Debian セキュリティ勧告
DSA-959-1 unalz -- バッファオーバフロー
- 報告日時:
- 2006-01-30
- 影響を受けるパッケージ:
- unalz
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 340842.
Mitre の CVE 辞書: CVE-2005-3862. - 詳細:
-
Debian セキュリティ監査プロジェクトの Ulf Härnhammar さんが、ALZ アーカイブ用の伸張プログラム unalz がファイル名の解析時に境界チェックを十分に行っていないことを発見しました。 攻撃者が細工した ALZ アーカイブを提供した場合、任意のコードの実行につながる可能性があります。
旧安定版 (old stable) ディストリビューション (woody) には unalz は含まれません。
安定版 (stable) ディストリビューション (sarge) では、この問題はバージョン 0.30.1 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修正予定です。
直ちに unalz パッケージをアップグレードすることを勧めます。
- 修正:
-
Debian GNU/Linux 3.1 (sarge)
- ソース:
- http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1.dsc
- http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1.tar.gz
- http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/u/unalz/unalz_0.30.1_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。