Debian セキュリティ勧告

mirror -- mirror におけるディレクトリ名の不正な扱い

報告日時:
1999-10-18
影響を受けるパッケージ:
mirror
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2000-0354.
詳細:
Debian GNU/Linux 2.1 にて配布されている mirror のバージョンに、 遠隔操作によってセキュリティを脅かされる危険性があるとの報告を受けました。 リモートサイトをミラーする際に、 リモートサイトの悪意あるユーザが、".." というファイル名構文を用いることができてしまいます。 そのため、mirror は、ターゲットディレクトリの一つ上のディレクトリにあるファ イルをミラーできるようになってしまいます。
修正:
ソース:
http://security.debian.org/dists/slink/updates/source/mirror_2.9-2.1.diff.gz
http://security.debian.org/dists/slink/updates/source/mirror_2.9-2.1.dsc
http://security.debian.org/dists/slink/updates/source/mirror_2.9.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/dists/stable/updates/binary-all/mirror_2.9-2.1_all.deb