blob: 9746d0bb8bf3a5d650bbc2e3a47f09419b2f8fb9 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
|
#use wml::fmt::verbatim
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
<define-tag description>バッファオーバフロー、サービス拒否</define-tag>
<define-tag moreinfo>
<p>4 件の脆弱性が XFree86 に発見されました。</p>
<ul>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0063">CAN-2003-0063</a>
- xterm ウィンドウタイトル報告エスケープシーケンスがユーザを欺く可能性
<p>xterm パッケージは、
ターミナルウィンドウの入力バッファに、
ユーザが打ち込んだかのように差し込むことによりウィンドウタイトルを報告する、
ターミナルエスケープシーケンスを提供しています。
攻撃者はエスケープシーケンスを細工して攻撃対象者の
xterm ウィンドウのタイトルに任意の文字列 (例えばシェルコマンド)
をセットしてそのタイトルを報告させることが可能です。
これが行われたときに攻撃対象者がシェルプロンプトを開いていれば、
差し込んだコマンドコマンドラインに現れ、すぐ実行できるようになります。
ウィンドウタイトルに復帰改行文字を埋め込むことはできないため、
ウィンドウタイトルをユーザによる入力として、
シェルその他の対話プロセスに解釈させるためには、攻撃者は攻撃対象者に
Enter を押させる (または攻撃対象者の不注意や混乱に任せる) 必要があります。
攻撃者が他のエスケープシーケンスを細工して、
差し込んだ入力を攻撃対象者に受け入れさせることも可能ではありますが。
The Common Vulnerabilities and Exposures project at cve.mitre.org はこの問題に <a
href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0063">CAN-2003-0063</a>
を割り当てています。</p>
<p>使用しているバージョンの xterm
がウィンドウタイトル報告機能の悪用に対して脆弱かどうか判断するには
xterm ウィンドウのシェルプロンプトからコマンド:</p>
<verbatim>
echo -e "\e[21t"
</verbatim>
<p>を実行してください。</p>
<p>(ターミナルベルが鳴るかもしれません。
また、ウィンドウタイトルが「l」で始まるものになったかもしれません。)</p>
<p>この欠陥はターミナルウィンドウに出力を送れるものであれば、
テキスト文書等、何でも悪用可能です。
送ったエスケープシーケンスを実行するには xterm ユーザが
(例えば「cat」コマンドにより悪意のあるテキスト文書を見る等の)
操作を行う必要があります。公開が発生するかどうかは xterm の使い方に依存します。</p>
<verbatim>
echo -e '\e]2;s && echo rm -rf *\a' > /tmp/sploit
echo -e '\e[21t' >> /tmp/sploit
cat /tmp/sploit
</verbatim>
<p>を考えてみてください</p>
<p>Debian はこの問題を、xterm
のウィンドウタイトル報告エスケープシーケンスを無効にすることで解決しています。
解釈はされますが無視されます。
ウィンドウタイトルをセットするエスケープシーケンスは無効にされていません。</p>
<p>xterm パッケージの将来のリリースでは、
ユーザがウィンドウタイトル報告機能を許可に戻せる設定オプションが用意される予定ですが、
デフォルトでは無効です。</p>
</li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0071">CAN-2003-0071</a>
- xterm DEC UDK エスケープシーケンスによりサービス拒否攻撃に陥る可能性
<p>xterm パッケージは DEC VT 系列のテキストターミナルをエミュレートするため、DEC VT
ターミナルの「ユーザ定義キー」(UDK, User-Defined Keys)
という機能もエミュレートします。xterm の DEC UDK
エスケープシーケンスの処理にバグがあり、
文法的に不正なエスケープシーケンスによって
xterm プロセスを強力なループに陥らせることが可能です。
これはプロセスを「空転」させ、CPU サイクルを意味なく消費し、
(プロセスを kill するとかウィンドウを閉じるといった) シグナルの処理を拒否します。</p>
<p>使用しているバージョンの
xterm がこの攻撃に対して脆弱かどうか判断するには、「犠牲となる」
(つまり、スクロールバックバッファに後から見る必要があるようなことが何もない)
xterm ウィンドウのシェルプロンプトからコマンド:</p>
<verbatim>
echo -e "\eP0;0|0A/17\x9c"
</verbatim>
<p>を実行してください。</p>
<p>この欠陥はターミナルウィンドウに出力を送れるものであれば、
テキスト文書等、何でも悪用可能です。
送ったエスケープシーケンスを実行するには xterm ユーザが
(例えば「cat」コマンドにより悪意のあるテキスト文書を見る等の)
操作を行う必要があります。公開が発生するかどうかは xterm の使い方に依存します。</p>
<p>Debian はこの問題を、上流の修正を
XFree86 4.1.0 にバックポートすることにより解決しています。</p>
</li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0164">CAN-2002-0164</a>
- X サーバの MIT-SHM 拡張にある欠陥により、ユーザ所有の
X セッションに任意の共有メモリセグメントの読み書きを許可します。
<p>XFree86 の X サーバを含めた、MIT/X Consortium/X.Org
の実装例の系統となるほとんどの X サーバで MIT-SHM と呼ばれる
X プロトコル拡張をサポートし、X サーバと同一のホストで動作する
X クライアントがオペレーティングシステムの共有メモリという機能の利点を\
利用可能なところでは利用することで、より迅速、効果的な動作を可能にします。
例えば Linux カーネルは共有メモリをサポートしています。</p>
<p>X サーバは昇格した権限で動作するため、
オペレーティングシステム組み込みのアクセス制御機構は
X サーバの共有メモリのセグメント使用を効果的に監視することができません。
X サーバは自身のアクセス制御を実装しなければなりません。
これは XFree86 (およびそれ以前の MIT/X Consortium/X.Org による実装例)
