Debian セキュリティ勧告

DSA-2523-1 globus-gridftp-server -- プログラミングミス

報告日時:

2012-08-06

影響を受けるパッケージ:

globus-gridftp-server

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-3292.

詳細:

Grid システムと応用ソフトウェアを構築するために利用されるツールキットである Globus Toolkit の構成要素の GridFTP は、名前解決の際に検査が不十分であり、それにより特権昇格につながりかねないことが発見されました。

安定版 (stable) ディストリビューション (squeeze) では、この問題は globus-gridftp-server のバージョン 3.23-1+squeeze1 のソースパッケージと globus-gridftp-server-control のバージョン 0.43-1+squeeze1 のソースパッケージで修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、この問題はバージョン 6.5-1 で修正されています。

直ぐに globus-gridftp-server パッケージをアップグレードすることを勧めます。