Debian セキュリティ勧告

DSA-307-1 gps -- 複数の脆弱性

報告日時:
2003-05-27
影響を受けるパッケージ:
gps
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 7736.
Mitre の CVE 辞書: CVE-2003-0361, CVE-2003-0360, CVE-2003-0362.
詳細:

gPS はシステムプロセスを視覚的に見るためのアプリケーションです。 gps パッケージのリリース 1.1.0 で changelog に述べられているように、複数のセキュリティ脆弱性が修正されています:

  • rgpsp 接続ソース受け入れポリシーのバグを修正 (/etc/rgpsp.conf ファイルでは許可しないように設定していても、 あらゆるホストからの接続を許可していました)。 これは現在機能してはいますが、現実の (「実使用」) ネットワークの場合は IP フィルタリング (ipchains や iptables) により、ポリシーを強化することを勧めます。
  • 複数のバッファオーバフローの可能性が修正されました。 その多くを指摘してくれた ALT-Linux の Stanislav Ievlev さんに感謝します。
  • rgpsp プロトコルのコマンドラインパラメータ出力書式の誤りを修正 (改行が含まれるコマンド行がプロトコル違反となる)。
  • 長大なコマンド行 (128 文字以上) でプロセスを起動すると rgpsp が SIGSEGV を引き起こすバッファオーバフローバグを修正 [Linux 限定]。

この問題はすべて Debian の gps パッケージ バージョン 0.9.4-1 に影響し、Debian woody にあります。Debian potato にも gps パッケージ (バージョン 0.4.1-2) は含まれますが、そのバージョンでは関連する機能が実装されていないため、 この問題の影響はありません。

安定版 (stable) ディストリビューション (woody) では、この問題はバージョン 0.9.4-1woody1 で修正されています。

旧安定版 (old stable) ディストリビューション (potato) にはこの問題の影響はありません。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.1.0-1 で修正されています。

直ちに gps パッケージを更新することを勧めます。

修正:

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1.dsc
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1.diff.gz
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_alpha.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_arm.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_i386.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_ia64.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_hppa.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_m68k.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_mips.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_mipsel.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_powerpc.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_s390.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_sparc.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。