Debian セキュリティ勧告

DSA-141-1 mpack -- バッファオーバーフロー

報告日時:
2002-08-01
影響を受けるパッケージ:
mpack
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 5385.
Mitre の CVE 辞書: CVE-2002-1425.
詳細:

Eckehard Berns さんにより、MIME (Multipurpose Internet Mail Extensions) フォーマットのメールメッセージに含まれるバイナリファイルの (それぞれ の) デコードに用いる、munpack プログラムにバッファオーバフローの問題が 発見されました。munpack プログラムが、所定形式で悪意を持って作成された メール (またはニュース記事) に対して実行された場合、このプログラムは クラッシュし、場合によっては任意のコードを実行させることができる可能性もあります。

Herbert Xu さんにより、不正に作成されたファイル名により、"../a" の ように上位ディレクトリのファイルを参照できるという、もう一つの脆弱性が 発見されました。 先頭につけられる "../" は 1 個だけであること、また新規ファイルの作成のみが 可能であること (ファイルの上書きはできません) により、 セキュリティ上の影響は限られています。

これらの問題はどちらも、旧安定版 (potato) ではバージョン 1.5-5potato2 で、現安定版 (woody) ではバージョン 1.5-7woody2 で、 そして不安定版 (unstable)(sid) ではバージョン version 1.5-9 で 修正されています。

mpack パッケージを早急にアップグレードすることをお勧めします。 We recommend that you upgrade your mpack package immediately.

修正:

Debian GNU/Linux 2.2 (potato)

ソース:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2.dsc
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2.diff.gz
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_sparc.deb

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2.dsc
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2.diff.gz
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_ia64.deb
HP Precision:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。