Debian セキュリティ勧告

DSA-034-1 ePerl -- バッファオーバフロー - ローカルから、及びリモートからの攻撃

報告日時:
2001-03-07
影響を受けるパッケージ:
eperl
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 2464.
Mitre の CVE 辞書: CVE-2001-0458.
詳細:
Fumitoshi Ukai さんと Denis Barbier さんによって私たちのディストリビューションすべてに収録されている ePerl パッケージにバッファオーバフローのバグがいくつか発見されました。 eperl が root に setuid されている場合、実行時権限をスクリプトの所有 者の UID/GID に変更することができます。Debian ではこのプログラムは setuid root として配布はしていませんが、これは便利な機能のため、 ローカルでこの機能を有効化している場合があるかもしれません。 また、このプログラムが /usr/lib/cgi-bin/nph-eperl として使われている 場合、このバグはリモートからの攻撃に使われる可能性もあります。

Version 2.2.14-0.7potato2 で修正されました。 すぐに eperl パッケージをアップグレードすることを薦めます

修正:

Debian 2.2 (potato)

ソース:
http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.dsc
http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/eperl_2.2.14-0.7potato2_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/eperl_2.2.14-0.7potato2_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/eperl_2.2.14-0.7potato2_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/eperl_2.2.14-0.7potato2_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/eperl_2.2.14-0.7potato2_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/eperl_2.2.14-0.7potato2_sparc.deb