Debian セキュリティ勧告

DSA-760-1 ekg -- 複数の脆弱性

報告日時:
2005-07-18
影響を受けるパッケージ:
ekg
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 317027, バグ 318059.
Mitre の CVE 辞書: CVE-2005-1850, CVE-2005-1851, CVE-2005-1916.
詳細:

コンソール Gadu Gadu クライアント、インスタントメッセージプログラ ekg に複数の欠陥が発見されました。The Common Vulnerabilities and Exposures project は以下の脆弱性を認識しています:

  • CAN-2005-1850

    Marcin Owsiany さんと Wojtek Kaniewski さんが、contrib のスクリプトが 安全でない方法により一時ファイルを作成していることを発見しました。

  • CAN-2005-1851

    Marcin Owsiany さんと Wojtek Kaniewski さんが、contrib のスクリプトにシェルコマンドインジェクションの可能性を発見しました。

  • CAN-2005-1916

    Eric Romang さんが、contrib のスクリプトに、 安全でない方法による一時ファイルの作成および任意のコマンドの実行を発見しました。 ローカルの攻撃者により悪用することが可能です。

旧安定版 (old stable) ディストリビューション (woody) には ekg パッケージは含まれません。

安定版 (stable) ディストリビューション (sarge) では、この問題はバージョン 1.5+20050411-4 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.5+20050712+1.6rc2-1 で修正されています。

直ちに ekg パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 3.1 (sarge)

ソース:
http://security.debian.org/pool/updates/main/e/ekg/ekg_1.5+20050411-4.dsc
http://security.debian.org/pool/updates/main/e/ekg/ekg_1.5+20050411-4.diff.gz
http://security.debian.org/pool/updates/main/e/ekg/ekg_1.5+20050411.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/e/ekg/ekg_1.5+20050411-4_alpha.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu-dev_1.5+20050411-4_alpha.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu3_1.5+20050411-4_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/e/ekg/ekg_1.5+20050411-4_arm.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu-dev_1.5+20050411-4_arm.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu3_1.5+20050411-4_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/e/ekg/ekg_1.5+20050411-4_i386.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu-dev_1.5+20050411-4_i386.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu3_1.5+20050411-4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/e/ekg/ekg_1.5+20050411-4_ia64.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu-dev_1.5+20050411-4_ia64.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu3_1.5+20050411-4_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/e/ekg/ekg_1.5+20050411-4_hppa.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu-dev_1.5+20050411-4_hppa.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu3_1.5+20050411-4_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/e/ekg/ekg_1.5+20050411-4_m68k.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu-dev_1.5+20050411-4_m68k.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu3_1.5+20050411-4_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/e/ekg/ekg_1.5+20050411-4_mips.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu-dev_1.5+20050411-4_mips.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu3_1.5+20050411-4_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/e/ekg/ekg_1.5+20050411-4_mipsel.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu-dev_1.5+20050411-4_mipsel.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu3_1.5+20050411-4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/e/ekg/ekg_1.5+20050411-4_powerpc.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu-dev_1.5+20050411-4_powerpc.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu3_1.5+20050411-4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/e/ekg/ekg_1.5+20050411-4_s390.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu-dev_1.5+20050411-4_s390.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu3_1.5+20050411-4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/e/ekg/ekg_1.5+20050411-4_sparc.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu-dev_1.5+20050411-4_sparc.deb
http://security.debian.org/pool/updates/main/e/ekg/libgadu3_1.5+20050411-4_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。