diff options
author | Kenshi Muto <kmuto> | 2016-05-28 10:27:09 +0000 |
---|---|---|
committer | Kenshi Muto <kmuto> | 2016-05-28 10:27:09 +0000 |
commit | a1cc5bac28d6ef9cd4695147be242858700ada23 (patch) | |
tree | 0f0cc342dd5b7a13b38842098b78cb144fdbc5ab /japanese/security | |
parent | fc3d48d93f573def0d8b258989ace05267109a69 (diff) |
update Japanese translation
CVS version numbers
japanese/security/2013/dsa-2815.wml: 1.2 -> 1.3
japanese/security/2014/dla-100.wml: INITIAL -> 1.1
japanese/security/2014/dla-101.wml: INITIAL -> 1.1
japanese/security/2014/dla-102.wml: INITIAL -> 1.1
japanese/security/2014/dla-103.wml: INITIAL -> 1.1
japanese/security/2014/dla-104.wml: INITIAL -> 1.1
japanese/security/2014/dla-105.wml: INITIAL -> 1.1
japanese/security/2014/dla-106.wml: INITIAL -> 1.1
japanese/security/2014/dla-107.wml: INITIAL -> 1.1
japanese/security/2014/dla-108.wml: INITIAL -> 1.1
japanese/security/2014/dla-109.wml: INITIAL -> 1.1
japanese/security/2014/dla-110.wml: INITIAL -> 1.1
japanese/security/2014/dla-111.wml: INITIAL -> 1.1
japanese/security/2014/dla-112.wml: INITIAL -> 1.1
japanese/security/2014/dla-113.wml: INITIAL -> 1.1
japanese/security/2014/dla-114.wml: INITIAL -> 1.1
japanese/security/2014/dla-115.wml: INITIAL -> 1.1
japanese/security/2014/dla-117.wml: INITIAL -> 1.1
japanese/security/2014/dla-118.wml: INITIAL -> 1.1
japanese/security/2014/dla-119.wml: INITIAL -> 1.1
japanese/security/2014/dla-120.wml: INITIAL -> 1.1
japanese/security/2014/dla-121.wml: INITIAL -> 1.1
japanese/security/2014/dla-122.wml: INITIAL -> 1.1
japanese/security/2014/dla-123.wml: INITIAL -> 1.1
japanese/security/2014/dla-124.wml: INITIAL -> 1.1
japanese/security/2014/dla-125.wml: INITIAL -> 1.1
japanese/security/2014/dla-126.wml: INITIAL -> 1.1
japanese/security/2014/dla-20.wml: INITIAL -> 1.1
japanese/security/2014/dla-38.wml: INITIAL -> 1.1
japanese/security/2014/dla-53.wml: INITIAL -> 1.1
japanese/security/2014/dla-54.wml: INITIAL -> 1.1
japanese/security/2014/dla-59.wml: INITIAL -> 1.1
japanese/security/2014/dla-63.wml: INITIAL -> 1.1
japanese/security/2014/dla-68.wml: INITIAL -> 1.1
japanese/security/2014/dla-69.wml: INITIAL -> 1.1
japanese/security/2014/dla-70.wml: INITIAL -> 1.1
japanese/security/2014/dla-71.wml: INITIAL -> 1.1
japanese/security/2014/dla-72.wml: INITIAL -> 1.1
japanese/security/2014/dla-74.wml: INITIAL -> 1.1
japanese/security/2014/dla-75.wml: INITIAL -> 1.1
japanese/security/2014/dla-76.wml: INITIAL -> 1.1
japanese/security/2014/dla-77.wml: INITIAL -> 1.1
japanese/security/2014/dla-78.wml: INITIAL -> 1.1
japanese/security/2014/dla-79.wml: INITIAL -> 1.1
japanese/security/2014/dla-80.wml: INITIAL -> 1.1
japanese/security/2014/dla-81.wml: INITIAL -> 1.1
japanese/security/2014/dla-82.wml: INITIAL -> 1.1
japanese/security/2014/dla-83.wml: INITIAL -> 1.1
japanese/security/2014/dla-84.wml: INITIAL -> 1.1
japanese/security/2014/dla-85.wml: INITIAL -> 1.1
japanese/security/2014/dla-86.wml: INITIAL -> 1.1
japanese/security/2014/dla-87.wml: INITIAL -> 1.1
japanese/security/2014/dla-88.wml: INITIAL -> 1.1
japanese/security/2014/dla-89.wml: INITIAL -> 1.1
japanese/security/2014/dla-90.wml: INITIAL -> 1.1
japanese/security/2014/dla-92.wml: INITIAL -> 1.1
japanese/security/2014/dla-93.wml: INITIAL -> 1.1
japanese/security/2014/dla-94.wml: INITIAL -> 1.1
japanese/security/2014/dla-95.wml: INITIAL -> 1.1
japanese/security/2014/dla-96.wml: INITIAL -> 1.1
japanese/security/2014/dla-97.wml: INITIAL -> 1.1
japanese/security/2014/dla-98.wml: INITIAL -> 1.1
japanese/security/2014/dla-99.wml: INITIAL -> 1.1
japanese/security/2014/dsa-2936.wml: 1.1 -> 1.2
japanese/security/2014/dsa-3054.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3055.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3056.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3058.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3059.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3060.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3061.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3062.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3063.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3064.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3065.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3066.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3067.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3068.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3069.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3070.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3071.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3072.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3073.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3075.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3076.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3077.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3078.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3079.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3080.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3081.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3082.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3083.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3084.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3085.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3086.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3087.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3088.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3089.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3090.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3091.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3092.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3093.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3094.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3095.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3096.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3097.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3098.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3099.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3100.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3101.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3102.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3103.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3104.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3105.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3106.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3109.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3110.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3111.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3112.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3113.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3114.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3115.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3116.wml: INITIAL -> 1.1
japanese/security/2014/dsa-3117.wml: INITIAL -> 1.1
Diffstat (limited to 'japanese/security')
124 files changed, 3119 insertions, 2 deletions
diff --git a/japanese/security/2013/dsa-2815.wml b/japanese/security/2013/dsa-2815.wml index 585b7715eaa..8eccdc747c5 100644 --- a/japanese/security/2013/dsa-2815.wml +++ b/japanese/security/2013/dsa-2815.wml @@ -19,7 +19,7 @@ The Common Vulnerabilities and Exposures project は以下の問題を認識し <p>プラグインを有効化して multigraph サービス名に <q>multigraph</q> を利用している悪意のあるノードが、 - プラグインが実行されている全ノードのデータ収集を停止させることが可能です。</p></li> + プラグインが実行されているノード全体のデータ収集を停止させることが可能です。</p></li> </ul> diff --git a/japanese/security/2014/dla-100.wml b/japanese/security/2014/dla-100.wml new file mode 100644 index 00000000000..3824968f531 --- /dev/null +++ b/japanese/security/2014/dla-100.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>テキストベースのメールリーダー mutt に欠陥が発見されています。 +特別に細工したメールヘッダにより mutt +のクラッシュを引き起こすことが可能で、サービス拒否につながります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は mutt +バージョン 1.5.20-9+squeeze4 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-100.data" + diff --git a/japanese/security/2014/dla-101.wml b/japanese/security/2014/dla-101.wml new file mode 100644 index 00000000000..b0c03e018c9 --- /dev/null +++ b/japanese/security/2014/dla-101.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Google セキュリティチームの Josh Duart さんが、JPEG-2000 ファイルを操作するライブラリ +JasPer にヒープベースのバッファオーバーフローの欠陥を発見しています。サービス拒否 +(アプリケーションのクラッシュ) や任意のコードの実行につながる可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は jasper バージョン 1.900.1-7+squeeze2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-101.data" + diff --git a/japanese/security/2014/dla-102.wml b/japanese/security/2014/dla-102.wml new file mode 100644 index 00000000000..606070b5540 --- /dev/null +++ b/japanese/security/2014/dla-102.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>コマンドラインのネットワークトラフィック分析ツール tcpdump +に複数の欠陥が発見されました。サービス拒否やメモリからの機密情報漏洩、 +潜在的には任意のコードの実行につながる可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は tcpdump +バージョン 4.1.1-1+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-102.data" + diff --git a/japanese/security/2014/dla-103.wml b/japanese/security/2014/dla-103.wml new file mode 100644 index 00000000000..36285041148 --- /dev/null +++ b/japanese/security/2014/dla-103.wml @@ -0,0 +1,80 @@ +#use wml::debian::translation-check translation="1.4" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>このセキュリティアップロードは Debian のカーネル、セキュリティ、LTS +の各チームが連携して行いました。上流の安定版リリース +2.6.32.64 を取り込んでいます (さらなる情報については <a +href="https://lkml.org/lkml/2014/11/23/181">https://lkml.org/lkml/2014/11/23/181</a> +を見てください)。以下の CVE を修正しています。</p> + +<p><b>注意</b>: openvz フレーバーを利用している場合は以下の3点を考慮してください:<br /> +a.) openvz フレーバーに関するフィードバックは全く受け取っていません + (他のフレーバーについてはどれも受け取っています)。<br /> +b.) そのため、運用環境に展開する前にテストしてください。<br /> +c.) テストしたら debian-lts@lists.debian.org にフィードバックしてください。</p> + +<p>openvz フレーバーを利用していなくても b+c については検討してください :-)</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6657">CVE-2012-6657</a> + + <p>sock_setsockopt 関数を修正し、ローカルユーザがサービス拒否 + (システムのクラッシュ) 攻撃を起こせるのを回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0228">CVE-2013-0228</a> + + <p>ゲストOSのユーザにゲストOSの権限獲得を許す XEN の権限昇格を修正。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7266">CVE-2013-7266</a> + + <p>mISDN_sock_recvmsg 関数を修正し、 + ローカルユーザがカーネルメモリから機密情報を獲得できるのを回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4157">CVE-2014-4157</a> + + <p>MIPS 基盤: 意図した PR_SET_SECCOMP + による制限をローカルユーザが迂回するのを回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4508">CVE-2014-4508</a> + + <p>システムコール監査が有効になっている場合にローカルユーザがサービス拒否 + (OOPS 及びシステムのクラッシュ) を引き起こすのを回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4653">CVE-2014-4653</a>, +<a href="https://security-tracker.debian.org/tracker/CVE-2014-4654">CVE-2014-4654</a>, +<a href="https://security-tracker.debian.org/tracker/CVE-2014-4655">CVE-2014-4655</a> + + <p>ALSA 制御の実装を修正し、ローカルユーザによる + サービス拒否攻撃やカーネルメモリからの機密情報取得を回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4943">CVE-2014-4943</a> + + <p>PPPoL2TP 機能を修正し、ローカルユーザの権限獲得を回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5077">CVE-2014-5077</a> + + <p>リモートの攻撃者が <abbr + title="Stream Control Transmission Protocol">SCTP</abbr> + に関わるサービス拒否攻撃を引き起こすのを回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5471">CVE-2014-5471</a>, +<a href="https://security-tracker.debian.org/tracker/CVE-2014-5472">CVE-2014-5472</a> + + <p>parse_rock_ridge_inode_internal 関数を修正し、ローカルユーザが細工した + iso9660 イメージを経由してサービス拒否攻撃を引き起こすのを回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9090">CVE-2014-9090</a> + + <p>do_double_fault 関数を修正し、ローカルユーザがサービス拒否 + (パニック) 攻撃を引き起こすのを回避。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は linux-2.6 +バージョン 2.6.32-48squeeze9 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-103.data" + diff --git a/japanese/security/2014/dla-104.wml b/japanese/security/2014/dla-104.wml new file mode 100644 index 00000000000..c6bb24c2a8d --- /dev/null +++ b/japanese/security/2014/dla-104.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>ANSSI の Florian Maury さんが再帰 DNS サーバ pdns-recursor に欠陥を発見しています: +リモートの攻撃者が管理する悪意を持って構成したゾーンやローグサーバにより +pdns-recursor の性能に影響を与えることが可能で、 +リソースを使い果たすことで潜在的なサービス拒否につながります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は pdns-recursor +バージョン 3.2-4+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-104.data" + diff --git a/japanese/security/2014/dla-105.wml b/japanese/security/2014/dla-105.wml new file mode 100644 index 00000000000..c477bd7e2cc --- /dev/null +++ b/japanese/security/2014/dla-105.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Joshua Rogers さんが豊富なグラフ描画ツール群 Graphviz の lib/cgraph/scan.l 中の +yyerror 関数にフォーマット文字列脆弱性を発見しています。攻撃者がこの欠陥を悪用して +graphviz のクラッシュや潜在的には任意のコードの実行を引き起こすことが可能です。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は graphviz +バージョン 2.26.3-5+squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-105.data" + diff --git a/japanese/security/2014/dla-106.wml b/japanese/security/2014/dla-106.wml new file mode 100644 index 00000000000..e5262cc05af --- /dev/null +++ b/japanese/security/2014/dla-106.wml @@ -0,0 +1,37 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>POP3、IMAP4、SDPS に対応したメール取得プログラム getmail4 +に複数の欠陥が発見されました。中間者攻撃を許す可能性があります。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7273">CVE-2014-7273</a> + + <p>getmail 4.0.0 から 4.43.0 の IMAP-over-SSL 実装は SSL サーバから送られた + X.509 証明書を検証していません。中間の攻撃者が細工した証明書により + IMAP サーバを偽装することで機密情報の取得を許します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7274">CVE-2014-7274</a> + + <p>getmail 4.44.0 の IMAP-over-SSL 実装はサーバのホスト名が X.509 証明書の一般名 + (<abbr title="common name">CN</abbr>) のドメイン名に合うことを検証していません。 + 中間の攻撃者が登録済み認証局からの細工した証明書により + IMAP サーバを偽装することで機密情報の取得を許します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7275">CVE-2014-7275</a> + + <p>getmail 4.0.0 から 4.44.0 の POP3-over-SSL 実装は SSL サーバから送られた + X.509 証明書を検証していません。中間の攻撃者が細工した証明書により + POP3 サーバを偽装することで機密情報の取得を許します。