Debian セキュリティ勧告

DSA-078-1 slrn -- リモートからのコマンド呼び出し

報告日時:

2001-09-24

影響を受けるパッケージ:

slrn

危険性:

あり

参考セキュリティデータベース:

(SecurityFocus の) Bugtraq データベース: BugTraq ID 3364.
Mitre の CVE 辞書: CVE-2001-1035.

詳細:

Byrial Jensen さんにより、slrn (スレッド対応ニューズリーダ) に重大な問題が発見されました。 slrn-announce での報告は以下の通りです。

バイナリファイルをデコードする際に、組み込みコードは記事に含まれるどんなシェルスクリプトをも実行してしまいます。おそらく、自己展開式のアーカイブの一種であると仮定しているようです。

この問題は、バージョン 0.9.6.2-9potato2 では問題の機能を削除することによって修正されています。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/dists/stable/updates/main/source/slrn_0.9.6.2-9potato2.diff.gz; http://security.debian.org/dists/stable/updates/main/source/slrn_0.9.6.2-9potato2.dsc; http://security.debian.org/dists/stable/updates/main/source/slrn_0.9.6.2.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/slrn_0.9.6.2-9potato2_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/slrnpull_0.9.6.2-9potato2_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/slrn_0.9.6.2-9potato2_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/slrnpull_0.9.6.2-9potato2_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/slrn_0.9.6.2-9potato2_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/slrnpull_0.9.6.2-9potato2_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/slrn_0.9.6.2-9potato2_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/slrnpull_0.9.6.2-9potato2_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/slrn_0.9.6.2-9potato2_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/slrnpull_0.9.6.2-9potato2_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/slrn_0.9.6.2-9potato2_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/slrnpull_0.9.6.2-9potato2_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。