Debian セキュリティ勧告

DSA-137-1 mm -- 安全でないテンポラリファイル

報告日時:
2002-07-30
影響を受けるパッケージ:
mm
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 5352.
Mitre の CVE 辞書: CVE-2002-0658.
詳細:

Marcus Meissner さんと Sebastian Krahmer さんにより、mm メモリ共有ライブラリ にテンポラリファイルの扱いに関する脆弱性が発見され、修正されました。 この問題により、このライブラリにリンクしている Apache を動かしている マシンの root 権限を、ユーザ "www-data" にシェルへのアクセスが許可され ている場合に、取得することができます。(これは PHP 経由で容易に 攻撃することができます。)

この問題は、上流のバージョン 1.2.0 の mm では修正されており、 不安定版 (unstable) の Debian ディストリビューションにこの勧告と前後して アップロードされる予定です。 potato (Debian 2.2) と woody (Debian 3.0) 用の修正済パッケージは、 下記のリンクから入手できます。

libmm パッケージを早急にアップグレードし、Apache サーバを再起動することを お勧めします。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:
http://security.debian.org/pool/updates/main/m/mm/mm_1.0.11-1.2.dsc
http://security.debian.org/pool/updates/main/m/mm/mm_1.0.11.orig.tar.gz
http://security.debian.org/pool/updates/main/m/mm/mm_1.0.11-1.2.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_alpha.deb
http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_arm.deb
http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_arm.deb
Intel ia32:
http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_i386.deb
http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_m68k.deb
http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_powerpc.deb
http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_sparc.deb
http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_sparc.deb

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/m/mm/mm_1.1.3-6.1.dsc
http://security.debian.org/pool/updates/main/m/mm/mm_1.1.3.orig.tar.gz
http://security.debian.org/pool/updates/main/m/mm/mm_1.1.3-6.1.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_alpha.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_arm.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_arm.deb
Intel ia32:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_i386.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_i386.deb
Intel ia64:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_ia64.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_ia64.deb
HP Precision:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_hppa.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_m68k.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_mips.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_mipsel.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_powerpc.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_powerpc.deb
IBM S/390 architecture:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_s390.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_sparc.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。