Debian セキュリティ勧告
xlockmore -- シャドウファイルが見られる可能性
- 報告日時:
- 2000-08-16
- 影響を受けるパッケージ:
- xlockmore, xlockmore-gl
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2000-0763.
- 詳細:
- xlockmore/xlockmore-gl のすべてのバージョンに、
フォーマット文字列のバグがあります。Debian GNU/Linux 2.1 (slink) はデ
フォルトでは xlock を setgid でインストールし、これを利用するとシャドー
ファイルを読み込めるようなアクセス権限を手に入れることができるようにな
ります。早急にアップグレードすることをお勧めします。
Debian GNU/Linux 2.2 (potato) では通常、xlockmore は権限を与えられ ていないプログラムとしてインストールされるので、この設定に対して脆弱で はありません。xlockmore は、それまでの経緯によって、もしくは以前の Debian GNU/Linux のリリースからのアップグレード後に setuid/setgid とな ります。xlock の権限、およびそれを無効にする方法については、 /usr/doc/xlockmore または /usr/doc/xlockmore-gl の中の README.Debian をご参照ください。ローカルな環境で xlock を setgid にしておく必要のあ る場合、もしくは疑問のある場合には、早急に、修正されたパッケージにアッ プグレードしてください。
修正されたパッケージは、Debian GNU/Linux 2.1 (slink) 用の xlockmore/xlockmore-gl 4.12-5 および Debian GNU/Linux 2.2 (potato) 用 の xlockmore/xlockmore-gl 4.15-9 で利用可能となっていま す。
- 修正:
-
Debian GNU/Linux 2.1 (slink):
- ソース:
- http://security.debian.org/dists/slink/updates/source/xlockmore_4.12-5.diff.gz
- http://security.debian.org/dists/slink/updates/source/xlockmore_4.12-5.dsc
- http://security.debian.org/dists/slink/updates/source/xlockmore_4.12.orig.tar.gz
- http://security.debian.org/dists/slink/updates/source/xlockmore_4.12-5.dsc
- alpha:
- http://security.debian.org/dists/slink/updates/binary-alpha/xlockmore-gl_4.12-5_alpha.deb
- http://security.debian.org/dists/slink/updates/binary-alpha/xlockmore_4.12-5_alpha.deb
- i386:
- http://security.debian.org/dists/slink/updates/binary-i386/xlockmore-gl_4.12-5_i386.deb
- http://security.debian.org/dists/slink/updates/binary-i386/xlockmore_4.12-5_i386.deb
- alpha:
- http://security.debian.org/dists/slink/updates/binary-m68k/xlockmore-gl_4.12-5_m68k.deb
- http://security.debian.org/dists/slink/updates/binary-m68k/xlockmore_4.12-5_m68k.deb
- sparc:
- http://security.debian.org/dists/slink/updates/binary-sparc/xlockmore-gl_4.12-5_sparc.deb
- http://security.debian.org/dists/slink/updates/binary-sparc/xlockmore_4.12-5_sparc.deb
Debian GNU/Linux 2.2 (potato):
- ソース:
- http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15-9.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15-9.dsc
- http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15-9.dsc
- alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/xlockmore-gl_4.15-9_alpha.deb
- http://security.debian.org/dists/potato/updates/main/binary-alpha/xlockmore_4.15-9_alpha.deb
- arm:
- http://security.debian.org/dists/potato/updates/main/binary-arm/xlockmore-gl_4.15-9_arm.deb
- http://security.debian.org/dists/potato/updates/main/binary-arm/xlockmore_4.15-9_arm.deb
- i386:
- http://security.debian.org/dists/potato/updates/main/binary-i386/xlockmore-gl_4.15-9_i386.deb
- http://security.debian.org/dists/potato/updates/main/binary-i386/xlockmore_4.15-9_i386.deb
- m68k:
- http://security.debian.org/dists/potato/updates/main/binary-m68k/xlockmore-gl_4.15-9_m68k.deb
- http://security.debian.org/dists/potato/updates/main/binary-m68k/xlockmore_4.15-9_m68k.deb
- sparc:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/xlockmore-gl_4.15-9_sparc.deb
- http://security.debian.org/dists/potato/updates/main/binary-sparc/xlockmore_4.15-9_sparc.deb
- powerpc:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/xlockmore-gl_4.15-9_powerpc.deb
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/xlockmore_4.15-9_powerpc.deb