</p></li> + +</ul> + +<p>squeeze ディストリビューションでは、この問題は新しい上流バージョン +4.46.0-1~deb6u1 を取り込むことで修正されています。 +パッケージの更新は青木修さんにより行われました。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-106.data" + diff --git a/japanese/security/2014/dla-107.wml b/japanese/security/2014/dla-107.wml new file mode 100644 index 00000000000..be4715b9c29 --- /dev/null +++ b/japanese/security/2014/dla-107.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>ANSSI の Florian Maury さんが、検証、再帰、キャッシュ DNS リゾルバ +unbound がサービス拒否脆弱性を起こしやすいことを発見しています。 +悪意のあるゾーンを細工してサーバへの問い合わせを出す (出させる) +ことのできる攻撃者がリゾルバを欺いて無限に続く委譲を追跡させることで、 +リソースの使い果たしとネットワーク使用量の増大につながります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は unbound +バージョン 1.4.6-1+squeeze4 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-107.data" + diff --git a/japanese/security/2014/dla-108.wml b/japanese/security/2014/dla-108.wml new file mode 100644 index 00000000000..633ccfb584e --- /dev/null +++ b/japanese/security/2014/dla-108.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<p>これまで rpc.statd はカーネルへのダウンコール送信と同一のソケットを使って SM_NOTIFY +リクエストを送っていました。リモートホストからの応答を受け取るため、ソケットは +INADDR_ANY にバインドしていました。望まないデータの差し込みを回避するため、 +このソケットをループバックアドレスにバインドします。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は nfs-utils +バージョン 1:1.2.2-4squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-108.data" + diff --git a/japanese/security/2014/dla-109.wml b/japanese/security/2014/dla-109.wml new file mode 100644 index 00000000000..816be063599 --- /dev/null +++ b/japanese/security/2014/dla-109.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Jonathan Gray さんと Stanislaw Pitucha さんが、高速な +YAML 1.1 パーサ及び生成ライブラリ LibYAML +が折り返された文字列を解析する方法にアサート失敗を発見しました。libyaml +を利用しているアプリケーションで、特別に細工した +YAML 入力をロードさせることのできる攻撃者が、 +アプリケーションをクラッシュさせることが可能です。</p> + +<p>この更新では libyaml-libyaml-perl +パッケージに組み込まれている複製にあるこの欠陥を修正します。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は libyaml-libyaml-perl +バージョン 0.33-1+squeeze4 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-109.data" + diff --git a/japanese/security/2014/dla-110.wml b/japanese/security/2014/dla-110.wml new file mode 100644 index 00000000000..a3a32ca9b7e --- /dev/null +++ b/japanese/security/2014/dla-110.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Jonathan Gray さんと Stanislaw Pitucha さんが、高速な +YAML 1.1 パーサ及び生成ライブラリ LibYAML +が折り返された文字列を解析する方法にアサート失敗を発見しました。libyaml +を利用しているアプリケーションで、特別に細工した +YAML 入力をロードさせることのできる攻撃者が、 +アプリケーションをクラッシュさせることが可能です。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は libyaml +バージョン 0.1.3-1+deb6u5 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-110.data" + diff --git a/japanese/security/2014/dla-111.wml b/japanese/security/2014/dla-111.wml new file mode 100644 index 00000000000..03eefd8726c --- /dev/null +++ b/japanese/security/2014/dla-111.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>cpio にバッファオーバーフローや複数の NULL +ポインタ参照等、複数の問題が確認されています。 +少なくともサービス拒否、潜在的には望まないコードの実行につながる可能性があります。</p> + +<p>この問題は Debian 6 Squeeze ではバージョン 2.11-4+deb6u1 +で、上流のパッチを適用することで修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-111.data" + diff --git a/japanese/security/2014/dla-112.wml b/japanese/security/2014/dla-112.wml new file mode 100644 index 00000000000..522d17f8506 --- /dev/null +++ b/japanese/security/2014/dla-112.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新では DNS サーバ BIND のサービス拒否脆弱性を修正しています。</p> + +<p>攻撃者が悪意を持って構成したゾーンやローグサーバを使わせることで、BIND 9 +がドメイン名サービスの委譲を追跡するのに利用しているコードでの見落としを悪用すると、BIND +は委譲を追跡しようとして無制限に問い合わせを出し続けます。</p> + +<p>これはリソースを使い果たすことでサービス拒否 +(最悪で名前サーバのプロセス終了) につながる可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は bind9 バージョン +9.7.3.dfsg-1~squeeze13 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-112.data" + diff --git a/japanese/security/2014/dla-113.wml b/japanese/security/2014/dla-113.wml new file mode 100644 index 00000000000..395520fb9a4 --- /dev/null +++ b/japanese/security/2014/dla-113.wml @@ -0,0 +1,32 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p><q>mail</q>コマンドの実装である bsd-mailx +に、書式として有効なメールアドレスをシェルコマンドとして扱い、 +実行する隠し機能が発見されています。</p> + +<p>この機能を必要とするユーザは適切な mailrc +ファイルで<q>expandaddr</q>を指定することで有効にできます。 +また、この更新では時代遅れの <code>-T</code> +オプションも削除されています。古いセキュリティ脆弱性 <a +href="https://security-tracker.debian.org/tracker/CVE-2004-2771">CVE-2004-2771</a> +は既に Debian の bsd-mailx パッケージでは対応済みです。</p> + +<p>ただし、このセキュリティ更新は mailx +でコマンドを実行する機能を全て削除したわけではないことに注意してください。 +信頼できないソース (ウェブフォーム等) +から取得したアドレスにメールを送るスクリプトではメールアドレスの前に区切り文字 +<code>--</code> を使うようにするか +(適切に機能するようにこの更新で修正されています)、代わりに +<code>mail -t</code> や <code>sendmail -i -t</code> を発動して +宛先のアドレスをメールヘッダの一部として渡すように変更してください。</p> + +<p>旧安定版 (oldstable) ディストリビューション (squeeze) +では、この問題はバージョン 8.1.2-0.20100314cvs-1+deb6u1 で修正されています。</p> + +<p>直ちに bsd-mailx パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-113.data" + diff --git a/japanese/security/2014/dla-114.wml b/japanese/security/2014/dla-114.wml new file mode 100644 index 00000000000..84155472731 --- /dev/null +++ b/japanese/security/2014/dla-114.wml @@ -0,0 +1,39 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p><q>mail</q>コマンドの実装である Heirloom mailx +に、セキュリティ脆弱性が2件発見されています:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2004-2771">CVE-2004-2771</a> + + <p>mailx は特定のメールアドレス中のシェルメタ文字を解釈します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7844">CVE-2014-7844</a> + + <p>mailx の想定していない機能により、 + 書式として有効なメールアドレスをシェルコマンドとして扱い、実行します。</p></li> + +</ul> + +<p>シェルコマンドの実行機能は<q>expandaddr</q>オプションを有効にすることで利用できます。</p> + +<p>ただし、このセキュリティ更新は mailx +でコマンドを実行する機能を全て削除したわけではないことに注意してください。 +信頼できないソース (ウェブフォーム等) +から取得したアドレスにメールを送るスクリプトではメールアドレスの前に区切り文字 +<code>--</code> を使うようにするか +(適切に機能するようにこの更新で修正されています)、代わりに +<code>mail -t</code> や <code>sendmail -i -t</code> を発動して +宛先のアドレスをメールヘッダの一部として渡すように変更してください。</p> + +<p>旧安定版 (oldstable) ディストリビューション (squeeze) +では、この問題はバージョン 12.4-2+deb6u1 で修正されています。</p> + +<p>直ちに heirloom-mailx パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-114.data" + diff --git a/japanese/security/2014/dla-115.wml b/japanese/security/2014/dla-115.wml new file mode 100644 index 00000000000..af84552ac8b --- /dev/null +++ b/japanese/security/2014/dla-115.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + <p>ログイン時の XSS 問題を修正。</p> + + <p>基礎となっている LDAP サーバに対する gosa-admin + DN 経由での GOsa² の認証を修正 (#768509)。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は gosa +バージョン 2.6.11-3+squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-115.data" + diff --git a/japanese/security/2014/dla-117.wml b/japanese/security/2014/dla-117.wml new file mode 100644 index 00000000000..02603bf8fd8 --- /dev/null +++ b/japanese/security/2014/dla-117.wml @@ -0,0 +1,28 @@ +#use wml::debian::translation-check translation="1.4" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3193">CVE-2011-3193</a> + + <p>特定のフォントでクラッシュを引き起こす可能性のある + Lookup_MarkMarkPos のバッファオーバーフローを確認。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3194">CVE-2011-3194</a> + + <p>グレースケール画像の TIFFTAG_SAMPLESPERPIXEL を扱う tiff リーダーを修正。 + このリーダーは、<q>samples per pixel</q>の値によっては (存在しない) + QImage::Format_Indexed16 を使うべき場合に QImage::Format_Indexed8 + を使っているためにメモリ破壊を引き起こします。 + この修正により tiff 画像を読み込む<q>通常の</q>方法にフォールバックします。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は qt4-x11 +バージョン 4:4.6.3-4+squeeze2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-117.data" + diff --git a/japanese/security/2014/dla-118.wml b/japanese/security/2014/dla-118.wml new file mode 100644 index 00000000000..dfc237b1b4d --- /dev/null +++ b/japanese/security/2014/dla-118.wml @@ -0,0 +1,50 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Squeeze LTS チームとカーネルチームによる非メンテナのアップロードです。</p> + +<p>上流の新しい安定版リリース 2.6.32.65 のさらなる情報については <a +href="http://lkml.org/lkml/2014/12/13/81">http://lkml.org/lkml/2014/12/13/81</a> +を見てください。</p> + +<p>安定版リリース 2.6.32.65 では前の 2.6.32-48squeeze9 +パッケージと比べて、以下が取り入れられています:</p> + +<ul> + <li>USB: whiteheat: bulk コマンドの応答に境界チェックを追加 (<a + href="https://security-tracker.debian.org/tracker/CVE-2014-3185">CVE-2014-3185</a>)</li> + <li>net: sctp: 複製 ASCONF chunk でのパニックを修正 (<a + href="https://security-tracker.debian.org/tracker/CVE-2014-3687">CVE-2014-3687</a>)</li> + <li>net: sctp: リモートからの過剰なキューによるメモリ負荷問題を修正 (<a + href="https://security-tracker.debian.org/tracker/CVE-2014-3688">CVE-2014-3688</a>)</li> + <li>udf: 間接 <abbr title="Information Control Block">ICB</abbr> 処理での無限ループを回避 (<a + href="https://security-tracker.debian.org/tracker/CVE-2014-6410">CVE-2014-6410</a>)</li> + <li>net: sctp: 悪意のあるパケットによる af->from_addr_param での NULL ポインタ参照を修正 (<a + href="https://security-tracker.debian.org/tracker/CVE-2014-7841">CVE-2014-7841</a>)</li> + <li>mac80211: 特に暗号化の断片化したコードを修正 (<a + href="https://security-tracker.debian.org/tracker/CVE-2014-8709">CVE-2014-8709</a>)</li> + <li>ttusb-dec: ioctl でのバッファオーバーフロー (<a + href="https://security-tracker.debian.org/tracker/CVE-2014-8884">CVE-2014-8884</a>)</li> +</ul> + +<p>直ちに linux-2.6 パッケージをアップグレードすることを勧めます。</p> + +<p>些細な表面的ミスがありました。申し訳ありません:</p> + +<p>以下は debian/changelog では 2.6.32-48squeeze10 +で修正されたことになっていますが、実際には +2.6.32-48squeeze9 に取り込まれていました:</p> + +<ul> + <li>vlan: ダウンしているインターフェイスのフラグの変更を伝搬させないように</li> + <li>sctp: 2.6.32.62 での不適切なバックポートで生じたメモリの二重開放を修正</li> + <li>md/raid6: 2.6.32.64 で誤って適用されたバックポートを修正</li> + <li>block: 欠けていた blk_queue_dead() のチェックを追加</li> + <li>block: blk_execute_rq_nowait() のデッドキュー処理を修正</li> + <li>proc connector: proc_exit_connector() 中の不要な memset を削除</li> +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-118.data" + diff --git a/japanese/security/2014/dla-119.wml b/japanese/security/2014/dla-119.wml new file mode 100644 index 00000000000..d258016e31c --- /dev/null +++ b/japanese/security/2014/dla-119.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Evgeny Kotkov さんが、Apache ウェブサーバでリポジトリを提供するのに利用する +Subversion の構成要素 mod_dav_svn での REPORT +リクエストの処理に NULL ポインタ参照を発見しています。 +リモートの攻撃者がこの脆弱性を悪用してサービス拒否を起こすことが可能です。</p> + +<p>直ちに subversion パッケージをアップグレードすることを勧めます。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は subversion +バージョン 1.6.12dfsg-7+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-119.data" + diff --git a/japanese/security/2014/dla-120.wml b/japanese/security/2014/dla-120.wml new file mode 100644 index 00000000000..36604480af0 --- /dev/null +++ b/japanese/security/2014/dla-120.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この勧告は <a href="../2015/dla-120">DLA-120-2</a> +によって置き換えられました。参考までに前の勧告を再掲します。</p> + +<p>IOActive の Ilja van Sprundel さんが X.org X +サーバにセキュリティ問題を複数発見しています。 +特権の昇格やサービス拒否につながる可能性があります。</p> + + +<p>旧安定版 (oldstable) ディストリビューション (squeeze) +では、この問題はバージョン 2:1.7.7-18+deb6u1 で修正されています。</p> + +<p>直ちに xorg-server パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-120.data" + diff --git a/japanese/security/2014/dla-121.wml b/japanese/security/2014/dla-121.wml new file mode 100644 index 00000000000..5b273e4327c --- /dev/null +++ b/japanese/security/2014/dla-121.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Google セキュリティチームの Jose Duart さんが、JPEG-2000 +ファイルを操作するライブラリ JasPer に二重解放の欠陥 (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-8137">CVE-2014-8137</a>) +及びヒープベースのバッファオーバーフローの欠陥 (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-8138">CVE-2014-8138</a>) +を発見しています。特別に細工したファイルにより、JasPer +を利用しているアプリケーションのクラッシュや、 +潜在的には任意のコードの実行を引き起こすことが可能です。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は jasper +バージョン 1.900.1-7+squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-121.data" + diff --git a/japanese/security/2014/dla-122.wml b/japanese/security/2014/dla-122.wml new file mode 100644 index 00000000000..888e18a2dfb --- /dev/null +++ b/japanese/security/2014/dla-122.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>nss_dns の getnetbyname での無限ループを回避 [<a +href="https://sourceware.org/bugzilla/show_bug.cgi?id=17630">BZ #17630</a>]</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は eglibc +バージョン 2.11.3-4+deb6u3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-122.data" + diff --git a/japanese/security/2014/dla-123.wml b/japanese/security/2014/dla-123.wml new file mode 100644 index 00000000000..a851729aff0 --- /dev/null +++ b/japanese/security/2014/dla-123.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>上流リビジョン <a href="https://sourceforge.net/p/firebird/code/60322/">60322</a> +のパッチを適用し、認証不要なリモートからの NULL ポインタ参照によるクラッシュを修正。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は firebird2.5 バージョン +2.5.0.26054~ReleaseCandidate3.ds2-1+squeeze2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-123.data" + diff --git a/japanese/security/2014/dla-124.wml b/japanese/security/2014/dla-124.wml new file mode 100644 index 00000000000..a038f2068b1 --- /dev/null +++ b/japanese/security/2014/dla-124.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Google セキュリティチームの Michele Spagnuolo さんが、.zip +形式で圧縮されたアーカイブを展開するユーティリティ unzip に問題を発見しています。 +CRC32 検証関数内でのヒープベースのバッファオーバーフロー (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-8139">CVE-2014-8139</a>) +や test_compr_eb() 関数での範囲外書き込み (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-8140">CVE-2014-8140</a>)、 +getZip64Data() 関数での範囲外読み取り (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-8141">CVE-2014-8141</a>) +が任意のコードの実行につながる可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は unzip +バージョン 6.0-4+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-124.data" + diff --git a/japanese/security/2014/dla-125.wml b/japanese/security/2014/dla-125.wml new file mode 100644 index 00000000000..7c254d4b807 --- /dev/null +++ b/japanese/security/2014/dla-125.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Timothy D. Morgan さんが、mailcap +ファイルの項目を経由してプログラムを実行するユーティリティ +run-mailcap がファイル名中のシェルメタ文字を経由した +シェルコマンド差し込みを起こしやすいことを発見しています。特定の筋書きで、 +この欠陥は攻撃者にリモートからの任意のコードの実行を許す可能性があります。</p> + +<p>旧安定版 (oldstable) ディストリビューション (squeeze) +では、この問題はバージョン 3.48-1+deb6u1 で修正されています。</p> + +<p>直ちに mime-support パッケージをアップグレードすることを勧めます。