path: root/japanese/security/2004/dsa-434.wml

<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>
<p>
Stefan Esser さんにより、
複数プロトコル対応のインスタントメッセージングクライアント Gaim
に、セキュリティ関連の問題が複数発見されました。その全部が Debian の安定版
(stable) で収録されているものに関係しているわけではありませんが、
少なくとも不安定版 (unstable) には影響があります。問題は the 
Common Vulnerabilities and Exposures にて、以下のように分類されています。</p>

<ul>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0005">CAN-2004-0005</a>

    <p>Yahoo メッセンジャハンドラは、email 到着通知関数で 8
    進数の値をデコードする際に、2 種類のオーバフローを起こす可能性があります。
    MIME デコーダが Q エンコードされた値をデコードする際には、それとは別に
    2 種類のオーバフローを起こす可能性があります。これらの問題は、
    不安定版 (unstable) にのみ影響します。</p>

<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0006">CAN-2004-0006</a>

    <p>Yahoo web コネクションの HTTP reply ヘッダ中の Cookie 解析の際に、
    バッファオーバフローを起こす可能性があります。Yahoo ログインウェブページの
    YMSG プロトコル解析の際、そのウェブページが非常に大きな値を返すと、
    スタックオーバフローが起きます。URL を分割する際に、
    オーバフローを起こす可能性があります。これらの問題は、不安定版 
    (unstable) にのみ影響します。</p>

    <p>Yahoo メッセンジャパケットから巨大なキーネームを呼んだ場合、
    スタックオーバフローが起きます。Gaim
    がサーバ接続の際にプロクシを使うように設定されている場合、
    悪意を持ったプロクシサーバからこの脆弱性を攻撃可能です。
    この問題は、安定版 (stable) と不安定版 (unstable) の両方に存在します。
    ただし、Yahoo への接続は安定版収録のバージョンでは動作しません。</p>

<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0007">CAN-2004-0007</a>

    <p>内部的に、2 つのトークンのデータはサイズチェックなしに 2
    つの固定長バッファ間でコピーされています。この問題は不安定版
    (unstable) にのみ影響します。</p>

<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0008">CAN-2004-0008</a>

    <p>AIM/Oscar DirectIM
    パケットに対するメモリ割り当て時に整数オーバフローが起きる可能性があり、
    結果的にヒープオーバフローがおきます。この問題 は不安定版 (unstable)
    にのみ影響します。</p>

</ul>

<p>安定版 (stable) ディストリビューション (woody) では、この問題はバージョン 
0.58-2.4 で修正されています。</p>

<p>不安定版 (unstable) ディストリビューション (sid) では、
この問題はバージョン 0.75-2 で修正されています。</p>

<p>すぐに gaim パッケージをアップグレードすることを勧めます。</p>
</define-tag>

#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-434.data"
# $Id$