Debian セキュリティ勧告
DSA-146-2 dietlibc -- 整数オーバーフロー
- 報告日時:
- 2002-08-08
- 影響を受けるパッケージ:
- dietlibc
- 危険性:
- あり
- 参考セキュリティデータベース:
- (SecurityFocus の) Bugtraq データベース: BugTraq ID 5356.
Mitre の CVE 辞書: CVE-2002-0391.
CERT の脆弱性リスト、勧告および付加情報: VU#192995. - 詳細:
-
整数オーバーフローのバグが、dietlibc (サイズを小さくするのに最適化 された libc) の用いている SunRPC 由来のRPC ライブラリに発見されました。 このバグは、このコードをリンクしているソフトウェアに対し、認証を通って いない root 権限の奪取に悪用可能です。 下記のパッケージは、calloc、fread および fwrite のコードの整数オーバー フローも修正しています。さらに、これらは脆弱性の原因となるような、悪意 をもった DNS パケットも、より厳密に取り扱うようになっています。
これらの問題は、現安定版 (stable)(woody) ではバージョン 0.12-2.4 で、 不安定版 (unstable)(sid) ではバージョン 0.20-0cvs20020808 で修正 されています。 旧安定版の Debian 2.2 (potato) は、dietlibc パッケージを含まないので、 この問題の影響は受けません。
dietlibc パッケージを早急にアップグレードすることをお勧めします。
- 修正:
-
Debian GNU/Linux 3.0 (woody)
- ソース:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12-2.4.dsc
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12-2.4.diff.gz
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12-2.4.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-doc_0.12-2.4_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_i386.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。