</p> + +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-125.data" + diff --git a/japanese/security/2014/dla-126.wml b/japanese/security/2014/dla-126.wml new file mode 100644 index 00000000000..969432a23a2 --- /dev/null +++ b/japanese/security/2014/dla-126.wml @@ -0,0 +1,32 @@ +#use wml::debian::translation-check translation="1.4" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>セキュリティ脆弱性を修正しています:</p> + +<ul> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9380">CVE-2014-9380</a> + (バッファ範囲外読み取り)</li> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9381">CVE-2014-9381</a> + (符号の誤り)</li> +</ul> + +<p>上流からのパッチ: <a +href="https://www.obrela.com/blog/article/16/obrela-security-industries-advisory-osi-1402/">\ +https://www.obrela.com/blog/article/16/obrela-security-industries-advisory-osi-1402/</a></p> + +<ul> +<li><a href="https://github.com/Ettercap/ettercap/pull/608">\ + 6b196e011fa456499ed4650a360961a2f1323818 pull/608</a></li> +<li><a href="https://github.com/Ettercap/ettercap/pull/609">\ + 31b937298c8067e6b0c3217c95edceb983dfc4a2 pull/609</a></li> +</ul> + +<p>この問題の発見、修正をともに担当してくれた Nick Sampanis さんに感謝します。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は ettercap +バージョン 1:0.7.3-2.1+squeeze2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-126.data" + diff --git a/japanese/security/2014/dla-20.wml b/japanese/security/2014/dla-20.wml new file mode 100644 index 00000000000..b81b9c537ba --- /dev/null +++ b/japanese/security/2014/dla-20.wml @@ -0,0 +1,29 @@ +#use wml::debian::translation-check translation="1.4" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>[ Christoph Biedl ]</p> +<ul> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3512">CVE-2012-3512</a>: + munin-node: プラグイン状態ディレクトリのルートを新しく、uid 0 + の所有とすることで状態ファイルの処理の安全性を向上した。 + 各プラグインは自身のUIDが所有するUIDと同名のプラグイン状態ディレクトリで動作することになります + (#684075, #679897)。</li> +<li>プラグイン: 実行時に $ENV{MUNIN_PLUGSTATE} を使うようにした。 + それにより、適切に書かれたプラグインは全て、これからは + /var/lib/munin-node/plugin-state/$uid/$some_file を使うことになります。 + /var/lib/munin/plugin-state/ をまだ使っているプラグインがあれば、 + セキュリティの危険を引き起こす可能性があるので報告してください!</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6048">CVE-2013-6048</a>: + munin#1397: + 悪意のあるノードによってプラグインが実行されているノード全体のデータ収集が停止。</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6359">CVE-2013-6359</a>: + プラグインのサービス名を確認。</li> +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は munin +バージョン 1.4.5-3+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-20.data" + diff --git a/japanese/security/2014/dla-38.wml b/japanese/security/2014/dla-38.wml new file mode 100644 index 00000000000..434f07d7417 --- /dev/null +++ b/japanese/security/2014/dla-38.wml @@ -0,0 +1,29 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<ul> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5161">CVE-2014-5161</a>, + <a href="https://security-tracker.debian.org/tracker/CVE-2014-5162">CVE-2014-5162</a>: + + <p>Catapult DCT2000 及び IrDA dissector でバッファアンダーランの可能性。 + 悪意のあるパケットを経路に差し込むか、 + 誰かを騙して悪意のあるパケット追跡ファイルを読み取らせることにより、Wireshark + をクラッシュさせることが可能です。</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5163">CVE-2014-5163</a>: + + <p>GSM 管理 dissector がクラッシュする可能性。 + 悪意のあるパケットを経路に差し込むか、 + 誰かを騙して悪意のあるパケット追跡ファイルを読み取らせることにより、Wireshark + をクラッシュさせることが可能です。</p></li> +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は wireshark +バージョン 1.2.11-6+squeeze15 で修正されています。</p> + +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-38.data" + diff --git a/japanese/security/2014/dla-53.wml b/japanese/security/2014/dla-53.wml new file mode 100644 index 00000000000..78f73299bad --- /dev/null +++ b/japanese/security/2014/dla-53.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>高レベルパッケージマネージャAPTに複数の問題が発見されました。 +未承認のデータを適切に破棄していない (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-0488">\ +CVE-2014-0488</a>)、304応答の検証を誤っている (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-0487">\ +CVE-2014-0487</a>)、Acquire::GzipIndexes オプション利用時に +チェックサムの確認を行っていない (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-0489">\ +CVE-2014-0489</a>)。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は apt +バージョン 0.8.10.3+squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-53.data" + diff --git a/japanese/security/2014/dla-54.wml b/japanese/security/2014/dla-54.wml new file mode 100644 index 00000000000..0e4281687f7 --- /dev/null +++ b/japanese/security/2014/dla-54.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Genkin さんと Pipman さん、Tromer さんが、Elgamal 暗号化サブ鍵へのサイドチャネル攻撃 +(<a href="https://security-tracker.debian.org/tracker/CVE-2014-5270">CVE-2014-5270</a>) +を発見しました。</p> + +<p>この更新ではさらに、鍵サーバからの応答を扱う際の GnuPG +の挙動を強化しています。GnuPG は現在鍵サーバの応答を選別し、 +ユーザにより実際にリクエストされた鍵のIDだけを受け付けるようになっています。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は gnupg +バージョン 1.4.10-4+squeeze6 で修正されています。</p> + +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-54.data" + diff --git a/japanese/security/2014/dla-59.wml b/japanese/security/2014/dla-59.wml new file mode 100644 index 00000000000..d08656f1a6e --- /dev/null +++ b/japanese/security/2014/dla-59.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<p>Stephane Chazelas さんが GNU Bourne-Again Shell bash +に、環境変数の処理方法に関連する脆弱性を発見しました。 +多くの一般的な設定で、特に bash がシステムシェルに設定されている場合、 +この脆弱性はネットワーク経由で悪用可能となります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は bash +バージョン 4.1-3+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-59.data" + diff --git a/japanese/security/2014/dla-63.wml b/japanese/security/2014/dla-63.wml new file mode 100644 index 00000000000..9505c98ca8f --- /dev/null +++ b/japanese/security/2014/dla-63.wml @@ -0,0 +1,23 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Tavis Ormandy さんが、<a href="dla-59">DLA-59-1</a> +で発表された GNU Bourne-Again Shell bash の <a +href="https://security-tracker.debian.org/tracker/CVE-2014-6271">CVE-2014-6271</a> +に対する修正のために適用されたパッチが不完全で、 +別の環境で一部の文字を差し込めることを発見しています (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-7169">CVE-2014-7169</a>)。 +この更新では強化策として、 +環境変数名にシェル関数名が含まれる場合に名前の前後に文字が追加されるようになっています。</p> + +<p>追加で、この問題に対する Red Hat の内部分析で明らかとなり、それとは別に +Todd Sabin さんからも報告された、bash +パーサでの範囲外配列へのアクセスが2件修正されています。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は bash +バージョン 4.1-3+deb6u2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-63.data" + diff --git a/japanese/security/2014/dla-68.wml b/japanese/security/2014/dla-68.wml new file mode 100644 index 00000000000..33fda95286e --- /dev/null +++ b/japanese/security/2014/dla-68.wml @@ -0,0 +1,32 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<ul> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3875">CVE-2014-3875</a> + + <p>rup + へのリクエストにエンコードされた改行文字を差し込む際、ウェブページの冒頭に新しい + HTML コードを差し込むのと同様に、応答に追加の + HTTP ヘッダを差し込むことが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3876">CVE-2014-3876</a> + <p>パラメータ akey はフィルターを通さないまま HTML ページの一部となります。 + GETパラメータではURLとしてのフィルターが経由されるため使えない文字がありますが、 + POST パラメータを使った場合には迂回されます。しかし、GET パラメータだけでも + ユーザによるいくらかの操作を経由させることでこの問題の悪用が可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3877">CVE-2014-3877</a> + <p>パラメータ addto はわずかにフィルターを通しただけで + HTML ページの一部としてユーザに返されます。 + GETパラメータではURLとしてのフィルターが経由されるため使えない文字がありますが、 + POST パラメータを使った場合には迂回されます。しかし、GET パラメータだけでも + ユーザによるいくらかの操作を経由させることでこの問題の悪用が可能です。</p></li> +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は fex バージョン +20100208+debian1-1+squeeze4 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-68.data" + diff --git a/japanese/security/2014/dla-69.wml b/japanese/security/2014/dla-69.wml new file mode 100644 index 00000000000..7b4cb8af4ea --- /dev/null +++ b/japanese/security/2014/dla-69.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Stefano Zacchiroli さんが、特定の javascript 入力ファイルによって +ctags がディスク容量を使い果たすまで無限ループに入ることを発見しました。 +この更新では javascript のパーサを修正します。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は exuberant-ctags +バージョン 1:5.8-3squeeze2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-69.data" + diff --git a/japanese/security/2014/dla-70.wml b/japanese/security/2014/dla-70.wml new file mode 100644 index 00000000000..48218c14bec --- /dev/null +++ b/japanese/security/2014/dla-70.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>duesenfranz さんが、trytond の safe_eval を悪用し、主に webdav +インターフェイスを経由して任意のコマンドを実行できることを発見しました。 +適用されたパッチにより、safe_eval では二重のアンダースコアを許可しないことで、 +異なるモデルから引き継いで二重に評価してしまうのを回避します。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は tryton-server +バージョン 1.6.1-2+squeeze2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-70.data" + diff --git a/japanese/security/2014/dla-71.wml b/japanese/security/2014/dla-71.wml new file mode 100644 index 00000000000..438c626d7b8 --- /dev/null +++ b/japanese/security/2014/dla-71.wml @@ -0,0 +1,28 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新では apache2 のセキュリティ問題を2件修正しています。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-5704">CVE-2013-5704</a> + + <p>他のモジュールによって先に行われたヘッダ操作の回避に悪用できるため + HTTP ヘッダを HTTP トレイラーで置き換える可能性を無効化。 + 新しい MergeTrailers ディレクティブを使うことで以前の動作にもできます。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3581">CVE-2014-3581</a> + + <p>mod_cache を利用していてキャッシュされたリクエストに空の + Content-Type ヘッダが含まれると Apache + がセグメンテーション違反を起こす可能性があるサービス拒否を修正。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は apache2 +バージョン 2.2.16-6+squeeze14 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-71.data" + diff --git a/japanese/security/2014/dla-72.wml b/japanese/security/2014/dla-72.wml new file mode 100644 index 00000000000..ca44aa7fb3e --- /dev/null +++ b/japanese/security/2014/dla-72.wml @@ -0,0 +1,33 @@ +#use wml::debian::translation-check translation="1.4" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Wheezy のパッチでは Squeeze 版の imklog +モジュールに未解決シンボルが残ってしまっていました。 +カーネルからのメッセージに対応できないことを除けば rsyslog +は正常に動作していました。この更新ではその問題を修正します。</p> + +<p>参考までに前の勧告を再掲します。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3634">CVE-2014-3634</a> + + <p>PRI の値が不正な場合に適切でない処理をしていたことによるリモートの + syslog 脆弱性を修正。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3683">CVE-2014-3683</a> + + <p><a href="https://security-tracker.debian.org/tracker/CVE-2014-3634">CVE-2014-3634</a> + への修正の続きです。当初のパッチは不完全でした。PRI + の値が MAX_INT よりも大きい状況に対応していなかったため、 + その場合に整数オーバーフローして負の値になっていました。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は rsyslog +バージョン 4.6.4-2+deb6u2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-72.data" + diff --git a/japanese/security/2014/dla-74.wml b/japanese/security/2014/dla-74.wml new file mode 100644 index 00000000000..4b2ab3fcda5 --- /dev/null +++ b/japanese/security/2014/dla-74.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1.4" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新ではオプション解析での潜在的な整数オーバーフローを修正しています。</p> + +<p><q>dip</q>グループのユーザは 2GiB +を超える特別に細工した設定ファイルを提供して整数オーバーフローを発生させることが可能です。 +それにより攻撃者はヒープを上書きできるようになり、 +セキュリティ関連の変数の破損につながる可能性があります。</p> + +<p>詳細は上流のコミットを見てください: <a +href="https://github.com/paulusmack/ppp/commit/7658e8257183f062dc01f87969c140707c7e52cb"> +https://github.com/paulusmack/ppp/commit/7658e8257183f062dc01f87969c140707c7e52cb</a></p> + +<p>Debian 6<q>Squeeze</q>では、この問題は ppp +バージョン 2.4.5-4+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-74.data" + diff --git a/japanese/security/2014/dla-75.wml b/japanese/security/2014/dla-75.wml new file mode 100644 index 00000000000..12030cce01a --- /dev/null +++ b/japanese/security/2014/dla-75.wml @@ -0,0 +1,38 @@ +#use wml::debian::translation-check translation="1.4" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新では重大な脆弱性1件 (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-4274">CVE-2014-4274</a>) +他の些細な修正2件 (<a +href="https://security-tracker.debian.org/tracker/CVE-2013-2162">CVE-2013-2162</a>、<a +href="https://security-tracker.debian.org/tracker/CVE-2014-0001">CVE-2014-0001</a>) +をまとめて修正しています。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4274">CVE-2014-4274</a> + + <p>一時ファイルの不安全な処理のため、 + 攻撃者の制御下にあるプラグインディレクトリを指す mysql + 設定ファイルの作成を経由して任意のコードの実行につながる可能性があります。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2162">CVE-2013-2162</a> + + <p>debian.cnf 資格情報ファイルの安全でない作成。 + パッケージのインストール時にこのファイルを監視しているローカルユーザにより、 + 資格情報を盗聴される可能性があります。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0001">CVE-2014-0001</a> + + <p>割り当てられたバッファにとって大きすぎるバージョン文字列をサーバが送ってきた場合に + MySQL クライアントはバッファオーバーランを起こします。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は mysql-5.1 +バージョン 5.1.73-1+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-75.data" + diff --git a/japanese/security/2014/dla-76.wml b/japanese/security/2014/dla-76.wml new file mode 100644 index 00000000000..760b2d56c30 --- /dev/null +++ b/japanese/security/2014/dla-76.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>kdelibs の一部である KAuth が競合状態を起こしやすい方法で polkit +を利用していることが発見されました。認証の迂回を許す可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は kde4libs +バージョン 4:4.4.5-2+squeeze4 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-76.data" + diff --git a/japanese/security/2014/dla-77.wml b/japanese/security/2014/dla-77.wml new file mode 100644 index 00000000000..3b9944bf375 --- /dev/null +++ b/japanese/security/2014/dla-77.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>ASN1 (抽象構文記法、Abstract Syntax Notation One) 構造を管理するライブラリ +libtasn1-3 に複数の脆弱性が発見されました。攻撃者が悪用し、範囲外アクセスや +NULL ポインタ参照を経由したサービス拒否を引き起こすことが可能です。</p> + + +<p>Debian 6<q>Squeeze</q>では、この問題は libtasn1-3 +バージョン 2.7-1+squeeze+2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-77.data" + diff --git a/japanese/security/2014/dla-78.wml b/japanese/security/2014/dla-78.wml new file mode 100644 index 00000000000..3720d71c4c1 --- /dev/null +++ b/japanese/security/2014/dla-78.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Chad Vizino さんが PBS 派生のバッチ処理順次実行システム +torque に脆弱性を報告しています。非 root ユーザが +tm_adopt() ライブラリの呼び出しにあるこの欠陥を悪用し、root +所有プロセスを含めた、ジョブを実行中の任意のプロセスを終了させることが可能です。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は torque +バージョン 2.4.8+dfsg-9squeeze5 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-78.data" + diff --git a/japanese/security/2014/dla-79.wml b/japanese/security/2014/dla-79.wml new file mode 100644 index 00000000000..3d4d4aa2800 --- /dev/null +++ b/japanese/security/2014/dla-79.wml @@ -0,0 +1,32 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>LDAP 認証に Active Directory が利用されている場合に +wiki の認証を迂回できる可能性を修正しています。