vine-users ML アーカイブ



[vine-users:058935] ANNOUNCE: errata of file (Vine-2.x)

  • From: kawa <kawakawa@xxxxxxxxxxx>
  • Subject: [vine-users:058935] ANNOUNCE: errata of file (Vine-2.x)
  • Date: Sat, 15 Mar 2003 14:56:22 +0900
かわぐち@SecurityWatchTeamです。

file のセキュリティアドバイザリがリリースされましたのでお知らせします。

----------------------------------------------------------------------
●サマリ
日付     2003/03/15
タイトル   file にセキュリティホール
パッケージ名 file
errata のURL http://vinelinux.org/errata/25x/20030315-1.html
関連URL    
 http://www.idefense.com/advisory/03.04.03.txt
 https://rhn.redhat.com/errata/RHSA-2003-086.html
 http://www.st.ryukoku.ac.jp/~kjm/security/memo/2003/03.html#20030313_file
----------------------------------------------------------------------

問題の詳細
  file コマンドにバッファオーバーフローの脆弱性が発見されました。巧妙に
 作成されたファイルに対して、file コマンドを実行すると、実行したユーザの
 権限で任意のコマンドの実行が可能になります。このことによりシステムの
 破壊やバックドアの作成などを行われる危険性があります。

  また、Vine Linux の vine-printfilters パッケージは内部で file コマンド
 を利用しているため、攻撃者は lp ユーザの権限でコマンドを実行することが可
 能になります。さらにいくつかの RPM系 ディストリビューションでは
 lesspipe.sh で file コマンドを呼び出すため、この脆弱性が残っていた場合に
 less を実行することで file コマンドの脆弱性を突かれる危険性があります。 

対象
 Vine-2.x/{i386,ppc,alpha} で file を使用している人
 (ほぼ全ての人が対象になります)

修正パッケージ
 file-3.41-0vl0.26.i386.rpm
 file-3.41-0vl0.26.ppc.rpm
 file-3.41-0vl0.26.alpha.rpm
 (ppcとalphaに関しては 14:30 現在準備ができておりません)

アップデート方法
 rpm -Fvh file-3.41-0vl0.26.i386.rpm
or
 apt-get update && apt-get upgrade
or
 apt-get update && apt-get install file

注意事項
 特になし
----------------------------------------------------------------------


かわぐち/kawa
kawa@xxxxxxxxxxxxx
kawakawa@xxxxxxxxxxx