XXXXXXXX@XXXXXXXX wrote: 修正済みのパッケージを一時的に置いておきます (srcと6のみ) libpng-1.2.47-1 (src/x86/x86_64) CVE-2011-3026/VU#523889 http://178.18.250.134/rpm/security/libpng/ jasper-1.900.1-9 (src/x86/x86_64) CVE-2007-2721 CVE-2008-3520 CVE-2008-3522 CVE-2011-4516/VU#887409 http://178.18.250.134/rpm/security/jasper/ libvorbis-1.3.1-2 (src/x86/x86_64) CVE-2012-0444 http://178.18.250.134/rpm/security/libvorbis/ エラッタにlibsoupに関した情報を見かけたが、実際なおされていませんと思 う。 http://vinelinux.org/errata/6x/20120124-2.html centos(/gnomeチーム)からのパッチ --- a/libsoup/soup-server.c +++ b/libsoup/soup-server.c @@ -779,6 +779,15 @@ got_headers (SoupMessage *req, SoupClientContext *client) uri = soup_message_get_uri (req); decoded_path = soup_uri_decode (uri->path); + + if (strstr (decoded_path, "/../") || + g_str_has_suffix (decoded_path, "/..")) { + /* Introducing new ".." segments is not allowed */ + g_free (decoded_path); + soup_message_set_status (req, SOUP_STATUS_BAD_REQUEST); + return; + } + soup_uri_set_path (uri, decoded_path); g_free (decoded_path); } == このレポートの詳細は以下の通りです == レポート ID : 1265 レポート URL : http://bts.vinelinux.org/guest.cgi?project=VineLinux&action=view_report&id=1265 分類 : バグ バージョン : Vine-6.0 関連パッケージ : libpng jasper pidgin openldap libsoup gnutls telepathy-gabble rsyslog acpid cups rpm arch : x86, x86_64 状態 : 新規 優先度 : 中 重大度 : 普通 担当者 : 未定 # あなたが、このようなメッセージに無関係である場合には、 # 管理者 <Vine@xxxxxxxxxxxxx> までご連絡ください。 -- Bug Tracking System 影舞 0.8.8. http://www.daifukuya.com/kagemai/ _______________________________________________ VineSeed mailing list VineSeed@xxxxxxxxxxxxx http://lists.vinelinux.org/mailman/listinfo/vineseed