以下の CVE +2件はほぼ同一で一方は他方の上位集合となっています。ともに修正されています。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8763">CVE-2014-8763</a> + + <p>DokuWiki 2014-05-05b 以前では、LDAP 認証に Active + Directory を利用している場合に有効なユーザ名と null (\0) + 文字から始まるパスワードを経由してリモートの攻撃者に認証の迂回を許します。 + 非認証バインドを引き起こします。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8764">CVE-2014-8764</a> + + <p>DokuWiki 2014-05-05a 及びそれ以前では、LDAP 認証に + Active Directory を利用している場合に null (\0) + 文字から始まるユーザ名及びパスワードを経由してリモートの攻撃者に認証の迂回を許します。 + 匿名バインドを引き起こします。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は dokuwiki バージョン +0.0.20091225c-10+squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-79.data" + diff --git a/japanese/security/2014/dla-80.wml b/japanese/security/2014/dla-80.wml new file mode 100644 index 00000000000..9b033330604 --- /dev/null +++ b/japanese/security/2014/dla-80.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Sogeti さんが XML 及び HTML ファイルを読み書き、変更する機能を提供するライブラリ +libxml2 にサービス拒否の欠陥を発見しました。リモートの攻撃者が特別に細工した XML +ファイルを提供し、libxml2 を利用しているアプリケーションによって処理させることで、 +エンティティ置換が無効に設定されていても過剰なエンティティ置換が元となり、過剰な +CPU 消費 (サービス拒否) につながります。これはパーサのデフォルトの挙動です (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-3660">CVE-2014-3660</a>)。</p> + +<p>さらに、この更新では前のバージョン (#762864) +でリリースされ、誤って適用されたパッチ群に対処しています。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は libxml2 +バージョン 2.7.8.dfsg-2+squeeze10 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-80.data" + + diff --git a/japanese/security/2014/dla-81.wml b/japanese/security/2014/dla-81.wml new file mode 100644 index 00000000000..1a816196022 --- /dev/null +++ b/japanese/security/2014/dla-81.wml @@ -0,0 +1,57 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>OpenSSL に複数の欠陥が発見されました。</p> + +<ul> + +<li><h3><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566">CVE-2014-3566</a> +(<q>POODLE</q>)</h3> + + <p>SSL 3.0 により暗号ブロック連鎖 (CBC) + モードでブロック暗号を使って暗号化されたメッセージの + 復号時に水増しバイトを処理する方法に欠陥が見つかりました。 + この欠陥により、中間の (MITM) + 攻撃者が攻撃対象者のアプリケーションに同一のデータを繰り返し新しく作成した + SSL 3.0 接続で強制的に送信させられる場合に、 + わずか256回の試行で暗号テキストの選択バイトの解読を許します。</p> + + <p>この更新では Fallback SCSV + のサポートを追加してこの問題を緩和しています。 + これは問題を修正するものではありません。 + この問題の適切な修正策は SSL 3.0 の無効化です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3567">CVE-2014-3567</a> + + <p>失敗したセッションチケットの整合性確認を OpenSSL + が処理する方法にメモリ漏洩の欠陥が見つかりました。 + リモートの攻撃者が無効なセッションチケットを大量に送ることで、SSL/TLS + や DTLS サーバの利用可能メモリを全て使い果たすことが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3568">CVE-2014-3568</a> + + <p>OpenSSL ビルド時のオプションとして「no-ssl3」が設定されている場合、 + サーバでは SSL 3.0 ハンドシェイクを受け付けて完了させ、 + クライアントではそれを送信するように設定することが可能です。</p> + + <p>Debian + のパッケージはビルドにこのオプションを指定していないことに注意してください。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3569">CVE-2014-3569</a> + + <p>OpenSSL ビルド時のオプションとして「no-ssl3」が設定されていて + SSL v3 クライアントハローを受け取った場合、SSL メソッドに NULL + がセットされ、後の NULL ポインタ参照につながる可能性があります。</p> + + <p>Debian + のパッケージはビルドにこのオプションを指定していないことに注意してください。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は openssl +バージョン 0.9.8o-4squeeze18 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-81.data" + diff --git a/japanese/security/2014/dla-82.wml b/japanese/security/2014/dla-82.wml new file mode 100644 index 00000000000..e5c8f7d9cc5 --- /dev/null +++ b/japanese/security/2014/dla-82.wml @@ -0,0 +1,22 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Rapid7 の HD Moore さんが HTTP や HTTPS、FTP +経由でファイルを取得するコマンドラインユーティリティ Wget +にシンボリックリンク攻撃を発見しました。この脆弱性は Wget +が悪意のある FTP サーバに対して再帰モードで動作している場合に +ユーザのシステム上で任意のファイル作成を許します。 +任意のファイルを作成できることで、ユーザのファイルの内容を上書き、 +あるいはそのユーザの権限でリモートからのコードの実行を許します。</p> + +<p>この更新では Wget のデフォルト設定を変更し、 +シンボリックリンクを取得する際にローカルのシンボリックリンクを作成するのではなく、 +リンク先のファイルを追跡して取得するようになっています。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は wget +バージョン 1.12-2.1+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-82.data" + diff --git a/japanese/security/2014/dla-83.wml b/japanese/security/2014/dla-83.wml new file mode 100644 index 00000000000..861655bafe5 --- /dev/null +++ b/japanese/security/2014/dla-83.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新では、今ではほぼ使われることのない 100 +超のコーデックやデコーダ、形式の ffmpeg による サポートを無効化します。 +squeeze で十分なサポートを得られる見込みはないものです。</p> + +<p>この更新の意図は攻撃対象領域を減らすだけです。</p> + +<p>squeeze-lts では ffmpeg のサポートはこれ以上行われず、 +信頼できないデータを扱うことは極力避けるべきです。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は ffmpeg +バージョン 4:0.5.10-1+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-83.data" + diff --git a/japanese/security/2014/dla-84.wml b/japanese/security/2014/dla-84.wml new file mode 100644 index 00000000000..d64cfd97f5d --- /dev/null +++ b/japanese/security/2014/dla-84.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Symeon Paraschoudis さんが、URL 転送ライブラリ cURL の curl_easy_duphandle() +関数にバグを発見しています。最終的には libcurl が HTTP の POST +操作を行う際、送信を意図していない機密データの送信につながる可能性があります。</p> + +<p>このバグの再現にはは CURLOPT_COPYPOSTFIELDS と +curl_easy_duphandle() をこの順で、さらに HTTP POST +を実行するのに複製処理を行う、ということが要求されます。curl +コマンドラインツールはこの順で動作するようにはなっていないため、 +この問題による影響はありません。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は curl バージョン +7.21.0-2.1+squeeze10 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-84.data" + diff --git a/japanese/security/2014/dla-85.wml b/japanese/security/2014/dla-85.wml new file mode 100644 index 00000000000..0f0ff92a883 --- /dev/null +++ b/japanese/security/2014/dla-85.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>James Forshaw さんが、Java 用の Apache Santuario XML Security で +CanonicalizationMethod パラメータが誤って検証されていることを発見しました。 +攻撃者は任意の弱い正規化アルゴリズムを指定することで XML 署名を偽装できます。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は libxml-security-java +バージョン 1.4.3-2+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-85.data" + diff --git a/japanese/security/2014/dla-86.wml b/japanese/security/2014/dla-86.wml new file mode 100644 index 00000000000..61b794b9da0 --- /dev/null +++ b/japanese/security/2014/dla-86.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Red Hat 製品セキュリティの Francisco Alonso さんが file +ユーティリティに問題を発見しています: ELF ファイルを調べる際に +note ヘッダを誤って解析しているため、潜在的には特別に細工した +ELF ファイルを提供することによるサービス拒否 +(範囲外読み取り及びアプリケーションのクラッシュ) を攻撃者に許します。</p> + +<p>長期サポート版ディストリビューション (squeeze-lts) +では、この問題は バージョン 5.04-5+squeeze8 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-86.data" + diff --git a/japanese/security/2014/dla-87.wml b/japanese/security/2014/dla-87.wml new file mode 100644 index 00000000000..501fc6a6ad0 --- /dev/null +++ b/japanese/security/2014/dla-87.wml @@ -0,0 +1,32 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新では Alban Crequy さんと Simon McVittie +さんにより発見された複数の (ローカル) サービス拒否を修正しています。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3477">CVE-2014-3477</a> + + <p>アクセスを許されないユーザがいるシステムサービスを新しく有効化する際のサービス拒否 + (バス名取得に失敗) を修正。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3638">CVE-2014-3638</a> + + <p>接続ごとの応答保留最大数を減らし、 + アルゴリズム的複雑性攻撃によるサービス拒否を回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3639">CVE-2014-3639</a> + + <p>デーモンは認証されていない接続のスロット数を制限するようになったため、 + 悪意のあるプロセスがシステムバスへの新しい接続を妨害することはできなくなった。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は dbus +バージョン 1.2.24-4+squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-87.data" + diff --git a/japanese/security/2014/dla-88.wml b/japanese/security/2014/dla-88.wml new file mode 100644 index 00000000000..fa728eca531 --- /dev/null +++ b/japanese/security/2014/dla-88.wml @@ -0,0 +1,51 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新では複数の、 +ローカル及びリモートのサービス拒否やリモートコードの実行の問題を修正しています:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-0188">CVE-2011-0188</a> + +<p>適切にメモリを割り当てることで任意のコードの実行やアプリケーションのクラッシュを回避。 +報告: Drew Yao</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2686">CVE-2011-2686</a> + +<p>フォーク時に乱数種を再初期化して <a +href="https://security-tracker.debian.org/tracker/CVE-2003-0900">CVE-2003-0900</a> +類似の状況を回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2705">CVE-2011-2705</a> + +<p><abbr title="Pseudo Random Number Generator">PRNG</abbr> (擬似乱数発生器) +状態を変更し、分岐した同一PIDの子プロセスで乱数配列が繰り返されるのを回避。 +報告: Eric Wong</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-4815">CVE-2011-4815</a> + +<p>予測可能なハッシュ衝突の問題でサービス拒否 (CPU 消費) 攻撃につながるのを修正。 +報告: Alexander Klink, Julian Waelde</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8080">CVE-2014-8080</a> + +<p>REXML パーサを修正して細工した XML +文書を経由したメモリ消費によるサービス拒否を回避。 +報告: Willis Vandevanter</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8090">CVE-2014-8090</a> + +<p>REXML::Document#document を追加して <a +href="https://security-tracker.debian.org/tracker/CVE-2014-8080">CVE-2014-8080</a> +の修正を補完。報告: Tomas Hoger</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は ruby1.8 +バージョン 1.8.7.302-2squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-88.data" + diff --git a/japanese/security/2014/dla-89.wml b/japanese/security/2014/dla-89.wml new file mode 100644 index 00000000000..e7f11ad0f41 --- /dev/null +++ b/japanese/security/2014/dla-89.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Tyson Smith さんと Jesse Schwartzentruber +さんが、クロスプラットフォームのセキュリティに対応した +クライアント及びサーバアプリケーションの開発をサポートするように設計されたライブラリ群 +nss にメモリの開放後利用脆弱性を発見しました。信頼しているドメインから +NSSCertificate 構造体の適切でない削除を引き起こすことにより、 +リモートの攻撃者に任意のコードの実行を許します。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は nss +バージョン 3.12.8-1+squeeze10 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-89.data" + diff --git a/japanese/security/2014/dla-90.wml b/japanese/security/2014/dla-90.wml new file mode 100644 index 00000000000..a3a0f748532 --- /dev/null +++ b/japanese/security/2014/dla-90.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>EXIF 組み込みプロパティの確認 (EXIF +ディレクトリオフセットは正の整数でないといけない) が欠けているため、細工した特別な +JPEG ファイルによりサービス拒否につながる可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は imagemagick +バージョン 8:6.6.0.4-3+squeeze5 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-90.data" + diff --git a/japanese/security/2014/dla-92.wml b/japanese/security/2014/dla-92.wml new file mode 100644 index 00000000000..3148700678c --- /dev/null +++ b/japanese/security/2014/dla-92.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新では tomcat-native を 1.1.20 (squeeze +でこれまで利用可能だったバージョン) から +1.1.31 にアップグレードすることとなります。 +バージョン間の変更の全容については +オンラインで利用できるようになっている上流の変更履歴を見てください: +<a href="http://tomcat.apache.org/native-doc/miscellaneous/changelog.html">\ +http://tomcat.apache.org/native-doc/miscellaneous/changelog.html</a></p> + +<p>この更新自体はセキュリティ問題を修正するものではありませんが、Squeeze +のバージョン 1.1.20 と Squeeze LTS の tomcat6 6.0.41 +の組み合わせは動作しないため、libtcnative-1 のユーザは更新が必要です。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-92.data" + diff --git a/japanese/security/2014/dla-93.wml b/japanese/security/2014/dla-93.wml new file mode 100644 index 00000000000..55fad36752e --- /dev/null +++ b/japanese/security/2014/dla-93.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Daniel Genkin さんと Itamar Pipman さん、Eran Tromer さんが、libgcrypt11 +ライブラリを利用しているアプリケーションの Elgamal 暗号化サブキーが、例えば +GnuPG 2.x でのサイドチャネル攻撃を経由して漏洩することを発見しました。(<a +href="http://www.cs.tau.ac.il/~tromer/handsoff/">\ +http://www.cs.tau.ac.il/~tromer/handsoff/</a> 参照)。</p> + +<p>この問題は Squeeze ではバージョン 1.4.5-2+squeeze2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-93.data" + diff --git a/japanese/security/2014/dla-94.wml b/japanese/security/2014/dla-94.wml new file mode 100644 index 00000000000..cfe5904b13d --- /dev/null +++ b/japanese/security/2014/dla-94.wml @@ -0,0 +1,38 @@ +#use wml::debian::translation-check translation="1.4" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3668">CVE-2014-3668</a> + + <p><a href="https://bugs.php.net/bug.php?id=68027">#68027</a> + XMLRPC ライブラリの日付解析を修正</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3669">CVE-2014-3669</a> + + <p><a href="https://bugs.php.net/bug.php?id=68044">#68044</a> + unserialize() での整数オーバーフロー (32ビットのみ)</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3670">CVE-2014-3670</a> + + <p><a href="https://bugs.php.net/bug.php?id=68113">#68113</a> + exif_thumbnail() でのヒープ破損</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3710">CVE-2014-3710</a> + + <p><a href="https://bugs.php.net/bug.php?id=68283">#68283</a> + fileinfo: elf note ヘッダ の範囲外読み取り</p></li> + +</ul> + +<h3>追加のバグ修正</h3> +<p>ldap-fix.patch での LDAP バインディングの null バイト処理</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は php5 +バージョン 5.3.3-7+squeeze23 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-94.data" + diff --git a/japanese/security/2014/dla-95.wml b/japanese/security/2014/dla-95.wml new file mode 100644 index 00000000000..201e1323e3e --- /dev/null +++ b/japanese/security/2014/dla-95.wml @@ -0,0 +1,24 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>clamav にバグが2件発見され、このリリースで修正されています。</p> + +<p>1つはこのパッケージに収録されているコマンドラインのアンチウイルススキャナ +clamscan で特定のファイルを走査した場合にクラッシュにつながる可能性 (<a +href="https://security-tracker.debian.org/tracker/CVE-2013-6497">CVE-2013-6497</a>)。 +もう1つは特別に細工した y0da Crypter による難読化 <abbr +title="Portable Excutable">PE</abbr> ファイルを走査した場合に libclamav +でヒープベースのバッファオーバーフローを引き起こす問題です (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-9050">CVE-2014-9050</a>)。 +メールゲートウェイのスキャナとして ClamAV +を利用している場合はリモートから悪用可能であることに注意してください。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は clamav +バージョン 0.98.1+dfsg-1+deb6u4 で修正されています。</p> + +<p>clamav を利用している場合はこのバージョンにアップグレードすることを強く勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-95.data" + diff --git a/japanese/security/2014/dla-96.wml b/japanese/security/2014/dla-96.wml new file mode 100644 index 00000000000..bb3b8724330 --- /dev/null +++ b/japanese/security/2014/dla-96.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>複数の欠陥が OpenJDK、Oracle Java +基盤の実装に発見されました。任意のコードの実行や Java +サンドボックスの突破、情報漏洩、サービス拒否につながります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題はバージョン +6b33-1.13.5-2~deb6u1 で修正されています。</p> + +<p>直ちに openjdk-6 パッケージをアップグレードすることを勧めます。