Debian セキュリティ勧告
curl and curl-ssl -- ローカルからの不正利用
- 報告日時:
- 2000-10-13
- 影響を受けるパッケージ:
- curl, curl-ssl
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2000-0973.
- 詳細:
-
Debian GNU/Linux 2.2 で配布されているバージョンの curl (ftp、gopher、
そして http を使ってファイルを取り寄せるツール)には、エラーを記録する
コードにバグがあります。このコードは、エラーメッセージを作成するときに、
メッセージを保存するために割り当てるバッファサイズのチェックに失敗して
いました。これを利用してリモートマシンが curl からのリクエストに対して
不正な応答を返すことで、エラーバッファをオーバーフローさせ、任意のコー
ドを実行させることが可能となってしまいます。
Debian は、2つのバージョンの curl があります。通常の curl パッケージと 暗号化対応の curl-ssl パッケージです。今回のバグは curl のバージョン 6.0-1.1、curl-ssl のバージョン 6.0-1.2 で修正されました。 Debian ships with two versions of curl: the normal curl package, and the crypto-enabled curl-ssl package. This bug has been fixed in curl version 6.0-1.1 and curl-ssl version 6.0-1.2 .
ただし、i386 版 curl パッケージは、間違ったコンパイルをされた ため、バージョン 6.0-1.1.1 に置き換えられています。
- 修正:
-
Debian GNU/Linux 2.2 (potato)
curl-ssl
- ソース:
- http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0-1.2.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0-1.2.dsc
- http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0-1.2.dsc
- Alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/curl-ssl_6.0-1.2_alpha.deb
- ARM:
- http://security.debian.org/dists/potato/updates/main/binary-arm/curl-ssl_6.0-1.2_arm.deb
- Intel ia32:
- http://security.debian.org/dists/potato/updates/main/binary-i386/curl-ssl_6.0-1.2_i386.deb
- PowerPC:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/curl-ssl_6.0-1.2_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/curl-ssl_6.0-1.2_sparc.deb
curl
- ソース:
- http://security.debian.org/dists/potato/updates/main/source/curl_6.0-1.1.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/curl_6.0-1.1.dsc
- http://security.debian.org/dists/potato/updates/main/source/curl_6.0.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/curl_6.0-1.1.dsc
- Alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/curl_6.0-1.1_alpha.deb
- ARM:
- http://security.debian.org/dists/potato/updates/main/binary-arm/curl_6.0-1.1_arm.deb
- Intel ia32:
- http://security.debian.org/dists/potato/updates/main/binary-i386/curl_6.0-1.1.1_i386.deb
- PowerPC:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/curl_6.0-1.1_powerpc.deb
- Sun SPARC:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/curl_6.0-1.1_sparc.deb