blob: 3f02e0208aa45a9b0fb85681789ca27bc48ebd5e (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
|
#use wml::debian::translation-check translation="073250af9779d48e3355f4ecd7b3b6701ae06b60"
<define-tag description>セキュリティ更新</define-tag>
<define-tag moreinfo>
<p>Rapid7 の HD Moore さんが HTTP や HTTPS、FTP
経由でファイルを取得するコマンドラインユーティリティ Wget
にシンボリックリンク攻撃を発見しました。この脆弱性は Wget
が悪意のある FTP サーバに対して再帰モードで動作している場合に
ユーザのシステム上で任意のファイル作成を許します。
任意のファイルを作成できることで、ユーザのファイルの内容を上書き、
あるいはそのユーザの権限でリモートからのコードの実行を許します。</p>
<p>この更新では Wget のデフォルト設定を変更し、
シンボリックリンクを取得する際にローカルのシンボリックリンクを作成するのではなく、
リンク先のファイルを追跡して取得するようになっています。</p>
<p>安定版 (stable) ディストリビューション (wheezy)
では、この問題はバージョン 1.13.4-3+deb7u2 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid)
では、この問題はバージョン 1.16-1 で修正されています。</p>
<p>直ちに wget パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3062.data"
|
