Debian セキュリティ勧告

DSA-098-1 libgtop -- フォーマット文字列の脆弱性およびバッファオーバーフロー

報告日時:

2002-01-09

影響を受けるパッケージ:

libgtop

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2001-0927, CVE-2001-0928.

詳細:

libgtop-daemon に、二つの異なる問題が発見されました:

The laboratory intexxia によって、libgtop_daemon のログ取得コードの中にフォーマット文字列の問題が発見されました。クライアントを認証する際に呼び出されるログ取得関数が2つあるので、リモートのユーザからの攻撃が可能となってしまいます。
Flavio Veloso さんにより、クライアントの認証を行う関数にバッファオーバーフローを起こす箇所が発見されました。

libgtop_daemon は nobody ユーザで動くため、この両方のバグは、 libgtop_daemon の動いているシステムで nobody ユーザ権限を奪取するのに使われてしまいます。

これらの問題はどちらも、バージョン 1.0.6-1.1 では修正されています。 libgtop-daemon パッケージを早急にアップグレードすることをお勧めします。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/dists/stable/updates/main/source/libgtop_1.0.6-1.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/libgtop_1.0.6-1.1.dsc; http://security.debian.org/dists/stable/updates/main/source/libgtop_1.0.6.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/libgtop-daemon_1.0.6-1.1_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/libgtop-dev_1.0.6-1.1_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/libgtop1_1.0.6-1.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/libgtop-daemon_1.0.6-1.1_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/libgtop-dev_1.0.6-1.1_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/libgtop1_1.0.6-1.1_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/libgtop-daemon_1.0.6-1.1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/libgtop-dev_1.0.6-1.1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/libgtop1_1.0.6-1.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/libgtop-daemon_1.0.6-1.1_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/libgtop-dev_1.0.6-1.1_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/libgtop1_1.0.6-1.1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/libgtop-daemon_1.0.6-1.1_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/libgtop-dev_1.0.6-1.1_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/libgtop1_1.0.6-1.1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/libgtop-daemon_1.0.6-1.1_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/libgtop-dev_1.0.6-1.1_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/libgtop1_1.0.6-1.1_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。