Debian セキュリティ勧告

DSA-078-1 slrn -- リモートからのコマンド呼び出し

報告日時:
2001-09-24
影響を受けるパッケージ:
slrn
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 3364.
Mitre の CVE 辞書: CVE-2001-1035.
詳細:
Byrial Jensen さんにより、slrn (スレッド対応ニューズリーダ) に重大な問 題が発見されました。 slrn-announce での報告は以下の通りです。

バイナリファイルをデコードする際に、組み込みコードは記事に含ま れるどんなシェルスクリプトをも実行してしまいます。おそらく、自 己展開式のアーカイブの一種であると仮定しているようです。

この問題は、バージョン 0.9.6.2-9potato2 では問題の機能を削除するこ とによって修正されています。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:
http://security.debian.org/dists/stable/updates/main/source/slrn_0.9.6.2-9potato2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/slrn_0.9.6.2-9potato2.dsc
http://security.debian.org/dists/stable/updates/main/source/slrn_0.9.6.2.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/slrn_0.9.6.2-9potato2_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/slrnpull_0.9.6.2-9potato2_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/slrn_0.9.6.2-9potato2_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/slrnpull_0.9.6.2-9potato2_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/slrn_0.9.6.2-9potato2_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/slrnpull_0.9.6.2-9potato2_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/slrn_0.9.6.2-9potato2_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/slrnpull_0.9.6.2-9potato2_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/slrn_0.9.6.2-9potato2_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/slrnpull_0.9.6.2-9potato2_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/slrn_0.9.6.2-9potato2_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/slrnpull_0.9.6.2-9potato2_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。