かわぐち@SecurityWatchTeamです。 file のセキュリティアドバイザリがリリースされましたのでお知らせします。 ---------------------------------------------------------------------- ●サマリ 日付 2003/03/15 タイトル file にセキュリティホール パッケージ名 file errata のURL http://vinelinux.org/errata/25x/20030315-1.html 関連URL http://www.idefense.com/advisory/03.04.03.txt https://rhn.redhat.com/errata/RHSA-2003-086.html http://www.st.ryukoku.ac.jp/~kjm/security/memo/2003/03.html#20030313_file ---------------------------------------------------------------------- 問題の詳細 file コマンドにバッファオーバーフローの脆弱性が発見されました。巧妙に 作成されたファイルに対して、file コマンドを実行すると、実行したユーザの 権限で任意のコマンドの実行が可能になります。このことによりシステムの 破壊やバックドアの作成などを行われる危険性があります。 また、Vine Linux の vine-printfilters パッケージは内部で file コマンド を利用しているため、攻撃者は lp ユーザの権限でコマンドを実行することが可 能になります。さらにいくつかの RPM系 ディストリビューションでは lesspipe.sh で file コマンドを呼び出すため、この脆弱性が残っていた場合に less を実行することで file コマンドの脆弱性を突かれる危険性があります。 対象 Vine-2.x/{i386,ppc,alpha} で file を使用している人 (ほぼ全ての人が対象になります) 修正パッケージ file-3.41-0vl0.26.i386.rpm file-3.41-0vl0.26.ppc.rpm file-3.41-0vl0.26.alpha.rpm (ppcとalphaに関しては 14:30 現在準備ができておりません) アップデート方法 rpm -Fvh file-3.41-0vl0.26.i386.rpm or apt-get update && apt-get upgrade or apt-get update && apt-get install file 注意事項 特になし ---------------------------------------------------------------------- かわぐち/kawa kawa@xxxxxxxxxxxxx kawakawa@xxxxxxxxxxx