Debian セキュリティ勧告

nis -- ローカルからの攻撃

報告日時:

2000-10-14

影響を受けるパッケージ:

nis

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2000-1040.

詳細:

Debian GNU/Linux 2.1 および 2.2 において配布された nis のバージョンには、セキュリティ上の問題のある ypbind パッケージが含まれています。

ypbind は、 nis サーバから情報を要求します。その情報は、ローカルのマシンで利用されることになります。ypbind がログをとるコードは、巧妙に作成されたリクエストを ypbind に渡すことによる printf フォーマット攻撃に対して脆弱です。そのため、ypbind に root として任意のコードを実行させることが可能となってしまいます。

この問題は、Debian GNU/Linux 2.1 用のバージョン 3.5-2.1 および Debian GNU/Linux 2.2 用のバージョン 3.8-0.1 では修正されていす。

注記: 現在は、alpha および sparc 用の slink のセキュリティアップデートは作成さなくなっています。i386 および m68k のサポートは今月末まで続く予定です。

修正:

Debian GNU/Linux 2.1 (slink)

ソース:: http://security.debian.org/dists/slink/updates/source/nis_3.5-2.1.diff.gz; http://security.debian.org/dists/slink/updates/source/nis_3.5-2.1.dsc; http://security.debian.org/dists/slink/updates/source/nis_3.5.orig.tar.gz
Intel IA32:: http://security.debian.org/dists/slink/updates/binary-i386/nis_3.5-2.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/slink/updates/binary-m68k/nis_3.5-2.1_m68k.deb

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/dists/potato/updates/main/source/nis_3.8-0.1.diff.gz; http://security.debian.org/dists/potato/updates/main/source/nis_3.8-0.1.dsc; http://security.debian.org/dists/potato/updates/main/source/nis_3.8.orig.tar.gz
Alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/nis_3.8-0.1_alpha.deb
ARM:: http://security.debian.org/dists/potato/updates/main/binary-arm/nis_3.8-0.1_arm.deb
Intel IA32:: http://security.debian.org/dists/potato/updates/main/binary-i386/nis_3.8-0.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/potato/updates/main/binary-m68k/nis_3.8-0.1_m68k.deb
PowerPC:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/nis_3.8-0.1_powerpc.deb
Sun SPARC:: http://security.debian.org/dists/potato/updates/main/binary-sparc/nis_3.8-0.1_sparc.deb