かわぐち@SecurityWatchTeamです。 qpopper のセキュリティアドバイザリがリリースされましたのでお知らせします。 ---------------------------------------------------------------------- ●サマリ 日付 2003/03/19 タイトル qpopper にセキュリティホール パッケージ名 qpopper errata のURL http://vinelinux.org/errata/25x/20030319-1.html 関連URL http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0143 http://archives.neohapsis.com/archives/bugtraq/2003-03/0152.html http://www.st.ryukoku.ac.jp/~kjm/security/memo/2003/03.html#20030312_QPopper ---------------------------------------------------------------------- 問題の詳細 vsnprintf の実装に含まれるバグによる、qpopper の不正利用ができる問題 が発見されました。現在分かっている攻撃方法では、有効なユーザアカウント とパスワードが必要とされ pop_msg() 関数の文字列をオーバーフローさせるこ とでユーザに "mail" グループ権限とシステムのシェルをユーザに与えること ができます。 対象 Vine-2.x/{i386,ppc,alpha} で qpopper を使用している人 修正パッケージ qpopper-4.0.5-0vl0.26.i386.rpm qpopper-4.0.5-0vl0.26.ppc.rpm qpopper-4.0.5-0vl0.26.alpha.rpm アップデート方法 rpm -Fvh qpopper-4.0.5-0vl0.26.i386.rpm or apt-get update && apt-get upgrade or apt-get update && apt-get install qpopper 注意事項 特になし ---------------------------------------------------------------------- かわぐち/kawa kawa@xxxxxxxxxxxxx kawakawa@xxxxxxxxxxx