Debian セキュリティ勧告

DSA-005-1 slocate -- ローカルからの攻撃

報告日時:

2000-12-17

影響を受けるパッケージ:

slocate

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2001-0066.

詳細:

Michel Kaempf さんによって、slocate (ファイルシステム上で高速にファイルを検索する、locate のセキュアなバージョン) のセキュリティ上の問題が bugtraq 上で報告されました。この問題は、もともと zorgon さんによって発見されています。彼は、データベースを読み込むコードのバグを発見しました。これは、このコードが何らかの出力によって内部構造を上書きしてしまうというものです。さらに、入念に作られたデータベースを指定させることによって、この問題点を悪用して slocate に任意のコードを実行させることも可能だということも示されています。

この問題は、バージョン 2.4-2potato1 では修正されています。slocate パッケージをただちにアップデートすることをお勧めします。

修正:

Debian 2.2 (potato)

ソース:: http://security.debian.org/dists/stable/updates/main/source/slocate_2.4-2potato1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/slocate_2.4-2potato1.dsc; http://security.debian.org/dists/stable/updates/main/source/slocate_2.4.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/slocate_2.4-2potato1_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/slocate_2.4-2potato1_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/slocate_2.4-2potato1_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/slocate_2.4-2potato1_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/slocate_2.4-2potato1_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/slocate_2.4-2potato1_sparc.deb