Debian セキュリティ勧告

DSA-085-1 nvi -- フォーマット文字列の脆弱性

報告日時:

2001-10-20

影響を受けるパッケージ:

nvi, nvi-m17n

危険性:

あり

参考セキュリティデータベース:

現時点では、その他の外部参考セキュリティデータベースはありません。

詳細:

Takeshi Uno さんにより、すべてのバージョンの nvi (元のバージョンと多言語対応版の両方) に非常にお粗末なフォーマット文字列の脆弱性が発見されました。ファイル名をセーブする際には、それを画面に表示するようになっていますが、この処理でフォーマット文字列をエスケープしていませんでした。

この問題はDebian GNU/Linux 2.2 において、nvi のバージョン 1.79-16a.1 と nvi-m17n 1.79+19991117-2.3 で修正されています。

よほど間抜けなことをしない限り、この問題によって他のユーザのアカウントによるアクセスができるとは考えられませんが、 nvi パッケージをアップグレードすることをお勧めします。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/dists/stable/updates/main/source/nvi-m17n_1.79+19991117-2.3.diff.gz; http://security.debian.org/dists/stable/updates/main/source/nvi-m17n_1.79+19991117-2.3.dsc; http://security.debian.org/dists/stable/updates/main/source/nvi-m17n_1.79+19991117.orig.tar.gz; http://security.debian.org/dists/stable/updates/main/source/nvi_1.79-16a.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/nvi_1.79-16a.1.dsc; http://security.debian.org/dists/stable/updates/main/source/nvi_1.79.orig.tar.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/dists/stable/updates/main/binary-all/nvi-m17n-common_1.79+19991117-2.3_all.deb
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/nvi-m17n-canna_1.79+19991117-2.3_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/nvi-m17n_1.79+19991117-2.3_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/nvi_1.79-16a.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/nvi-m17n-canna_1.79+19991117-2.3_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/nvi-m17n_1.79+19991117-2.3_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/nvi_1.79-16a.1_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/nvi-m17n-canna_1.79+19991117-2.3_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/nvi-m17n_1.79+19991117-2.3_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/nvi_1.79-16a.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/nvi-m17n-canna_1.79+19991117-2.3_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/nvi-m17n_1.79+19991117-2.3_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/nvi_1.79-16a.1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/nvi-m17n-canna_1.79+19991117-2.3_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/nvi-m17n_1.79+19991117-2.3_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/nvi_1.79-16a.1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/nvi-m17n-canna_1.79+19991117-2.3_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/nvi-m17n_1.79+19991117-2.3_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/nvi_1.79-16a.1_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。