Debian セキュリティ勧告

DSA-146-2 dietlibc -- 整数オーバーフロー

報告日時:

2002-08-08

影響を受けるパッケージ:

dietlibc

危険性:

あり

参考セキュリティデータベース:

(SecurityFocus の) Bugtraq データベース: BugTraq ID 5356.
Mitre の CVE 辞書: CVE-2002-0391.
CERT の脆弱性リスト、勧告および付加情報: VU#192995.

詳細:

整数オーバーフローのバグが、dietlibc (サイズを小さくするのに最適化された libc) の用いている SunRPC 由来のRPC ライブラリに発見されました。このバグは、このコードをリンクしているソフトウェアに対し、認証を通っていない root 権限の奪取に悪用可能です。下記のパッケージは、calloc、fread および fwrite のコードの整数オーバーフローも修正しています。さらに、これらは脆弱性の原因となるような、悪意をもった DNS パケットも、より厳密に取り扱うようになっています。

これらの問題は、現安定版 (stable)(woody) ではバージョン 0.12-2.4 で、不安定版 (unstable)(sid) ではバージョン 0.20-0cvs20020808 で修正されています。旧安定版の Debian 2.2 (potato) は、dietlibc パッケージを含まないので、この問題の影響は受けません。

dietlibc パッケージを早急にアップグレードすることをお勧めします。

修正:

Debian GNU/Linux 3.0 (woody)

ソース:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12-2.4.dsc; http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12-2.4.diff.gz; http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12.orig.tar.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-doc_0.12-2.4_all.deb
Alpha:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_i386.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。