path: root/japanese/security/2003/dsa-260.wml

<define-tag description>バッファオーバーフロー</define-tag>
<define-tag moreinfo>
<p>
iDEFENSE は、"file" コマンドの ELF フォーマット解析ルーチンで
バッファオーバーフローを起こす箇所を発見しました。
これを攻撃することで、コマンドを実行しているユーザの権限で任意の
コードを実行することができます。
この脆弱性は、特別な ELF バイナリを作成し、それを file の入力として
与えることによって攻撃可能できるというものです。
これは、特別な ELF バイナリをファイルシステム上に置いておき、
誰かがそのバイナリを識別しようとして file コマンドを実行するのを
待つことで攻撃可能です。また、このようなバイナリを、入力を識別
するために file を用いるサービスに引き渡すことによっても可能です。
(例えば、プリンタフィルタには、プリンタへの入力を識別するために
file コマンドを使うものがあります。)</p>
<p>
修正されたパッケージは、Debian 2.2 (potato) に対してはバージョン
3.28-1.potato.1 、Debian 3.0 (woody) に対してはバージョン
3.37-3.1.woody.1 があります。
file パッケージを早急にアップグレードすることをお勧めします。</p>
</define-tag>

#use wml::debian::translation-check translation="408e424c15b6babd225308baa30683f613bdbffb"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-260.data"
# $Id$