また、<a +href="https://lists.debian.org/debian-lts/">https://lists.debian.org/debian-lts/</a> +を購読し、更新されたパッケージをリリースする前のテスト支援をお願いします。</p> + +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-96.data" + diff --git a/japanese/security/2014/dla-97.wml b/japanese/security/2014/dla-97.wml new file mode 100644 index 00000000000..8356814bb45 --- /dev/null +++ b/japanese/security/2014/dla-97.wml @@ -0,0 +1,43 @@ +#use wml::debian::translation-check translation="1.4" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6656">CVE-2012-6656</a> + + <p>ibm930 から UTF-8 への変換時の有効性確認を修正。IBM930 コードを iconv() + で変換する場合に、<q>0xffff</q>を使った不正なマルチバイト文字が IBM930 + コードとして渡されると iconv() はセグメンテーション違反を起こします。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6040">CVE-2014-6040</a> + + <p>IBM gconv モジュールに不正な入力を与えることでクラッシュ [<a + href="https://sourceware.org/bugzilla/show_bug.cgi?id=17325">BZ #17325</a>]。 + この変更は <a + href="https://security-tracker.debian.org/tracker/CVE-2012-6656">CVE-2012-6656</a> + (<a href="https://sourceware.org/bugzilla/show_bug.cgi?id=14134">BZ #14134</a>) + の修正 (commit 6e230d11837f3ae7b375ea69d7905f0d18eb79e5) を基にしています。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7817">CVE-2014-7817</a> + + <p>wordexp() 関数が、「$((...``))」形式 + (「...」は演算式として有効であれば何でも可) で演算式が入力された場合の処理で + WRDE_NOCMD フラグを適切に扱えていません。WRDE_NOCMD + フラグによりコマンド置換を禁止している場合でも、 + 演算表現中のバッククオートはシェル中で評価されます。 + それにより、攻撃者は上記の形式で構成した表現を使って WRDE_NOCMD + フラグを迂回して危険なコマンドを渡すことが可能となります。このパッチは + exec_comm() 中のシェルを実行できる場所に限定して + WRDE_NOCMD を確認するように修正します。他での WRDE_NOCMD + の確認は必要のないものであるため削除されました。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は eglibc +バージョン 2.11.3-4+deb6u2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-97.data" + diff --git a/japanese/security/2014/dla-98.wml b/japanese/security/2014/dla-98.wml new file mode 100644 index 00000000000..ca210ae7779 --- /dev/null +++ b/japanese/security/2014/dla-98.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Dragana Damjanovic +さんが、認証済みのクライアントが4バイトに満たない制御パケットをペイロードとして送ることで、 +OpenVPN サーバをクラッシュさせられることを発見しています。</p> + +<p>旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題は +squeeze-lts のバージョン 2.1.3-2+squeeze3 で修正されています。</p> + +<p>直ちに openvpn パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-98.data" + diff --git a/japanese/security/2014/dla-99.wml b/japanese/security/2014/dla-99.wml new file mode 100644 index 00000000000..55ab0b8726a --- /dev/null +++ b/japanese/security/2014/dla-99.wml @@ -0,0 +1,31 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Google セキュリティチームの Michele Spagnuolo さんと Red Hat の Miroslav +Lichvar さんが、Free Lossless Audio Codec メディアを処理するライブラリ +flac に問題を2件発見しています: 特別に細工した FLAC +ファイルを提供することで攻撃者は任意のコードの実行が可能です。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8962">CVE-2014-8962</a> + + <p>stream_decoder.c にヒープベースのバッファオーバーフローがあり、 + 特別に細工した .flac ファイルを経由して、 + リモートの攻撃者に任意のコードの実行を許します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9028">CVE-2014-9028</a> + + <p>stream_decoder.c にスタックベースのバッファオーバーフローがあり、 + 特別に細工した .flac ファイルを経由して、 + リモートの攻撃者に任意のコードの実行を許します。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は flac +バージョン 1.2.1-2+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dla-99.data" + diff --git a/japanese/security/2014/dsa-2936.wml b/japanese/security/2014/dsa-2936.wml index ea3ccf94e79..1f65c93ce42 100644 --- a/japanese/security/2014/dsa-2936.wml +++ b/japanese/security/2014/dsa-2936.wml @@ -5,7 +5,7 @@ 派生のバッチ処理順次実行システムにスタックベースの\ バッファオーバーフロー脆弱性を報告しています。 認証していないリモートの攻撃者がこの欠陥を悪用して -root 権限が任意のコードを実行可能です。</p> +root 権限で任意のコードを実行可能です。</p> <p>旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 2.4.8+dfsg-9squeeze4 で修正されています。</p> diff --git a/japanese/security/2014/dsa-3054.wml b/japanese/security/2014/dsa-3054.wml new file mode 100644 index 00000000000..a857012c13d --- /dev/null +++ b/japanese/security/2014/dsa-3054.wml @@ -0,0 +1,29 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>MySQL データベースサーバに複数の問題が発見されています。脆弱性は MySQL +を新しい上流バージョンである 5.5.40 にアップグレードすることで対処されます。 +さらなる詳細については MySQL 5.5 リリースノートや +Oracle の Critical Patch Update 勧告を参照してください:</p> + +<ul> +<li><a href="https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-39.html">\ +https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-39.html</a></li> +<li><a href="https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-40.html">\ +https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-40.html</a></li> +<li><a href="http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html">\ +http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html</a></li> +</ul> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 5.5.40-0+wheezy1 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション +(sid) では、この問題は近く修正予定です。</p> + +<p>直ちに mysql-5.5 パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3054.data" + diff --git a/japanese/security/2014/dsa-3055.wml b/japanese/security/2014/dsa-3055.wml new file mode 100644 index 00000000000..aec77ea3d82 --- /dev/null +++ b/japanese/security/2014/dsa-3055.wml @@ -0,0 +1,44 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>複数の脆弱性が +Pidgin、複数プロトコル対応インスタントメッセージングクライアントに発見されました:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3694">CVE-2014-3694</a> + + <p>SSL/TLS プラグインが中間認証局証明書の基本制約証明書拡張の + 検証に失敗することが発見されました。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3695">CVE-2014-3695</a> + + <p>Yves Younan さんと Richard Johnson さんが、過度に大きな + length 値とともに顔文字を送ることで Pidgin + をクラッシュさせる可能性があることを発見しました。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3696">CVE-2014-3696</a> + + <p>Yves Younan さんと Richard Johnson さんが、悪意のある + Novell GroupWise メッセージにより Pidgin + がクラッシュする可能性があることを発見しました。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3698">CVE-2014-3698</a> + + <p>Thijs Alkemade さんと Paul Aurich さんが、悪意のある XMPP + メッセージによりメモリ漏洩につながる可能性があることを発見しました。</p></li> + +</ul> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 2.10.10-1~deb7u1 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 2.10.10-1 で修正されています。</p> + +<p>直ちに pidgin パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3055.data" + diff --git a/japanese/security/2014/dsa-3056.wml b/japanese/security/2014/dsa-3056.wml new file mode 100644 index 00000000000..b4b87b49445 --- /dev/null +++ b/japanese/security/2014/dsa-3056.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>ASN1 (抽象構文記法、Abstract Syntax Notation One) 構造を管理するライブラリ +libtasn1-3 に複数の脆弱性が発見されました。攻撃者が悪用し、範囲外アクセスや +NULL ポインタ参照を経由したサービス拒否を引き起こすことが可能です。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 2.13-2+deb7u1 で修正されています。</p> + +<p>直ちに libtasn1-3 パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3056.data" + diff --git a/japanese/security/2014/dsa-3058.wml b/japanese/security/2014/dsa-3058.wml new file mode 100644 index 00000000000..ecf80083917 --- /dev/null +++ b/japanese/security/2014/dsa-3058.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Chad Vizino さんが PBS 派生のバッチ処理順次実行システム +torque に脆弱性を報告しています。非 root ユーザが +tm_adopt() ライブラリの呼び出しにあるこの欠陥を悪用し、root +所有プロセスを含めた、ジョブを実行中の任意のプロセスを終了させることが可能です。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 2.4.16+dfsg-1+deb7u4 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 2.4.16+dfsg-1.5 で修正されています。</p> + +<p>直ちに torque パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3058.data" + diff --git a/japanese/security/2014/dsa-3059.wml b/japanese/security/2014/dsa-3059.wml new file mode 100644 index 00000000000..aa09573afcf --- /dev/null +++ b/japanese/security/2014/dsa-3059.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>dokuwiki に脆弱性が2件発見されています。 +メディアマネージャのアクセス制御は十分に制限しておらず、LDAP +認証に Active Directory を利用している場合には認証を迂回可能です。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 0.0.20120125b-2+deb7u1 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 0.0.20140929.a-1 で修正されています。</p> + +<p>直ちに dokuwiki パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3059.data" + diff --git a/japanese/security/2014/dsa-3060.wml b/japanese/security/2014/dsa-3060.wml new file mode 100644 index 00000000000..7a55542e2fb --- /dev/null +++ b/japanese/security/2014/dsa-3060.wml @@ -0,0 +1,100 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Linux カーネルに複数の欠陥が発見されました。 +サービス拒否につながる可能性があります:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3610">CVE-2014-3610</a> + + <p>Google の Lars Bull さんと Nadav Amit さんが、KVM が特定の MSR + レジスタへの非カノニカルの書き込みを処理する方法に欠陥を報告しています。 + 権限のあるゲストユーザがこの欠陥を悪用してホストのサービス拒否 + (カーネルパニック) を引き起こすことが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3611">CVE-2014-3611</a> + + <p>Google の Lars Bull さんが、KVM の PIT + エミュレーションコードに競合状態を報告しています。PIT の I/O + ポートにアクセスできるローカルのゲストユーザがこの欠陥を悪用し、 + ホストのサービス拒否 (クラッシュ) を引き起こすことが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3645">CVE-2014-3645</a> +/ <a href="https://security-tracker.debian.org/tracker/CVE-2014-3646">CVE-2014-3646</a> + + <p>インテルセキュリティの高度脅威研究チーム (Intel <abbr + title="Advanced Threat Research">ATR</abbr> が、KVM サブシステムが + <abbr title="Invalidate Translations Derived from EPT">invept</abbr> + (EPT派生の翻訳を無効化) 及び <abbr + title="Invalidate Translations Based on VPID">invvpid</abbr> + (VPID ベースの翻訳を無効化) 命令による VM + の終了処理を行儀よく行っていないことを発見しました。 + インテルプロセッサを搭載し invept/invppid による + VM の終了をサポートしているホストで、 + 権限のないゲストユーザがこの命令を悪用して + ゲストをクラッシュさせることが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3647">CVE-2014-3647</a> + + <p>Nadav Amit さんが、<abbr title="Relative Instruction Pointer">RIP</abbr> + (相対命令ポインタ) を変更する命令をエミュレートしている場合に KVM + が非カノニカルアドレスの処理を誤っていることを報告しています。潜在的に誤った + VM エントリを引き起こします。I/O や MMIO + にアクセスできるゲストユーザがこの欠陥を悪用し、ゲストのサービス拒否 + (システムのクラッシュ) を引き起こすことが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3673">CVE-2014-3673</a> + + <p>Red Hat の Liu Wei さんが net/core/skbuff.c に欠陥を発見しています。 + 悪意のある ASCONF chunk を受け取った場合カーネルパニックにつながります + リモートの攻撃者がこの欠陥を悪用してシステムをクラッシュさせることが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3687">CVE-2014-3687</a> + + <p><abbr title="Stream Control Transmission Protocol">SCTP</abbr> + (ストリーム制御転送プロトコル) スタックに欠陥が発見されました。 + 複製 ASCONF chunk を受け取った場合カーネルパニックにつながります。 + リモートの攻撃者がこの欠陥を悪用してシステムをクラッシュさせることが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3688">CVE-2014-3688</a> + + <p>SCTP スタックが、過剰なキューによるメモリ負荷問題を + リモートから起こしやすいことが発見されました。 + リモートの攻撃者がこの欠陥を悪用し、 + システムのサービス拒否の状況を引き起こすことが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3690">CVE-2014-3690</a> + + <p>Andy Lutomirski さんが KVM での誤ったレジスタ処理を発見しました。 + サービス拒否につながる可能性があります。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7207">CVE-2014-7207</a> + + <p>複数の Debian 開発者が IPv6 + ネットワークサブシステムの問題を報告しています。tun や + macvtap デバイス、あるいはこういったデバイスと接続した + 仮想マシンにアクセスできるローカルユーザが、サービス拒否 + (システムのクラッシュ) を引き起こすことが可能です。</p></li> + +</ul> + +<p>この更新では macvtap、tun、virtio_net ドライバでの +UFO (UDP Fragmentation Offload) を無効にする、<a +href="https://security-tracker.debian.org/tracker/CVE-2014-7207">CVE-2014-7207</a> +関連のバグ修正を収録しています。これにより、VM +に virtio ネットワーク機器が割り当てられている場合、 +以前のカーネルバージョンで動作しているホストから\ +このカーネルバージョンで動作しているホストへの、VM +動作中の移行は失敗します。 +こういった VM を移行するためにはまずシャットダウンしておかないといけません。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 3.2.63-2+deb7u1 で修正されています。</p> + +<p>直ちに linux パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3060.data" + diff --git a/japanese/security/2014/dsa-3061.wml b/japanese/security/2014/dsa-3061.wml new file mode 100644 index 00000000000..ef82dd8455a --- /dev/null +++ b/japanese/security/2014/dsa-3061.wml @@ -0,0 +1,25 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>複数のセキュリティ問題が Icedove、Debian 版の +Mozilla Firefox メール及びニュースクライアントに発見されています: +メモリの安全性に関する複数の誤りやバッファオーバーフロー、 +メモリの開放後利用その他の実装の誤りが任意のコードの実行や\ +サービス拒否につながる可能性があります。</p> + +<p>この更新では Icedove を Thunderbird の ESR31 +系列に更新します。さらに、Enigmail がバージョン 1.7.2-1~deb7u1 +に更新され、新しい上流リリースとの互換性を確保します。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 31.2.0-1~deb7u1 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 31.2.0-1 で修正されています。</p> + +<p>直ちに icedove パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3061.data" + diff --git a/japanese/security/2014/dsa-3062.wml b/japanese/security/2014/dsa-3062.wml new file mode 100644 index 00000000000..068aed59f86 --- /dev/null +++ b/japanese/security/2014/dsa-3062.wml @@ -0,0 +1,27 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Rapid7 の HD Moore さんが HTTP や HTTPS、FTP +経由でファイルを取得するコマンドラインユーティリティ Wget +にシンボリックリンク攻撃を発見しました。この脆弱性は Wget +が悪意のある FTP サーバに対して再帰モードで動作している場合に +ユーザのシステム上で任意のファイル作成を許します。 +任意のファイルを作成できることで、ユーザのファイルの内容を上書き、 +あるいはそのユーザの権限でリモートからのコードの実行を許します。</p> + +<p>この更新では Wget のデフォルト設定を変更し、 +シンボリックリンクを取得する際にローカルのシンボリックリンクを作成するのではなく、 +リンク先のファイルを追跡して取得するようになっています。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.13.4-3+deb7u2 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 1.16-1 で修正されています。</p> + +<p>直ちに wget パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3062.data" + diff --git a/japanese/security/2014/dsa-3063.wml b/japanese/security/2014/dsa-3063.wml new file mode 100644 index 00000000000..550de74c7fd --- /dev/null +++ b/japanese/security/2014/dsa-3063.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>分散 IRC クライアント Quassel の構成要素の1つである +Quassel-core に範囲外読み取りの脆弱性が発見されました。 +攻撃者は細工したメッセージを送ることでこの構成要素をクラッシュさせ、 +サービス拒否やプロセスメモリからの情報暴露を引き起こすことが可能です。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 0.8.0-1+deb7u3 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 0.10.0-2.1 で修正されています。</p> + +<p>直ちに quassel パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3063.data" + diff --git a/japanese/security/2014/dsa-3064.wml b/japanese/security/2014/dsa-3064.wml new file mode 100644 index 00000000000..733b290d333 --- /dev/null +++ b/japanese/security/2014/dsa-3064.wml @@ -0,0 +1,24 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>複数の脆弱性が、 +ウェブアプリケーション開発用に広く利用されている多目的スクリプティング言語である +PHP に見つかりました。Wheezy の PHP パッケージでは安定版 5.4.x +リリースを追跡することが決定されました。その結果、脆弱性は PHP +を新しい上流バージョン 5.4.34 にアップグレードすることで対処されます。 +追加のバグ修正や新しい機能が盛り込まれますが、 +互換性のない変更があるかもしれません。 +さらなる情報については上流の変更履歴を参照してください:</p> + +<p><a href="http://php.net/ChangeLog-5.php#5.4.34">\ +http://php.net/ChangeLog-5.php#5.4.34</a></p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 5.4.34-0+deb7u1 で修正されています。