Debian セキュリティ勧告

DSA-034-1 ePerl -- バッファオーバフロー - ローカルから、及びリモートからの攻撃

報告日時:

2001-03-07

影響を受けるパッケージ:

eperl

危険性:

あり

参考セキュリティデータベース:

(SecurityFocus の) Bugtraq データベース: BugTraq ID 2464.
Mitre の CVE 辞書: CVE-2001-0458.

詳細:

Fumitoshi Ukai さんと Denis Barbier さんによって私たちのディストリビューションすべてに収録されている ePerl パッケージにバッファオーバフローのバグがいくつか発見されました。 eperl が root に setuid されている場合、実行時権限をスクリプトの所有者の UID/GID に変更することができます。Debian ではこのプログラムは setuid root として配布はしていませんが、これは便利な機能のため、ローカルでこの機能を有効化している場合があるかもしれません。また、このプログラムが /usr/lib/cgi-bin/nph-eperl として使われている場合、このバグはリモートからの攻撃に使われる可能性もあります。

Version 2.2.14-0.7potato2 で修正されました。すぐに eperl パッケージをアップグレードすることを薦めます

修正:

Debian 2.2 (potato)

ソース:: http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.diff.gz; http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.dsc; http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/eperl_2.2.14-0.7potato2_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/eperl_2.2.14-0.7potato2_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/eperl_2.2.14-0.7potato2_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/eperl_2.2.14-0.7potato2_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/eperl_2.2.14-0.7potato2_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/eperl_2.2.14-0.7potato2_sparc.deb