Debian セキュリティ勧告

htdig -- htdig におけるマシンの不正な遠隔利用

報告日時:
1999-12-09
影響を受けるパッケージ:
htdig
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-1999-0978.
詳細:
Debian GNU/Linux 2.1 にて配布されている htdig のバージョンには、 非 HTML 文書を扱うための外部プログラム呼び出しに問題があります。 これは文書を引き数として外部プログラムを呼び出しますが、 シェルエスケープをチェックしません。 シェルエスケープを含むファイル名を付けたファイルを作ることで、 htdig が動作しているマシン上で任意のコマンドが実行できるようになり、 遠隔地からマシンを不正に利用することが可能になります。
修正:
ソース:
http://security.debian.org/dists/stable/updates/source/htdig_3.1.2-4slink6.diff.gz
http://security.debian.org/dists/stable/updates/source/htdig_3.1.2-4slink6.dsc
http://security.debian.org/dists/stable/updates/source/htdig_3.1.2.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/binary-alpha/htdig_3.1.2-4slink6_alpha.deb
i386:
http://security.debian.org/dists/stable/updates/binary-i386/htdig_3.1.2-4slink6_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/binary-m68k/htdig_3.1.2-4slink6_m68k.deb
sparc:
http://security.debian.org/dists/stable/updates/binary-sparc/htdig_3.1.2-4slink6_sparc.deb