Debian セキュリティ勧告
DSA-219-1 dhcpcd -- リモートからのコマンドの実行
- 報告日時:
- 2002-12-31
- 影響を受けるパッケージ:
- dhcpcd
- 危険性:
- あり
- 参考セキュリティデータベース:
- (SecurityFocus の) Bugtraq データベース: BugTraq ID 6200.
Mitre の CVE 辞書: CVE-2002-1403. - 詳細:
-
Simon Kelly さんにより、dhcpcd (RFC2131 および RFC1541 準拠の DHCP クライアントデーモン。クライアントのマシンで root 権限で動きます) に脆弱性が発見されました。 通常または信頼できない DHCP サーバの、悪意をもった管理者は、 DHCP サーバから提供されるオプションのどれかひとつにコマンドを 含ませたシェルのメタキャラクタに入れたコマンドを送ることで、 DHCP クライアントマシン上で root 権限で任意のコマンドを実行する ことができてしまいます。
この問題は、旧安定版 (potato) ではバージョン1.3.17pl2-8.1 で、 またテスト版 (testing) (sarge) および不安定版 (unstable) (sid) ではバージョン 1.3.22pl2-2 で修正されています。 現安定版 (woody) には、dhcpcd パッケージは含まれていません。
クライアントマシンの dhcpcd パッケージをアップグレードすることをお勧めします。
- 修正:
-
Debian GNU/Linux 2.2 (potato)
- ソース:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1.dsc
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1.diff.gz
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。