Debian セキュリティ勧告
DSA-144-1 wwwoffle -- 不適切な入力の処理
- 報告日時:
- 2002-08-06
- 影響を受けるパッケージ:
- wwwoffle
- 危険性:
- あり
- 参考セキュリティデータベース:
- (SecurityFocus の) Bugtraq データベース: BugTraq ID 5260.
Mitre の CVE 辞書: CVE-2002-0818. - 詳細:
-
wwwoffle に問題が発見されました。この web プロキシは、負の値の Contents-Length を含む入力を適切に扱っておらず、処理を行う子プロセスがクラッシュします。 現時点ではこれが攻撃可能な脆弱性であるかどうかは分かっていませんが、後悔先に立たずですので、修正版を公開します。
また、woody で配布されている版では、認証の際に空のパスワードをエラーとして扱うようになりました。 また woody 版では CanonicaliseHost() を上流から提供された 2.7d のものに差し替えています。これにより、URL に含まれる誤った IPv6 アドレスが問題を起こす (メモリ上書きや、潜在的攻撃可能性) ことがなくなりました。
この問題は、旧安定版 (stable) potato のバージョン 2.5c-10.4 で、現安定版 (stable) woody のバージョン 2.7a-1.2 で、不安定版 (unstable) のバージョン 2.7d-1 で、各々修正されています。
すぐに wwwoffle パッケージをアップグレードすることを勧めます。
- 修正:
-
Debian GNU/Linux 2.2 (potato)
- ソース:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4.dsc
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4.diff.gz
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_sparc.deb
Debian GNU/Linux 3.0 (woody)
- ソース:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2.dsc
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2.diff.gz
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_ia64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。