Debian セキュリティ勧告

netscape navigator/communicator -- 遠隔からのファイルの暴露

報告日時:

2000-09-01

影響を受けるパッケージ:

navigator, communicator

危険性:

あり

参考セキュリティデータベース:

現時点では、その他の外部参考セキュリティデータベースはありません。

詳細:

現在の Netscape Communicator/Navigator パッケージは、以下の脆弱性を含んでいます:

Netscape Communicator JPEG ファイルのコメントによるヒープ領域の上書きに関する脆弱性
- JPEG イメージのコメントフィールドに埋め込まれた任意のコードを実行可能
- Netscape Communicator/Navigator のバージョン 4.0 から 4.73 がこの脆弱性を持っています
複数のベンダーによる Java Virtual Machine による、ソケットの Listening に関する脆弱性
Netscape Communicator が URL を読む際の脆弱性
- 2 番目と 3 番目のものは、 "Brown Orifice" 問題として知られています。
- この問題は、ブラウザを動かしているユーザに見えるように、コンピュータのデータをインターネット上の任意の人に暴露することに利用可能です。
- Netscape Communicator/Navigator のバージョン 4.0 から 4.74 がこの脆弱性を持っています

Netscape Communicator/Navigator を利用しているユーザは、バージョン 4.75 にアップグレードする事をお勧めします。新しいパッケージは、ソースファイルと、Debian 2.2 (potato) が動いている Intel ia32 マシン向けが利用可能です。注意していただきたいのは、新しいパッケージはすでに存在する Communicator/Navigator のパッケージを取りのぞくことはしないということです。ユーザが手動で、すでにインストールされている古いバージョンの Communicator/Navigator を取りのぞく必要があります。

Netscape のパッケージを取りのぞく方法はいくつかあります。一番簡単なのは、"apt-get remove netscape-base-473" のような命令を実行することです。必要に応じて、473 という部分を 406, 407, 408, 45, 451, 46, 461, 47, 472 に置き換えてください。もし apt-get を持っていない場合は、"dpkg --remove communicator-smotif-473 communicator-base-473 netscape-java-473 navigator-smotif-473 navigator-base-473" のような命令を、インストールされたバージョン番号に置き換えて行ってください。また、dselect を用いて取りのぞくことも可能です。

もし、/etc/apt/sources.list に、 "deb http://security.debian.org/ potato/updates main contrib non-free" という記述がある場合、"apt-get update ; apt-get install communicator" という命令で Communicator のフルパッケージ (メールとニュースを含む) を、"apt-get update ; apt-get install navigator" という命令でブラウザのみをインストールすることができます。典型的なマニュアルインストールをしたい場合は communicator-smotif-475, communicator-base-475, netscape-base-475, netscape-base-4, netscape-java-475 を入れることになります。

修正:

ソース:: http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75-2.diff.gz; http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75-2.dsc; http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75.orig.tar.gz; http://security.debian.org/dists/potato/updates/non-free/source/netscape4.base_4.75-1.dsc; http://security.debian.org/dists/potato/updates/non-free/source/netscape4.base_4.75-1.tar.gz
Intel ia32:: http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-base-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-nethelp-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-smotif-475-libc5_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-smotif-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-spellchk-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator_4.75-1_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-base-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-nethelp-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-smotif-475-libc5_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-smotif-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator_4.75-1_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-4-libc5_4.75-1_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-4_4.75-1_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-ja-resource-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-java-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-ko-resource-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-smotif-475-libc5_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-smotif-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-zh-resource-475_4.75-2_all.deb