</p> + +<p>直ちに php5 パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3064.data" + diff --git a/japanese/security/2014/dsa-3065.wml b/japanese/security/2014/dsa-3065.wml new file mode 100644 index 00000000000..8fcdae76d06 --- /dev/null +++ b/japanese/security/2014/dsa-3065.wml @@ -0,0 +1,22 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>James Forshaw さんが、Java 用の Apache Santuario XML Security で +CanonicalizationMethod パラメータが誤って検証されていることを発見しました。 +攻撃者は任意の弱い正規化アルゴリズムを指定することで XML 署名を偽装できます。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.4.5-1+deb7u1 で修正されています。</p> + +<p>テスト版 (testing) ディストリビューション (jessie) +では、この問題はバージョン 1.5.5-2 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 1.5.5-2 で修正されています。</p> + +<p>直ちに libxml-security-java パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3065.data" + diff --git a/japanese/security/2014/dsa-3066.wml b/japanese/security/2014/dsa-3066.wml new file mode 100644 index 00000000000..b17fcd4aad6 --- /dev/null +++ b/japanese/security/2014/dsa-3066.wml @@ -0,0 +1,39 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>高速なプロセッサエミュレータ qemu に脆弱性が複数発見されています。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3689">CVE-2014-3689</a> + + <p>インテルセキュリティの高度脅威研究チーム (Intel + <abbr title="Advanced Threat Research">ATR</abbr> + が、ゲストが提供したパラメータが vmware-vga ドライバの + rectangle 関数により十分に検証されていないことを報告しています。 + 権限のあるゲストユーザがこの欠陥を悪用してホストの QEMU + アドレス空間に書き込むことが可能で、潜在的には QEMU + のホストプロセスの権限に昇格することが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7815">CVE-2014-7815</a> + + <p>Cisco の James Spadaro さんが、QEMU VNC + ディスプレイドライバがクライアントから入力された bits_per_pixel + の入力を十分にサニタイズしていないことを報告しています。ゲストの + VNC コンソールにアクセスできる攻撃者がこの欠陥を悪用し、 + ゲストをクラッシュさせることが可能です。</p></li> + +</ul> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.1.2+dfsg-6a+deb7u5 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 2.1+dfsg-7 で修正されています。</p> + +<p>直ちに qemu パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3066.data" + diff --git a/japanese/security/2014/dsa-3067.wml b/japanese/security/2014/dsa-3067.wml new file mode 100644 index 00000000000..3f3aa39bf0d --- /dev/null +++ b/japanese/security/2014/dsa-3067.wml @@ -0,0 +1,37 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>x86ハードウェア用の完全仮想化環境である +qemu-kvm に脆弱性が複数発見されています。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3689">CVE-2014-3689</a> + + <p>インテルセキュリティの高度脅威研究チーム (Intel + <abbr title="Advanced Threat Research">ATR</abbr> + が、ゲストが提供したパラメータが vmware-vga ドライバの + rectangle 関数により十分に検証されていないことを報告しています。 + 権限のあるゲストユーザがこの欠陥を悪用してホストの QEMU + アドレス空間に書き込むことが可能で、潜在的には QEMU + のホストプロセスの権限に昇格することが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7815">CVE-2014-7815</a> + + <p>Cisco の James Spadaro さんが、QEMU VNC + ディスプレイドライバがクライアントから入力された bits_per_pixel + の入力を十分にサニタイズしていないことを報告しています。ゲストの + VNC コンソールにアクセスできる攻撃者がこの欠陥を悪用し、 + ゲストをクラッシュさせることが可能です。</p></li> + +</ul> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.1.2+dfsg-6+deb7u5 で修正されています。</p> + +<p>直ちに qemu-kvm パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3067.data" + diff --git a/japanese/security/2014/dsa-3068.wml b/japanese/security/2014/dsa-3068.wml new file mode 100644 index 00000000000..182cf3ca1c8 --- /dev/null +++ b/japanese/security/2014/dsa-3068.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1.3" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>KDE 用 IRC クライアント Konversation が、Blowfish +を使って暗号化した悪意のあるメッセージを受け取った場合に +クラッシュする可能性があることが発見されています。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.4-1+deb7u1 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 1.5-2 で修正されています。</p> + +<p>直ちに konversation パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3068.data" + diff --git a/japanese/security/2014/dsa-3069.wml b/japanese/security/2014/dsa-3069.wml new file mode 100644 index 00000000000..e4309590ee6 --- /dev/null +++ b/japanese/security/2014/dsa-3069.wml @@ -0,0 +1,28 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Symeon Paraschoudis さんが、URL 転送ライブラリ cURL の curl_easy_duphandle() +関数にバグを発見しています。最終的には libcurl が HTTP の POST +操作を行う際、送信を意図していない機密データの送信につながる可能性があります。</p> + +<p>このバグの再現にはは CURLOPT_COPYPOSTFIELDS と +curl_easy_duphandle() をこの順で、さらに HTTP POST +を実行するのに複製処理を行う、ということが要求されます。curl +コマンドラインツールはこの順で動作するようにはなっていないため、 +この問題による影響はありません。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 7.26.0-1+wheezy11 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +では、この問題は バージョン 7.38.0-3 で修正される予定です。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 7.38.0-3 で修正されています。</p> + +<p>直ちに curl パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3069.data" + diff --git a/japanese/security/2014/dsa-3070.wml b/japanese/security/2014/dsa-3070.wml new file mode 100644 index 00000000000..de42b1ab814 --- /dev/null +++ b/japanese/security/2014/dsa-3070.wml @@ -0,0 +1,37 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>FreeBSD カーネルに複数の欠陥が発見されました。 +サービス拒否や情報漏洩につながる可能性があります。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3711">CVE-2014-3711</a> + + <p>サンドボックスでの namei 検索でのメモリ漏洩からのサービス拒否。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3952">CVE-2014-3952</a> + + <p>sockbuf 制御メッセージでのカーネルメモリ漏洩。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3953">CVE-2014-3953</a> + + <p><abbr title="Stream Control Transmission Protocol">SCTP</abbr> + でのカーネルメモリ漏洩。Wheezy のユーザ空間ツールは元から SCTP + をサポートしていないため、この更新では SCTP を無効化しています。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8476">CVE-2014-8476</a> + + <p>setlogin() 及び getlogin() でのカーネルスタック漏洩。</p></li> + +</ul> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 9.0-10+deb70.8 で修正されています。</p> + +<p>直ちに kfreebsd-9 パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3070.data" + diff --git a/japanese/security/2014/dsa-3071.wml b/japanese/security/2014/dsa-3071.wml new file mode 100644 index 00000000000..8ebb873fa93 --- /dev/null +++ b/japanese/security/2014/dsa-3071.wml @@ -0,0 +1,25 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Tyson Smith さんと Jesse Schwartzentruber +さんが、クロスプラットフォームのセキュリティに対応した +クライアント及びサーバアプリケーションの開発をサポートするように設計されたライブラリ群 +nss にメモリの開放後利用脆弱性を発見しました。信頼しているドメインから +NSSCertificate 構造体の適切でない削除を引き起こすことにより、 +リモートの攻撃者に任意のコードの実行を許します。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 2:3.14.5-1+deb7u3 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +では、この問題はバージョン 2:3.16.3-1 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 2:3.16.3-1 で修正されています。</p> + +<p>直ちに nss パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3071.data" + diff --git a/japanese/security/2014/dsa-3072.wml b/japanese/security/2014/dsa-3072.wml new file mode 100644 index 00000000000..fe9b9a6c0eb --- /dev/null +++ b/japanese/security/2014/dsa-3072.wml @@ -0,0 +1,24 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Red Hat 製品セキュリティの Francisco Alonso さんが file +ユーティリティに問題を発見しています: ELF ファイルを調べる際に +note ヘッダを誤って解析しているため、潜在的には特別に細工した +ELF ファイルを提供することによるサービス拒否 +(範囲外読み取り及びアプリケーションのクラッシュ) を攻撃者に許します。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 5.11-2+deb7u6 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション +(jessie) ではこの問題は近く修正予定です。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 1:5.20-2 で修正されています。</p> + +<p>直ちに file パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3072.data" + diff --git a/japanese/security/2014/dsa-3073.wml b/japanese/security/2014/dsa-3073.wml new file mode 100644 index 00000000000..eb59af10e73 --- /dev/null +++ b/japanese/security/2014/dsa-3073.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Daniel Genkin さんと Itamar Pipman さん、Eran Tromer さんが、libgcrypt11 +ライブラリを利用しているアプリケーション、例えば GnuPG 2.x +でのサイドチャネル攻撃を経由した情報漏洩を発見しました。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.5.0-5+deb7u2 で修正されています。</p> + +<p>直ちに libgcrypt11 パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3073.data" + diff --git a/japanese/security/2014/dsa-3075.wml b/japanese/security/2014/dsa-3075.wml new file mode 100644 index 00000000000..b1f868cbfab --- /dev/null +++ b/japanese/security/2014/dsa-3075.wml @@ -0,0 +1,37 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>多機能コンテント管理基盤 Drupal に脆弱性が2件見つかっています。The Common +Vulnerabilities and Exposures project は以下の問題を認識しています:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9015">CVE-2014-9015</a> + + <p>Aaron Averill さんが、特別に細工したリクエストによって + ユーザが別ユーザのセッションにアクセスできることを発見しています。 + 攻撃者に無作為のセッション乗っ取りを許します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9016">CVE-2014-9016</a> + + <p>Michael Cullum さんと Javier Nieto、Andres Rojas Guerrero + さんが、パスワードハッシュ API がサービス拒否を許す可能性を発見しています。 + 攻撃者が特別に細工したリクエストを送ることでCPUとメモリを使い果たし、 + サイトを利用不可能あるいは反応させなくできる可能性があります。</p></li> + +</ul> + +<p>独自に設定した session.inc 及び password.inc +についても同様に監査し、上記の脆弱性につながるものか検証する必要があります。 +さらなる情報が上流の勧告にあります: +<url "https://www.drupal.org/SA-CORE-2014-006" /></p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 7.14-2+deb7u8 で修正されています。</p> + +<p>直ちに drupal7 パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3075.data" + diff --git a/japanese/security/2014/dsa-3076.wml b/japanese/security/2014/dsa-3076.wml new file mode 100644 index 00000000000..2b0fa914e7d --- /dev/null +++ b/japanese/security/2014/dsa-3076.wml @@ -0,0 +1,22 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>SigComp UDVM、AMQP、NCP、TN5250 用の +dissector/パーサに脆弱性が複数発見されています。 +サービス拒否につながる可能性があります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.8.2-5wheezy13 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +では、この問題はバージョン 1.12.1+g01b65bf-2 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 1.12.1+g01b65bf-2 で修正されています。</p> + +<p>直ちに wireshark パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3076.data" + diff --git a/japanese/security/2014/dsa-3077.wml b/japanese/security/2014/dsa-3077.wml new file mode 100644 index 00000000000..8b49415a219 --- /dev/null +++ b/japanese/security/2014/dsa-3077.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>複数の欠陥が OpenJDK、Oracle Java 基盤の実装に発見されました。 +任意のコードの実行や情報漏洩、サービス拒否につながります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 6b33-1.13.5-2~deb7u1 で修正されています。</p> + +<p>直ちに openjdk-6 パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3077.data" + diff --git a/japanese/security/2014/dsa-3078.wml b/japanese/security/2014/dsa-3078.wml new file mode 100644 index 00000000000..6115dab76d9 --- /dev/null +++ b/japanese/security/2014/dsa-3078.wml @@ -0,0 +1,26 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>X.509 及び CMS (PKCS#7) ライブラリ libksba の ksba_oid_to_str() +関数に整数アンダーフローの欠陥が見つかりました。特別に細工した +S/MIME メッセージや ECC ベースの OpenPGP +データを使うことでヒープベースのバッファオーバーフローにつながります。 +バッファオーバーフローを発生させることで libksba +を利用しているアプリケーションのクラッシュ (サービス拒否) +を引き起こすことが可能で、潜在的には任意のコードの実行につながる可能性があります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.2.0-2+deb7u1 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +では、この問題はバージョン 1.3.2-1 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 1.3.2-1 で修正されています。</p> + +<p>直ちに libksba パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3078.data" + diff --git a/japanese/security/2014/dsa-3079.wml b/japanese/security/2014/dsa-3079.wml new file mode 100644 index 00000000000..15f268edf29 --- /dev/null +++ b/japanese/security/2014/dsa-3079.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Point-to-Point プロトコルの実装である ppp に脆弱性が発見されています: +ユーザから提供されたオプションの解析を担当しているルーチンに整数オーバーフローがあり、 +ローカルの攻撃者の root 権限獲得を潜在的に許します。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 2.4.5-5.1+deb7u1 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +及び不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 2.4.6-3 で修正されています。</p> + +<p>直ちに ppp パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3079.data" + diff --git a/japanese/security/2014/dsa-3080.wml b/japanese/security/2014/dsa-3080.wml new file mode 100644 index 00000000000..07e76cd5950 --- /dev/null +++ b/japanese/security/2014/dsa-3080.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>複数の欠陥が OpenJDK、Oracle Java 基盤の実装に発見されました。 +任意のコードの実行や情報漏洩、サービス拒否につながります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 7u71-2.5.3-2~deb7u1 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +では、この問題はバージョン 7u71-2.5.3-1 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 7u71-2.5.3-1 で修正されています。</p> + +<p>直ちに openjdk-7 パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3080.data" + diff --git a/japanese/security/2014/dsa-3081.wml b/japanese/security/2014/dsa-3081.wml new file mode 100644 index 00000000000..4fe352e10c4 --- /dev/null +++ b/japanese/security/2014/dsa-3081.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>VNC サーバ機能を実装するライブラリ libvncserver に欠陥が複数発見されています。 +この脆弱性のため、クライアント側でもサーバ側でも任意のコードの実行や +サービス拒否につながる可能性があります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 0.9.9+dfsg-1+deb7u1 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 0.9.9+dfsg-6.1 で修正されています。</p> + +<p>直ちに libvncserver パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3081.data" + diff --git a/japanese/security/2014/dsa-3082.wml b/japanese/security/2014/dsa-3082.wml new file mode 100644 index 00000000000..593ff6d1920 --- /dev/null +++ b/japanese/security/2014/dsa-3082.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Google セキュリティチームの Michele Spagnuolo さんと Red Hat の Miroslav +Lichvar さんが、Free Lossless Audio Codec メディアを処理するライブラリ +flac に問題を2件発見しています: 特別に細工した FLAC +ファイルを提供することで攻撃者は任意のコードの実行が可能です。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.2.1-6+deb7u1 で修正されています。</p> + +<p>テスト版 (testing) ディストリビューション (jessie) +及び不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 1.3.0-3 で修正されています。</p> + +<p>直ちに flac パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3082.data" + diff --git a/japanese/security/2014/dsa-3083.wml b/japanese/security/2014/dsa-3083.wml new file mode 100644 index 00000000000..2cd66b355c8 --- /dev/null +++ b/japanese/security/2014/dsa-3083.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>テキストベースのメールリーダー mutt に欠陥が発見されています。 +特別に細工したメールヘッダにより mutt +のクラッシュを引き起こすことが可能で、サービス拒否につながります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.5.21-6.2+deb7u3 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 1.5.23-2 で修正されています。</p> + +<p>直ちに mutt パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3083.data" + diff --git a/japanese/security/2014/dsa-3084.wml b/japanese/security/2014/dsa-3084.wml new file mode 100644 index 00000000000..ecea68aba2b --- /dev/null +++ b/japanese/security/2014/dsa-3084.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Dragana Damjanovic +さんが、認証済みのクライアントが4バイトに満たない制御パケットをペイロードとして送ることで、 +OpenVPN サーバをクラッシュさせられることを発見しています。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 2.2.1-8+deb7u3 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 2.3.4-5 で修正されています。</p> + +<p>直ちに openvpn パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3084.data" + diff --git a/japanese/security/2014/dsa-3085.wml b/japanese/security/2014/dsa-3085.wml new file mode 100644 index 00000000000..3b855cdb11c --- /dev/null +++ b/japanese/security/2014/dsa-3085.wml @@ -0,0 +1,76 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>複数のセキュリティ問題がウェブ上のブログ管理ツール Wordpress +に確認されています。サービス拒否や情報漏洩につながります。 +さらなる情報が上流の勧告にあります: +<url "https://wordpress.org/news/2014/11/wordpress-4-0-1/" /></p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9031">CVE-2014-9031</a> + + <p>Jouko Pynnonen さんが wptexturize() にクロスサイトスクリプティング脆弱性 + (XSS) を発見しています。コメントや投稿を経由し、認証不要で悪用可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9033">CVE-2014-9033</a> + + <p>パスワード変更プロセスにクロスサイトリクエストフォージェリ + (CSRF) 脆弱性があり、攻撃者が悪用してユーザを騙し、 + パスワードを変えさせることが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9034">CVE-2014-9034</a> + + <p>Javier Nieto Arevalo さんと Andres Rojas Guerrero + さんが、phpass ライブラリをパスワードの処理に利用している方法で + パスワードの最大長が設定されていないことによる、 + 潜在的なサービス拒否を報告しています。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9035">CVE-2014-9035</a> + + <p>John Blackbourn さんが、<q>Press This</q>機能 + (ブラウザの<q>ブックマークレット</q>を利用してすぐ公開する機能) + に XSS を報告しています。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9036">CVE-2014-9036</a> + + <p>Robert Chapin さんが、投稿内容の CSS に対する HTML + フィルター処理に XSS を報告しています。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9037">CVE-2014-9037</a> + + <p>David Anderson さんが、旧式の MD5 + スキームを利用した保存されているパスワードのハッシュ比較に脆弱性を報告しています。 + これを悪用してアカウントを侵害することは不可能なようですが、ユーザが + Wordpress 2.5 への更新 (Debian には2008年4月2日にアップロード) + 以後にログインしていない場合は PHP の動的比較が元でパスワードの + MD5 ハッシュが衝突する可能性があります。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9038">CVE-2014-9038</a> + + <p>Ben Bidner さんがコアの HTTP 層にサーバサイドリクエストフォージェリ (SSRF) + を報告しています。ループバック IP アドレス空間を十分にブロックしていません。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9039">CVE-2014-9039</a> + + <p>Momen Bassel さんと Tanoy Bose さん、Bojan Slavkovic + さんがパスワードリセットプロセスに脆弱性を報告しています: + メールアドレスの変更処理で前のパスワードリセットのメールを失効させていません。</p></li> + +</ul> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 3.6.1+dfsg-1~deb7u5 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +では、この問題はバージョン 4.0.1+dfsg-1 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 4.0.1+dfsg-1 で修正されています。</p> + +<p>直ちに wordpress パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3085.data" + diff --git a/japanese/security/2014/dsa-3086.wml b/japanese/security/2014/dsa-3086.wml new file mode 100644 index 00000000000..24a7d937ee9 --- /dev/null +++ b/japanese/security/2014/dsa-3086.wml @@ -0,0 +1,22 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>コマンドラインのネットワークトラフィック分析ツール tcpdump +に複数の欠陥が発見されました。サービス拒否やメモリからの機密情報漏洩、 +潜在的には任意のコードの実行につながる可能性があります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 4.3.0-1+deb7u1 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +では、この問題はバージョン 4.6.2-3 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 4.6.2-3 で修正されています。</p> + +<p>直ちに tcpdump パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3086.data" + diff --git a/japanese/security/2014/dsa-3087.wml b/japanese/security/2014/dsa-3087.wml new file mode 100644 index 00000000000..50704533baf --- /dev/null +++ b/japanese/security/2014/dsa-3087.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Red Hat の Paolo Bonzini さんが、高速なプロセッサエミュレータ qemu の Cirrus +VGA エミュレータが blit 領域のチェックを十分に行っていないことを発見しています。 +権限のあるゲストユーザがこの欠陥を悪用してホストの qemu +アドレス空間に書き込み、潜在的には qemu ホストプロセスの権限への昇格が可能です。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.1.2+dfsg-6a+deb7u6 で修正されています。</p> + +<p>直ちに qemu パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3087.data" + diff --git a/japanese/security/2014/dsa-3088.wml b/japanese/security/2014/dsa-3088.wml new file mode 100644 index 00000000000..e34333deed3 --- /dev/null +++ b/japanese/security/2014/dsa-3088.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Red Hat の Paolo Bonzini さんが、x86ハードウェア用の完全仮想化環境である qemu-kvm +の Cirrus VGA エミュレータが blit 領域のチェックを十分に行っていないことを発見しています。 +権限のあるゲストユーザがこの欠陥を悪用してホストの qemu +アドレス空間に書き込み、潜在的には qemu ホストプロセスの権限への昇格が可能です。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.1.2+dfsg-6+deb7u6 で修正されています。</p> + +<p>直ちに qemu-kvm パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3088.data" + diff --git a/japanese/security/2014/dsa-3089.wml b/japanese/security/2014/dsa-3089.wml new file mode 100644 index 00000000000..00c26980370 --- /dev/null +++ b/japanese/security/2014/dsa-3089.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Google セキュリティチームの Josh Duart さんが、JPEG-2000 ファイルを操作するライブラリ +JasPer にヒープベースのバッファオーバーフローの欠陥を発見しています。サービス拒否 +(アプリケーションのクラッシュ) や任意のコードの実行につながる可能性があります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.900.1-13+deb7u1 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) 及び不安定版 +(unstable) ディストリビューション (sid) では、この問題は近く修正予定です。</p> + +<p>直ちに jasper パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3089.data" + diff --git a/japanese/security/2014/dsa-3090.wml b/japanese/security/2014/dsa-3090.wml new file mode 100644 index 00000000000..465ae3bcce9 --- /dev/null +++ b/japanese/security/2014/dsa-3090.wml @@ -0,0 +1,24 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Debian 版の Mozilla Firefox ウェブブラウザ +Iceweasel にセキュリティ問題が複数見つかっています: +メモリの安全性に関する複数の誤りやバッファオーバーフロー、メモリの開放後利用、 +その他の実装の誤りが任意のコードの実行やセキュリティ制限の迂回、 +サービス拒否につながる可能性があります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 31.3.0esr-1~deb7u1 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション +(jessie) ではこの問題は近く修正予定です。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 31.3.0esr-1 で修正されています。</p> + +<p>直ちに iceweasel パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3090.data" + diff --git a/japanese/security/2014/dsa-3091.wml b/japanese/security/2014/dsa-3091.wml new file mode 100644 index 00000000000..ca8160dcac3 --- /dev/null +++ b/japanese/security/2014/dsa-3091.wml @@ -0,0 +1,44 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>POP3、IMAP4、SDPS に対応したメール取得プログラム getmail4 +に複数の欠陥が発見されました。中間者攻撃を許す可能性があります。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7273">CVE-2014-7273</a> + + <p>getmail 4.0.0 から 4.43.0 の IMAP-over-SSL 実装は SSL サーバから送られた + X.509 証明書を検証していません。中間の攻撃者が細工した証明書により + IMAP サーバを偽装することで機密情報の取得を許します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7274">CVE-2014-7274</a> + + <p>getmail 4.44.0 の IMAP-over-SSL 実装はサーバのホスト名が X.509 証明書の一般名 + (<abbr title="common name">CN</abbr>) のドメイン名に合うことを検証していません。 + 中間の攻撃者が登録済み認証局からの細工した証明書により + IMAP サーバを偽装することで機密情報の取得を許します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7275">CVE-2014-7275</a> + + <p>getmail 4.0.0 から 4.44.0 の POP3-over-SSL 実装は SSL サーバから送られた + X.509 証明書を検証していません。中間の攻撃者が細工した証明書により + POP3 サーバを偽装することで機密情報の取得を許します。</p></li> + +</ul> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 4.46.0-1~deb7u1 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +では、この問題はバージョン 4.46.0-1 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 4.46.0-1 で修正されています。</p> + +<p>直ちに getmail4 パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3091.data" + diff --git a/japanese/security/2014/dsa-3092.wml b/japanese/security/2014/dsa-3092.wml new file mode 100644 index 00000000000..7c88a818012 --- /dev/null +++ b/japanese/security/2014/dsa-3092.wml @@ -0,0 +1,24 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Debian 版の Mozilla Thunderbird メール及びニュースクライアント +Icedove にセキュリティ問題が複数見つかっています: +メモリの安全性に関する複数の誤りやバッファオーバーフロー、メモリの開放後利用、 +その他の実装の誤りが任意のコードの実行やセキュリティ制限の迂回、 +サービス拒否につながる可能性があります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 31.3.0-1~deb7u1 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション +(jessie) ではこの問題は近く修正予定です。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 31.3.0-1 で修正されています。</p> + +<p>直ちに icedove パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3092.data" + diff --git a/japanese/security/2014/dsa-3093.wml b/japanese/security/2014/dsa-3093.wml new file mode 100644 index 00000000000..7d6edd18077 --- /dev/null +++ b/japanese/security/2014/dsa-3093.wml @@ -0,0 +1,53 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Linux カーネルに複数の欠陥が発見されました。 +サービス拒否や特権の昇格につながる可能性があります:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7841">CVE-2014-7841</a> + + <p>Red Hat の Liu Wei さんが、ASCONF 実行中の<abbr + title="Stream Control Transmission Protocol">SCTP</abbr> + (ストリーム制御転送プロトコル) サーバが悪意のある INIT chunk + により NULL ポインタ参照を引き起こすパニックを発見しています。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8369">CVE-2014-8369</a> + + <p>Linux カーネルの kvm_iommu_map_pages() 関数で iommu + の割り当て失敗を処理する方法に欠陥が発見されました。 + ゲストOSのユーザがこの欠陥を悪用してサービス拒否 + (ホストOSでのメモリ破壊) を引き起こすことが可能で、 + 潜在的にはホストOSで未知の影響があります。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8884">CVE-2014-8884</a> + + <p>スタックベースのバッファオーバーフロー欠陥が + TechnoTrend/Hauppauge DEC USB ドライバに発見されました。 + 当該機器に書き込むことのできるローカルユーザがこの欠陥を悪用し、 + カーネルのクラッシュや、潜在的には権限を昇格させることが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9090">CVE-2014-9090</a> + + <p>Andy Lutomirski さんが、Linux カーネルの arch/x86/kernel/traps.c + 中の do_double_fault 関数がスタックセグメント (<abbr + title="Stack Segment">SS</abbr>) セグメントレジスタに関わる + セグメンテーション違反を適切に処理していないことを発見しています。 + ローカルユーザにサービス拒否 (パニック) を許します。</p></li> + +</ul> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 3.2.63-2+deb7u2 で修正されています。 +この更新では前の更新により発生したリグレッションも修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 3.16.7-ckt2-1 で近く修正予定です。</p> + +<p>直ちに linux パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3093.data" + diff --git a/japanese/security/2014/dsa-3094.wml b/japanese/security/2014/dsa-3094.wml new file mode 100644 index 00000000000..8ebc91940c6 --- /dev/null +++ b/japanese/security/2014/dsa-3094.wml @@ -0,0 +1,27 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>DNS サーバ BIND がサービス拒否脆弱性を起こしやすいことが発見されています。</p> + +<p>攻撃者が悪意を持って構成したゾーンやローグサーバを使わせることで、BIND 9 +がドメイン名サービスの委譲を追跡するのに利用しているコードでの見落としを悪用すると、BIND +は委譲を追跡しようとして無制限に問い合わせを出し続けます。</p> + +<p>これはリソースを使い果たすことでサービス拒否 +(最悪で名前サーバのプロセス終了) につながる可能性があります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン +1:9.8.4.dfsg.P1-6+nmu2+deb7u3 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション +(jessie) ではこの問題は近く修正予定です。</p> + +<p>不安定版 (unstable) ディストリビューション +(sid) ではこの問題は近く修正予定です。</p> + +<p>直ちに bind9 パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3094.data" + diff --git a/japanese/security/2014/dsa-3095.wml b/japanese/security/2014/dsa-3095.wml new file mode 100644 index 00000000000..d650954ed4a --- /dev/null +++ b/japanese/security/2014/dsa-3095.wml @@ -0,0 +1,22 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>IOActive の Ilja van Sprundel さんが X.org X +サーバにセキュリティ問題を複数発見しています。 +特権の昇格やサービス拒否につながる可能性があります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.12.4-6+deb7u5 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション +(jessie) ではこの問題は近く修正予定です。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 2:1.16.2.901-1 で修正されています。</p> + +<p>直ちに xorg-server パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3095.data" + diff --git a/japanese/security/2014/dsa-3096.wml b/japanese/security/2014/dsa-3096.wml new file mode 100644 index 00000000000..a510ef3a448 --- /dev/null +++ b/japanese/security/2014/dsa-3096.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>ANSSI の Florian Maury さんが再帰 DNS サーバ pdns-recursor に欠陥を発見しています: +リモートの攻撃者が管理する悪意を持って構成したゾーンやローグサーバにより +pdns-recursor の性能に影響を与えることが可能で、 +リソースを使い果たすことで潜在的なサービス拒否につながります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 3.3-3+deb7u1 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +及び不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 3.6.2-1 で修正されています。</p> + +<p>直ちに pdns-recursor パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3096.data" + diff --git a/japanese/security/2014/dsa-3097.wml b/japanese/security/2014/dsa-3097.wml new file mode 100644 index 00000000000..1c95ec22896 --- /dev/null +++ b/japanese/security/2014/dsa-3097.wml @@ -0,0 +1,24 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>ANSSI の Florian Maury さんが、検証、再帰、キャッシュ DNS リゾルバ +unbound がサービス拒否脆弱性を起こしやすいことを発見しています。 +悪意のあるゾーンを細工してサーバへの問い合わせを出す (出させる) +ことのできる攻撃者がリゾルバを欺いて無限に続く委譲を追跡させることで、 +リソースの使い果たしとネットワーク使用量の増大につながります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.4.17-3+deb7u2 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +では、この問題はバージョン 1.4.22-3 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 1.4.22-3 で修正されています。</p> + +<p>直ちに unbound パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3097.data" + diff --git a/japanese/security/2014/dsa-3098.wml b/japanese/security/2014/dsa-3098.wml new file mode 100644 index 00000000000..55882be25fe --- /dev/null +++ b/japanese/security/2014/dsa-3098.wml @@ -0,0 +1,22 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Joshua Rogers さんが豊富なグラフ描画ツール群 Graphviz の lib/cgraph/scan.l 中の +yyerror 関数にフォーマット文字列脆弱性を発見しています。攻撃者がこの欠陥を悪用して +graphviz のクラッシュや潜在的には任意のコードの実行を引き起こすことが可能です。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 2.26.3-14+deb7u2 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +では、この問題はバージョン 2.38.0-7 で近く修正予定です。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 2.38.0-7 で修正されています。