Debian セキュリティ勧告

DSA-139-1 super -- フォーマット文字列の脆弱性

報告日時:

2002-08-01

影響を受けるパッケージ:

super

危険性:

あり

参考セキュリティデータベース:

(SecurityFocus の) Bugtraq データベース: BugTraq ID 5367.
Mitre の CVE 辞書: CVE-2002-0817.

詳細:

GOBBLES さんにより、super パッケージに、フォーマット文字列の安全でない使用をする部分が発見されました。このパッケージに含まれているプログラム super は、プログラム sudo のように、特定のユーザやプログラムに、システムの特定のユーザへのアクセスを提供することと意図していますが、このフォーマット文字列の脆弱性を突くことでローカルのユーザが不正に root 権限を得ることができます。

この問題は、旧安定版 (stable)(potato) のバージョン 3.12.2-2.1、および現安定版 (woody) ではバージョン 3.16.1-1.1、そして不安定版 (unstable)(sid)ではバージョン 3.18.0-3 でそれぞれ修正されています。

super パッケージを早急にアップグレードすることをお勧めします。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/pool/updates/main/s/super/super_3.12.2-2.1.dsc; http://security.debian.org/pool/updates/main/s/super/super_3.12.2.orig.tar.gz; http://security.debian.org/pool/updates/main/s/super/super_3.12.2-2.1.diff.gz
Alpha:: http://security.debian.org/pool/updates/main/s/super/super_3.12.2-2.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/s/super/super_3.12.2-2.1_arm.deb
Intel ia32:: http://security.debian.org/pool/updates/main/s/super/super_3.12.2-2.1_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/s/super/super_3.12.2-2.1_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/s/super/super_3.12.2-2.1_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/s/super/super_3.12.2-2.1_sparc.deb

Debian GNU/Linux 3.0 (woody)

ソース:: http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1.dsc; http://security.debian.org/pool/updates/main/s/super/super_3.16.1.orig.tar.gz; http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1.diff.gz
Alpha:: http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_alpha.deb
Intel ia32:: http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_i386.deb
Intel ia64:: http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_ia64.deb
HP Precision:: http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_mipsel.deb
IBM S/390 architecture:: http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_s390.deb
PowerPC:: http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。