Debian セキュリティ勧告

xlockmore -- シャドウファイルが見られる可能性

報告日時:

2000-08-16

影響を受けるパッケージ:

xlockmore, xlockmore-gl

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2000-0763.

詳細:

xlockmore/xlockmore-gl のすべてのバージョンに、フォーマット文字列のバグがあります。Debian GNU/Linux 2.1 (slink) はデフォルトでは xlock を setgid でインストールし、これを利用するとシャドーファイルを読み込めるようなアクセス権限を手に入れることができるようになります。早急にアップグレードすることをお勧めします。

Debian GNU/Linux 2.2 (potato) では通常、xlockmore は権限を与えられていないプログラムとしてインストールされるので、この設定に対して脆弱ではありません。xlockmore は、それまでの経緯によって、もしくは以前の Debian GNU/Linux のリリースからのアップグレード後に setuid/setgid となります。xlock の権限、およびそれを無効にする方法については、 /usr/doc/xlockmore または /usr/doc/xlockmore-gl の中の README.Debian をご参照ください。ローカルな環境で xlock を setgid にしておく必要のある場合、もしくは疑問のある場合には、早急に、修正されたパッケージにアップグレードしてください。

修正されたパッケージは、Debian GNU/Linux 2.1 (slink) 用の xlockmore/xlockmore-gl 4.12-5 および Debian GNU/Linux 2.2 (potato) 用の xlockmore/xlockmore-gl 4.15-9 で利用可能となっています。

修正:

Debian GNU/Linux 2.1 (slink):

ソース:: http://security.debian.org/dists/slink/updates/source/xlockmore_4.12-5.diff.gz; http://security.debian.org/dists/slink/updates/source/xlockmore_4.12-5.dsc; http://security.debian.org/dists/slink/updates/source/xlockmore_4.12.orig.tar.gz
alpha:: http://security.debian.org/dists/slink/updates/binary-alpha/xlockmore-gl_4.12-5_alpha.deb; http://security.debian.org/dists/slink/updates/binary-alpha/xlockmore_4.12-5_alpha.deb
i386:: http://security.debian.org/dists/slink/updates/binary-i386/xlockmore-gl_4.12-5_i386.deb; http://security.debian.org/dists/slink/updates/binary-i386/xlockmore_4.12-5_i386.deb
alpha:: http://security.debian.org/dists/slink/updates/binary-m68k/xlockmore-gl_4.12-5_m68k.deb; http://security.debian.org/dists/slink/updates/binary-m68k/xlockmore_4.12-5_m68k.deb
sparc:: http://security.debian.org/dists/slink/updates/binary-sparc/xlockmore-gl_4.12-5_sparc.deb; http://security.debian.org/dists/slink/updates/binary-sparc/xlockmore_4.12-5_sparc.deb

Debian GNU/Linux 2.2 (potato):

ソース:: http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15-9.diff.gz; http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15-9.dsc; http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15.orig.tar.gz
alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/xlockmore-gl_4.15-9_alpha.deb; http://security.debian.org/dists/potato/updates/main/binary-alpha/xlockmore_4.15-9_alpha.deb
arm:: http://security.debian.org/dists/potato/updates/main/binary-arm/xlockmore-gl_4.15-9_arm.deb; http://security.debian.org/dists/potato/updates/main/binary-arm/xlockmore_4.15-9_arm.deb
i386:: http://security.debian.org/dists/potato/updates/main/binary-i386/xlockmore-gl_4.15-9_i386.deb; http://security.debian.org/dists/potato/updates/main/binary-i386/xlockmore_4.15-9_i386.deb
m68k:: http://security.debian.org/dists/potato/updates/main/binary-m68k/xlockmore-gl_4.15-9_m68k.deb; http://security.debian.org/dists/potato/updates/main/binary-m68k/xlockmore_4.15-9_m68k.deb
sparc:: http://security.debian.org/dists/potato/updates/main/binary-sparc/xlockmore-gl_4.15-9_sparc.deb; http://security.debian.org/dists/potato/updates/main/binary-sparc/xlockmore_4.15-9_sparc.deb
powerpc:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/xlockmore-gl_4.15-9_powerpc.deb; http://security.debian.org/dists/potato/updates/main/binary-powerpc/xlockmore_4.15-9_powerpc.deb