</p> + +<p>直ちに graphviz パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3098.data" + diff --git a/japanese/security/2014/dsa-3099.wml b/japanese/security/2014/dsa-3099.wml new file mode 100644 index 00000000000..f44d0d80ad0 --- /dev/null +++ b/japanese/security/2014/dsa-3099.wml @@ -0,0 +1,29 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Simon McVittie さんが、<a +href="https://security-tracker.debian.org/tracker/CVE-2014-3636">CVE-2014-3636</a> +の修正が誤っていたことを発見しています。 +根底にあるサービス拒否の手法に対して完全に対処できていませんでした。 +この更新では D-Bus デーモンを最初に root で起動させるため、 +ファイルデスクリプタのカウントを適切に増加させられるようになります。</p> + +<p>さらに、この更新では前のセキュリティ更新での +auth_timeout の変更を以前の値に戻しています。 +新しい値では一部システムでブートできなくなっていたためです。 +悪意のあるローカルユーザに対して D-Bus デーモンを強靱化する方法についての詳細は +README.Debian ファイルを見てください。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.6.8-1+deb7u5 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +及び不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 1.8.10-1 で修正されています。</p> + +<p>直ちに dbus パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3099.data" + diff --git a/japanese/security/2014/dsa-3100.wml b/japanese/security/2014/dsa-3100.wml new file mode 100644 index 00000000000..e8a7b5b5e6f --- /dev/null +++ b/japanese/security/2014/dsa-3100.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>wiki エンジン mediawiki に欠陥が発見されています: +<cross-domain-policy> の改変機能により、API +から送られたページ中の PHP の表現を盲目的に非直列化している API +利用者に対して、記事の編集者によるコード差し込みを許します。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1:1.19.20+dfsg-0+deb7u2 で修正されています。</p> + +<p>直ちに mediawiki パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3100.data" + diff --git a/japanese/security/2014/dsa-3101.wml b/japanese/security/2014/dsa-3101.wml new file mode 100644 index 00000000000..6bfdd4a5282 --- /dev/null +++ b/japanese/security/2014/dsa-3101.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>ICAP サーバの実装 c-icap に脆弱性が複数見つかっています。リモートの攻撃者に +c-icap のクラッシュを許し、他にも未知の影響を許す可能性があります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1:0.1.6-1.1+deb7u1 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +では、この問題はバージョン 1:0.3.1-1 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 1:0.3.1-1 で修正されています。</p> + +<p>直ちに c-icap パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3101.data" + diff --git a/japanese/security/2014/dsa-3102.wml b/japanese/security/2014/dsa-3102.wml new file mode 100644 index 00000000000..7c6ac6f632b --- /dev/null +++ b/japanese/security/2014/dsa-3102.wml @@ -0,0 +1,25 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Jonathan Gray さんと Stanislaw Pitucha さんが、高速な +YAML 1.1 パーサ及び生成ライブラリ LibYAML +が折り返された文字列を解析する方法にアサート失敗を発見しました。libyaml +を利用しているアプリケーションで、特別に細工した +YAML 入力をロードさせることのできる攻撃者が、 +アプリケーションをクラッシュさせることが可能です。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 0.1.4-2+deb7u5 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +では、この問題はバージョン 0.1.6-3 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 0.1.6-3 で修正されています。</p> + +<p>直ちに libyaml パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3102.data" + diff --git a/japanese/security/2014/dsa-3103.wml b/japanese/security/2014/dsa-3103.wml new file mode 100644 index 00000000000..d8ab06b4e1c --- /dev/null +++ b/japanese/security/2014/dsa-3103.wml @@ -0,0 +1,28 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Jonathan Gray さんと Stanislaw Pitucha さんが、高速な +YAML 1.1 パーサ及び生成ライブラリ LibYAML +が折り返された文字列を解析する方法にアサート失敗を発見しました。libyaml +を利用しているアプリケーションで、特別に細工した +YAML 入力をロードさせることのできる攻撃者が、 +アプリケーションをクラッシュさせることが可能です。</p> + +<p>この更新では libyaml-libyaml-perl +パッケージに組み込まれている複製にあるこの欠陥を修正します。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 0.38-3+deb7u3 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +では、この問題はバージョン 0.41-6 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 0.41-6 で修正されています。</p> + +<p>直ちに libyaml-libyaml-perl パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3103.data" + diff --git a/japanese/security/2014/dsa-3104.wml b/japanese/security/2014/dsa-3104.wml new file mode 100644 index 00000000000..dce1a5b58ed --- /dev/null +++ b/japanese/security/2014/dsa-3104.wml @@ -0,0 +1,32 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p><q>mail</q>コマンドの実装である bsd-mailx +に、書式として有効なメールアドレスをシェルコマンドとして扱い、 +実行する隠し機能が発見されています。</p> + +<p>この機能を必要とするユーザは適切な mailrc +ファイルで<q>expandaddr</q>を指定することで有効にできます。 +また、この更新では時代遅れの <code>-T</code> +オプションも削除されています。古いセキュリティ脆弱性 <a +href="https://security-tracker.debian.org/tracker/CVE-2004-2771">CVE-2004-2771</a> +は既に Debian の bsd-mailx パッケージでは対応済みです。</p> + +<p>ただし、このセキュリティ更新は mailx +でコマンドを実行する機能を全て削除したわけではないことに注意してください。 +信頼できないソース (ウェブフォーム等) +から取得したアドレスにメールを送るスクリプトではメールアドレスの前に区切り文字 +<code>--</code> を使うようにするか +(適切に機能するようにこの更新で修正されています)、代わりに +<code>mail -t</code> や <code>sendmail -i -t</code> を発動して +宛先のアドレスをメールヘッダの一部として渡すように変更してください。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン +8.1.2-0.20111106cvs-1+deb7u1 で修正されています。</p> + +<p>直ちに bsd-mailx パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3104.data" + diff --git a/japanese/security/2014/dsa-3105.wml b/japanese/security/2014/dsa-3105.wml new file mode 100644 index 00000000000..4af5cb10cb7 --- /dev/null +++ b/japanese/security/2014/dsa-3105.wml @@ -0,0 +1,39 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p><q>mail</q>コマンドの実装である Heirloom mailx +に、セキュリティ脆弱性が2件発見されています:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2004-2771">CVE-2004-2771</a> + + <p>mailx は特定のメールアドレス中のシェルメタ文字を解釈します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7844">CVE-2014-7844</a> + + <p>mailx の想定していない機能により、 + 書式として有効なメールアドレスをシェルコマンドとして扱い、実行します。</p></li> + +</ul> + +<p>シェルコマンドの実行機能は<q>expandaddr</q>オプションを有効にすることで利用できます。</p> + +<p>ただし、このセキュリティ更新は mailx +でコマンドを実行する機能を全て削除したわけではないことに注意してください。 +信頼できないソース (ウェブフォーム等) +から取得したアドレスにメールを送るスクリプトではメールアドレスの前に区切り文字 +<code>--</code> を使うようにするか +(適切に機能するようにこの更新で修正されています)、代わりに +<code>mail -t</code> や <code>sendmail -i -t</code> を発動して +宛先のアドレスをメールヘッダの一部として渡すように変更してください。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 12.5-2+deb7u1 で修正されています。</p> + +<p>直ちに heirloom-mailx パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3105.data" + diff --git a/japanese/security/2014/dsa-3106.wml b/japanese/security/2014/dsa-3106.wml new file mode 100644 index 00000000000..911367c3817 --- /dev/null +++ b/japanese/security/2014/dsa-3106.wml @@ -0,0 +1,24 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Google セキュリティチームの Jose Duart さんが、JPEG-2000 +ファイルを操作するライブラリ JasPer に二重解放の欠陥 (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-8137">CVE-2014-8137</a>) +及びヒープベースのバッファオーバーフローの欠陥 (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-8138">CVE-2014-8138</a>) +を発見しています。特別に細工したファイルにより、JasPer +を利用しているアプリケーションのクラッシュや、 +潜在的には任意のコードの実行を引き起こすことが可能です。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.900.1-13+deb7u2 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) 及び不安定版 (unstable) +ディストリビューション (sid) では、この問題は近く修正予定です。</p> + +<p>直ちに jasper パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3106.data" + diff --git a/japanese/security/2014/dsa-3109.wml b/japanese/security/2014/dsa-3109.wml new file mode 100644 index 00000000000..e2934f7bde9 --- /dev/null +++ b/japanese/security/2014/dsa-3109.wml @@ -0,0 +1,23 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Dmitry Kovalenko さんが、Firebird +データベースサーバがサービス拒否脆弱性を起こしやすいことを発見しています。 +認証していないリモートの攻撃者が悪意のあるネットワークパケットを +firebird サーバに送り、サーバをクラッシュさせることが可能です。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 2.5.2.26540.ds4-1~deb7u2 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +では、この問題はバージョン 2.5.3.26778.ds4-5 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 2.5.3.26778.ds4-5 で修正されています。</p> + +<p>直ちに firebird2.5 パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3109.data" + diff --git a/japanese/security/2014/dsa-3110.wml b/japanese/security/2014/dsa-3110.wml new file mode 100644 index 00000000000..c1d966fa545 --- /dev/null +++ b/japanese/security/2014/dsa-3110.wml @@ -0,0 +1,23 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>wiki エンジン mediawiki に欠陥が発見されています: +thumb.php は wikitext メッセージを生の HTML +として出力するため、潜在的にクロスサイトスクリプティング +(XSS) につながります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.19.20+dfsg-0+deb7u3 で修正されています。 +このバージョンでは追加で、前のリリース <a href="dsa-3100">DSA-3100-1</a> +で生じたリグレッションについても修正しています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +及び不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 1:1.19.20+dfsg-2.2 で修正されています。</p> + +<p>直ちに mediawiki パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3110.data" + diff --git a/japanese/security/2014/dsa-3111.wml b/japanese/security/2014/dsa-3111.wml new file mode 100644 index 00000000000..1b296e73ece --- /dev/null +++ b/japanese/security/2014/dsa-3111.wml @@ -0,0 +1,22 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Michal Zalewski さんが、cpio アーカイブファイルを作成、抽出するツール +cpio に範囲外書き込みの問題を発見しています。この問題を修正する過程で cpio +開発者が範囲確認と NULL ポインタ参照の問題を追加で発見、修正しています。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 2.11+dfsg-0.1+deb7u1 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション +(jessie) ではこの問題は近く修正予定です。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 2.11+dfsg-4 で修正されています。</p> + +<p>直ちに cpio パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3111.data" + diff --git a/japanese/security/2014/dsa-3112.wml b/japanese/security/2014/dsa-3112.wml new file mode 100644 index 00000000000..3558f1b223e --- /dev/null +++ b/japanese/security/2014/dsa-3112.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Google セキュリティチームの Michele Spagnuolo さんが万能音声処理プログラム +SoX にヒープベースのバッファオーバーフローを2件発見しています。特別に細工した +wav ファイルにより SoX を利用しているアプリケーションのクラッシュや、 +潜在的には任意のコードの実行を引き起こすことが可能です。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 14.4.0-3+deb7u1 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) 及び不安定版 +(unstable) ディストリビューション (sid) では、この問題は近く修正予定です。</p> + +<p>直ちに sox パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3112.data" + diff --git a/japanese/security/2014/dsa-3113.wml b/japanese/security/2014/dsa-3113.wml new file mode 100644 index 00000000000..7af255b924e --- /dev/null +++ b/japanese/security/2014/dsa-3113.wml @@ -0,0 +1,28 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Google セキュリティチームの Michele Spagnuolo さんが、.zip +形式で圧縮されたアーカイブを展開するユーティリティ unzip に問題を発見しています。 +CRC32 検証関数内でのヒープベースのバッファオーバーフロー (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-8139">CVE-2014-8139</a>) +や test_compr_eb() 関数での範囲外書き込み (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-8140">CVE-2014-8140</a>)、 +getZip64Data() 関数での範囲外読み取り (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-8141">CVE-2014-8141</a>) +が任意のコードの実行につながる可能性があります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 6.0-8+deb7u1 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション +(jessie) ではこの問題は近く修正予定です。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 6.0-13 で修正されています。</p> + +<p>直ちに unzip パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3113.data" + diff --git a/japanese/security/2014/dsa-3114.wml b/japanese/security/2014/dsa-3114.wml new file mode 100644 index 00000000000..7796858e76a --- /dev/null +++ b/japanese/security/2014/dsa-3114.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Timothy D. Morgan さんが、mailcap +ファイルの項目を経由してプログラムを実行するユーティリティ +run-mailcap がファイル名中のシェルメタ文字を経由した +シェルコマンド差し込みを起こしやすいことを発見しています。特定の筋書きで、 +この欠陥は攻撃者にリモートからの任意のコードの実行を許す可能性があります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 3.52-1+deb7u1 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) 及び不安定版 +(unstable) ディストリビューション (sid) では、この問題は近く修正予定です。</p> + +<p>直ちに mime-support パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3114.data" + diff --git a/japanese/security/2014/dsa-3115.wml b/japanese/security/2014/dsa-3115.wml new file mode 100644 index 00000000000..7b7a2c4a2bc --- /dev/null +++ b/japanese/security/2014/dsa-3115.wml @@ -0,0 +1,25 @@ +#use wml::debian::translation-check translation="1.1" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Jonathan Gray さんと Stanislaw Pitucha さんが、Python +用の YAML パーサ及び生成ライブラリ Python-YAML +が折り返された文字列を解析する方法にアサート失敗を発見しました。python-yaml +を利用しているアプリケーションで、特別に細工した +YAML 入力をロードさせることのできる攻撃者が、 +アプリケーションをクラッシュさせることが可能です。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 3.10-4+deb7u1 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +では、この問題はバージョン 3.11-2 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 3.11-2 で修正されています。</p> + +<p>直ちに pyyaml パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3115.data" + diff --git a/japanese/security/2014/dsa-3116.wml b/japanese/security/2014/dsa-3116.wml new file mode 100644 index 00000000000..ae96dbe863a --- /dev/null +++ b/japanese/security/2014/dsa-3116.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>X.509 証明書の解析にメモリ漏洩が発見されています。サービス拒否につながります。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 1.2.9-1~deb7u4 で修正されています。</p> + +<p>次期安定版 (stable) ディストリビューション (jessie) +では、この問題はバージョン 1.3.9-1 で修正されています。</p> + +<p>不安定版 (unstable) ディストリビューション (sid) +では、この問題はバージョン 1.3.9-1 で修正されています。</p> + +<p>直ちに polarssl パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3116.data" + diff --git a/japanese/security/2014/dsa-3117.wml b/japanese/security/2014/dsa-3117.wml new file mode 100644 index 00000000000..b8e93a08c45 --- /dev/null +++ b/japanese/security/2014/dsa-3117.wml @@ -0,0 +1,32 @@ +#use wml::debian::translation-check translation="1.2" +<define-tag description>セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>複数の脆弱性が、 +ウェブアプリケーション開発用に広く利用されている多目的スクリプティング言語である +PHP に見つかりました。</p> + +<p><a href="dsa-3064">DSA-3064-1</a> +で発表されているように、Wheezy の PHP パッケージでは安定版 5.4.x +リリースを追跡することが決定されました。その結果、脆弱性は PHP +を新しい上流バージョン 5.4.36 にアップグレードすることで対処されます。 +追加のバグ修正や新しい機能が盛り込まれますが、 +互換性のない変更があるかもしれません。 +さらなる情報については上流の変更履歴を参照してください:</p> + +<p><url "http://php.net/ChangeLog-5.php#5.4.36"></p> + +<p>インポートした新しい上流バージョンにパッチが2件追加で適用されています。 +php5-cgi のクラッシュにつながる可能性がある範囲外読み取りの欠陥は修正されました。 +さらに、PostgreSQL 9.1 と組み合わせた場合の php5-pgsql のバグは <a +href="https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=773182">Bug#773182</a> +で修正されています。</p> + +<p>安定版 (stable) ディストリビューション (wheezy) +では、この問題はバージョン 5.4.36-0+deb7u1 で修正されています。</p> + +<p>直ちに php5 パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/security/2014/dsa-3117.data" + |