Debian セキュリティ勧告

DSA-108-1 wmtv -- シンボリックリンクの脆弱性

報告日時:

2002-02-07

影響を受けるパッケージ:

wmtv

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2002-0247, CVE-2002-0248.

詳細:

Nicolas Boullis さんが wmtv パッケージにセキュリティ問題があることを発見しました。このパッケージは windowmaker 向けの video4linux TV プレーヤで、Debian GNU/Linux 2.2 で配布されています。現在のバージョンの wmtv では設定ファイルがルート特権で書き戻され、その際にそれ以上のチェックがなされていません。悪意を持ったユーザがこれを用いて重要なファイルを壊すことが可能です。

この問題は安定版 (stable) のバージョン 0.6.5-2potato2 で、特権を可能な限り速やかに落とし、また再度必要になった際にのみ取得するようにして修正されています。現行のテスト版 (testing) / 不安定版 (unstable) のディストリビューションでは、この問題はバージョン 0.6.5-9 以降で、特権を取得しないようにして修正されています。どちらの修正にも、2 つの潜在的バッファオーバフローの対策も含まれています。

直ぐに wmtv パッケージをアップグレードすることを薦めます。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5-2potato2.diff.gz; http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5-2potato2.dsc; http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/wmtv_0.6.5-2potato2_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/wmtv_0.6.5-2potato2_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/wmtv_0.6.5-2potato2_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/wmtv_0.6.5-2potato2_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/wmtv_0.6.5-2potato2_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/wmtv_0.6.5-2potato2_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。