の以前のリリースでは不完全で、
アクセス権限を持たないはずの共有メモリセグメントを悪意のある
X クライアントが読み取って改変する余地を残しています。
The Common Vulnerabilities and Exposures project at cve.mitre.org はこの問題に <a
href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0164">CAN-2002-0164</a>
を割り当てています。</p>
<p>Debian の XFree86 4.1.0-16
パッケージでのこの欠陥に対する修正は不完全で、ディスプレイマネージャ
(例えば xdm) により起動されない
X サーバに対して適切なアクセス制御を実施するだけでした。
この更新ではその問題についても解決しています。</p>
<p>Debian プロジェクトはこの脆弱性の悪用例を聞いていません。MIT-SHM
拡張を悪用する、悪意のある X クライアントを書き、(故意にせよ無意識にせよ)
ホスト上で X サーバを実行できるユーザにより実行させることは可能です。
この欠陥の影響はそのシステムでの共有メモリの使い方に依存します。
さらなる情報については、ipcs(8) マニュアルページを見てください。</p>
<p>Debian はこの問題を、上流の修正を
XFree86 4.1.0 にバックポートすることにより解決しています。</p>
</li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0730">CAN-2003-0730</a>
- XFree86 用フォントライブラリに複数の整数オーバフローがあり、
ローカルおよびリモートの攻撃者はヒープあるいはスタックベースの
バッファオーバフロー攻撃を経由してサービス拒否や任意のコード実行を引き起こすことが可能です。
<p>セキュリティ研究者の blexim さんがこのように書いています [意訳]:</p>
<blockquote>
<p>XFree86 ソースコードの現在のバージョンのフォントライブラリに複数のバグを確認しています。
このバグにより、問題となっている関数を呼び出すあらゆるプロセスでの\
リモートユーザによる任意のコードの実行につながる可能性が潜在的にあります。
この関数はフォントサーバからクライアントへのフォントの転送および列挙に関連し、
このバグが原因で公開される範囲を限定します。</p>
<p>特に、フォントサーバからクライアントに渡される複数のサイズ処理用変数は適切にチェックされておらず、
誤った計算結果につながります。こういった計算の誤りにより、
ヒープ上バッファのやスタックのオーバーフローにつながる可能性があり、
潜在的には任意のコードの実行につながります
前述のように、クライアントだけがこのバグの影響を受ける可能性があることから、
危険は限定されていますが、(非デフォルトの) 設定によっては、xfs や X
サーバはともにリモートのフォントサーバへのクライアントの役割を果たします。
こういった設定では xfs や X サーバはともに、潜在的に侵害を受ける可能性があります。</p>
</blockquote>
<p>The Common Vulnerabilities and Exposures project at cve.mitre.org はこの問題に <a
href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0730">CAN-2003-0730</a>
を割り当てています。</p>
<p>Debian プロジェクトはこの脆弱性の悪用例を聞いていません。Debian のデフォルトでは、X
サーバはローカルで動作しているフォントサーバだけを待ち受けるように設定されていますが、
xfs パッケージがインストールされていない場合でも使われることはありません。Debian
のデフォルト設定では、xfs はローカルホストのフォントディレクトリだけを利用し、
外部のフォントサーバへの接続試行は一切行いません。</p>
<p>Debian はこの問題を、上流の修正を
XFree86 4.1.0 にバックポートすることにより解決しています。</p>
</li>
</ul>
<p>上記の問題はすべて xfree86v3 パッケージにも影響します (最初の 2 件では、xterm
ソースコードには欠陥が含まれますが、xterm パッケージは作られていません)。
リソースに限度があることと上流がこの古いコードをサポートしないことにより、Debian
は XFree86 のバージョン 3.3.6 サポートを続けることができません。後者
2 件の欠陥による公開を避けるために:</p>
<ul>
<li>xserver-3dlabs</li>
<li>xserver-8514</li>
<li>xserver-agx</li>
<li>xserver-common-v3</li>
<li>xserver-fbdev</li>
<li>xserver-i128</li>
<li>xserver-mach32</li>
<li>xserver-mach64</li>
<li>xserver-mach8</li>
<li>xserver-mono</li>
<li>xserver-p9000</li>
<li>xserver-s3</li>
<li>xserver-s3v</li>
<li>xserver-svga</li>
<li>xserver-tga</li>
<li>xserver-vga16</li>
<li>xserver-w32</li>
</ul>
<p>がインストールされている場合は当該パッケージの削除を勧めます。</p>
<p>(XFree86 3.3.6 パッケージの残りの部分と同様に、xext、xlib6、xlib6-altdev
パッケージについてもサポートが終了しているため削除することも可能ですが、
この勧告での欠陥の影響はありません。)</p>
<p>安定版 (stable) ディストリビューション (woody)
では、この問題はバージョン 4.1.0-16woody1 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid) では、<a
href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0730">CAN-2003-0730</a>
を除くすべての問題はバージョン 4.2.1-11 で修正されています。<a
href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0730">CAN-2003-0730</a>
は現在準備中の 4.2.1-12 で修正される予定です。</p>
<p>直ちに xfree86 パッケージを更新することを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-380.data"
|
