Debian セキュリティ勧告

DSA-098-1 libgtop -- フォーマット文字列の脆弱性およびバッファオーバーフロー

報告日時:
2002-01-09
影響を受けるパッケージ:
libgtop
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2001-0927, CVE-2001-0928.
詳細:

libgtop-daemon に、二つの異なる問題が発見されました:

  • The laboratory intexxia によって、libgtop_daemon のログ取得コードの中に フォーマット文字列の問題が発見されました。 クライアントを認証する際に呼び出されるログ取得関数が2つあるので、 リモートのユーザからの攻撃が可能となってしまいます。
  • Flavio Veloso さんにより、クライアントの認証を行う関数にバッファ オーバーフローを起こす箇所が発見されました。

libgtop_daemon は nobody ユーザで動くため、この両方のバグは、 libgtop_daemon の動いているシステムで nobody ユーザ権限を奪取するのに使われてしまいます。

これらの問題はどちらも、バージョン 1.0.6-1.1 では修正されています。 libgtop-daemon パッケージを早急にアップグレードすることをお勧めします。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:
http://security.debian.org/dists/stable/updates/main/source/libgtop_1.0.6-1.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/libgtop_1.0.6-1.1.dsc
http://security.debian.org/dists/stable/updates/main/source/libgtop_1.0.6.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/libgtop-daemon_1.0.6-1.1_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/libgtop-dev_1.0.6-1.1_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/libgtop1_1.0.6-1.1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/libgtop-daemon_1.0.6-1.1_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/libgtop-dev_1.0.6-1.1_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/libgtop1_1.0.6-1.1_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/libgtop-daemon_1.0.6-1.1_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/libgtop-dev_1.0.6-1.1_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/libgtop1_1.0.6-1.1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/libgtop-daemon_1.0.6-1.1_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/libgtop-dev_1.0.6-1.1_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/libgtop1_1.0.6-1.1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/libgtop-daemon_1.0.6-1.1_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/libgtop-dev_1.0.6-1.1_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/libgtop1_1.0.6-1.1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/libgtop-daemon_1.0.6-1.1_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/libgtop-dev_1.0.6-1.1_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/libgtop1_1.0.6-1.1_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。