path: root/japanese/security/2006/dsa-967.wml

#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>
<p>セキュリティ問題が複数、メモを管理する電子ログブック
elog に見つかりました。The Common Vulnerabilities and
Exposures project は以下の問題を認識しています:</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2005-4439">CVE-2005-4439</a>

    <p>GroundZero Security さんが、elog が URL パラメータの処理に利用される\
    バッファのサイズを十分に確認していないことを発見しました。
    任意のコードの実行につながる可能性があります。</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-0347">CVE-2006-0347</a>

    <p>elog には URL 中の「../」シーケンスの処理に
    ディレクトリトラバーサル脆弱性があることが発見されました。
    情報漏洩につながる可能性があります。</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-0348">CVE-2006-0348</a>

    <p>ログファイルに書き込むコードにフォーマット文字列脆弱性がありました。
    任意のコードの実行につながる可能性があります。</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-0597">CVE-2006-0597</a>

    <p>非常に長い「revision」属性により、
    バッファオーバフローによるクラッシュを引き起こす可能性があります。</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-0598">CVE-2006-0598</a>

    <p>ログファイルに書き込むコードが境界チェックを適切に実施していません。
    任意のコードの実行につながる可能性があります。</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-0599">CVE-2006-0599</a>

    <p>elog は不正なパスワードと不正なユーザのエラーで異なるメッセージを発します。
    これにより、攻撃者に正当なユーザ名の調査を許します。</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-0600">CVE-2006-0600</a>

    <p>攻撃者が細工した「fail」リクエストにより無限リダイレクトに陥らせることが可能です。
    サービス拒否の可能性があります。</p></li>

</ul>

<p>旧安定版 (old stable) ディストリビューション
(woody) には elog パッケージは含まれません。</p>

<p>安定版 (stable) ディストリビューション (sarge)
では、この問題はバージョン 2.5.7+r1558-4+sarge2 で修正されています。</p>

<p>不安定版 (unstable) ディストリビューション (sid)
では、この問題はバージョン 2.6.1+r1642-1 で修正されています。</p>

<p>直ちに elog パッケージをアップグレードすることを勧めます。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-967.data"