Security の技術者たちにより、オブジェクトリレーショナル SQL
-データベースの postgresql の一連のプログラムに含まれるスクリプト中で、
-一時ファイルを安全でないやり方で作成しているのが発見されました。これにより、
+データベース postgresql の一連のプログラム中のスクリプトに、
+一時ファイルを安全でない方法で作成しているのが発見されました。これにより、
攻撃者がユーザを騙して、ユーザに書き込み権限がある任意のファイルを上書きする危険があります。</p>
<p>安定版 (stable) ディストリビューション (woody) では、この問題はバージョン
@@ -17,5 +17,4 @@
#use wml::debian::translation-check translation="1.1"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-577.data"
-# $Id: dsa-577.wml,v 1.1 2004/10/29 10:21:17 joey Exp $
-
+# $Id: dsa-577.wml,v 1.1 2004/11/10 18:18:33 nov Exp $
--- dsa-578.wml~
+++ dsa-578.wml
@@ -1,6 +1,6 @@
<define-tag description>バッファオーバフロー</define-tag>
<define-tag moreinfo>
-<p>Carlos Barros さんにより、よく使われている (しかし non-free な)
+<p>Carlos Barros さんにより、よく使われている (ただし non-free な)
MPEG レイヤ 1/2/3 オーディオプレイヤー mpg123 の HTTP
認証ルーチンにバッファオーバフローが発見されました。
悪意を持って作成されたプレイリストや URL をユーザに開かせることで、
@@ -18,4 +18,4 @@
#use wml::debian::translation-check translation="1.1"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-578.data"
-# $Id: dsa-578.wml,v 1.1 2004/11/01 13:34:46 joey Exp $
+# $Id: dsa-578.wml,v 1.1 2004/11/10 18:18:33 nov Exp $
--- dsa-579.wml~
+++ dsa-579.wml
@@ -2,7 +2,7 @@
<define-tag moreinfo>
<p>Microsoft Word 文書の変換とプレビューで使用するライブラリ wv
にバッファオーバフローバグが発見されました。これを攻撃することにより、
-脆弱性のあるアプリケーションを実行するユーザの権限で、
+この脆弱性のあるアプリケーションを実行しているユーザの権限で、
攻撃者が任意のコードを実行する危険があります。</p>
<p>安定版 (stable) ディストリビューション (woody) では、この問題はバージョン
@@ -13,8 +13,7 @@
<p>直ちに abiword パッケージをアップグレードすることをお勧めします。</p>
</define-tag>
-#use wml::debian::translation-check translation="1.2"
+#use wml::debian::translation-check translation="1.3"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-579.data"
-# $Id: dsa-579.wml,v 1.1 2004/11/01 15:52:03 joey Exp $
-
+# $Id: dsa-579.wml,v 1.1 2004/11/10 18:18:33 nov Exp $
--- dsa-580.wml~
+++ dsa-580.wml
@@ -18,4 +18,4 @@
#use wml::debian::translation-check translation="1.2"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-580.data"
-# $Id: dsa-580.wml,v 1.1 2004/11/01 16:32:27 joey Exp $
+# $Id: dsa-580.wml,v 1.1 2004/11/10 18:18:33 nov Exp $
--- dsa-581.wml~
+++ dsa-581.wml
@@ -2,7 +2,7 @@
<define-tag moreinfo>
<p>Chris Evans さんにより、PDF ファイルのビューア xpdf
に複数の整数オーバフローが発見されました。巧妙に作られた特殊な形式の PDF
-ドキュメントによって、リモートから任意のコードを実行される危険があります。</p>
+ドキュメントによってリモートから攻撃でき、任意のコードを実行される危険があります。</p>
<p>安定版 (stable) ディストリビューション (woody) では、この問題はバージョン
1.00-3.2 で修正されています。</p>
@@ -16,5 +16,4 @@
#use wml::debian::translation-check translation="1.1"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-581.data"
-# $Id: dsa-581.wml,v 1.1 2004/11/02 15:35:58 joey Exp $
-
+# $Id: dsa-581.wml,v 1.1 2004/11/10 18:18:33 nov Exp $
--- dsa-582.wml~
+++ dsa-582.wml
@@ -1,11 +1,11 @@
<define-tag description>バッファオーバフロー</define-tag>
<define-tag moreinfo>
-<p>"infamous41md" により、GNOME 用の XML C パーサおよびツールキットの
+<p>"infamous41md" さんにより、GNOME 用の XML C パーサおよびツールキットの
libxml と libxml2 に複数のバッファオーバフローが発見されました。
-境界チェック抜けが複数のバッファオーバフローを引き起こし、
+境界チェックの抜けにより、複数のバッファがオーバフローしてしまい、
クライアントに任意のコードを実行される危険があります。</p>
-<p>これらのライブラリのバージョンは、以下の欠陥マトリックスリストで修正されました。</p>
+<p>以下にこれらのライブラリについて脆弱性を修正したバージョンの組合せを挙げます。</p>
<p>安定版 (stable) ディストリビューション (woody) では、これらの問題は
libxml のバージョン 1.8.17-2woody2 および libxml2 のバージョン 2.4.19-4woody2
@@ -24,5 +24,4 @@
#use wml::debian::translation-check translation="1.1"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-582.data"
-# $Id: dsa-582.wml,v 1.1 2004/11/02 17:03:19 joey Exp $
-
+# $Id: dsa-582.wml,v 1.1 2004/11/10 18:18:33 nov Exp $
--- dsa-583.wml~
+++ dsa-583.wml
@@ -1,9 +1,9 @@
<define-tag description>安全でない一時ディレクトリの扱い</define-tag>
<define-tag moreinfo>
-<p>Trustix の開発者により、lvm10 パッケージの付属スクリプトで
+<p>Trustix の開発者により、lvm10 パッケージの付属スクリプトにおいて
安全でない方法で一時ファイルが作成されていることが発見されました。
一時ディレクトリがすでに存在しているかをチェックしていないために、
-シンボリックリンク攻撃によりローカルユーザにファイルを上書きされる危険があります。</p>
+シンボリックリンク攻撃によりローカルユーザに任意のファイルを上書きされる危険があります。</p>
<p>安定版 (stable) ディストリビューション (woody) では、この問題はバージョン
1.0.4-5woody2 で修正されています。</p>
@@ -17,5 +17,4 @@
#use wml::debian::translation-check translation="1.1"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-583.data"
-# $Id: dsa-583.wml,v 1.1 2004/11/03 11:04:31 joey Exp $
-
+# $Id: dsa-583.wml,v 1.1 2004/11/10 18:18:33 nov Exp $