セキュリティ情報 / 2001 / セキュリティ情報 -- DSA-034-1 ePerl

Debian セキュリティ勧告

DSA-034-1 ePerl -- バッファオーバフロー - ローカルから、及びリモートからの攻撃

報告日時:

2001-03-07

影響を受けるパッケージ:

eperl

危険性:

あり

参考セキュリティデータベース:

(SecurityFocus の) Bugtraq データベース: BugTraq ID 2464.
Mitre の CVE 辞書: CVE-2001-0458.

詳細:

Fumitoshi Ukai さんと Denis Barbier さんによって私たちのディストリビューションすべてに収録されている ePerl パッケージにバッファオーバフローのバグがいくつか発見されました。 eperl が root に setuid されている場合、実行時権限をスクリプトの所有 者の UID/GID に変更することができます。Debian ではこのプログラムは setuid root として配布はしていませんが、これは便利な機能のため、 ローカルでこの機能を有効化している場合があるかもしれません。 また、このプログラムが /usr/lib/cgi-bin/nph-eperl として使われている 場合、このバグはリモートからの攻撃に使われる可能性もあります。

Version 2.2.14-0.7potato2 で修正されました。 すぐに eperl パッケージをアップグレードすることを薦めます

修正:

Debian 2.2 (potato)

ソース:

http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.diff.gz

http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.dsc

http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14.orig.tar.gz

alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/eperl_2.2.14-0.7potato2_alpha.deb

arm:

http://security.debian.org/dists/stable/updates/main/binary-arm/eperl_2.2.14-0.7potato2_arm.deb

i386:

http://security.debian.org/dists/stable/updates/main/binary-i386/eperl_2.2.14-0.7potato2_i386.deb

m68k:

http://security.debian.org/dists/stable/updates/main/binary-m68k/eperl_2.2.14-0.7potato2_m68k.deb

powerpc:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/eperl_2.2.14-0.7potato2_powerpc.deb

sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/eperl_2.2.14-0.7potato2_sparc.deb