以下のプログラムに関してセキュリティホールが見つかっています.
ここでは Plamo Linux 収録のソフトウェアに関するセキュリティホールの 情報を紹介しますが,紹介したものすべてに対策パッケージが提供されている わけではありません.対策に必要な情報へのリンクのみの場合もあります.
postfix に二種類のセキュリティホールが見つかっています.詳しくは以 下をどうぞ.
Plamo-3.x 用の対策パッケージ (postfix-2.0.13 のパッケージ) が以下に準備されています. ([plamo:20080]をお読み下さい.)
postfix-1.1.11 から postfix-2.0.13 への Update になりますので,ご注意ください.
apache 1.3.28 がリリースされています.詳しくは以下をご覧下さい.
更新パッケージの情報が以下に投稿されました.Plamo-3.1, 3.2 用のパッ ケージです.
unzip 5.50 にセキュリティホールが発見されています.詳しくは以下をご 覧下さい.
対策パッケージの情報が以下に投稿されました.(動作確認は Plamo 2.2.x で行われているパッケージです.)
XFree86 4.2.99.4以前にセキュリティホールが見つかっています.詳しく は以下をご覧下さい.
Plamo 3.0 以前の XFree86 更新パッケージが以下にあります.Plamo 3.1 以降は影響を受けません.
Ethereal 0.9.12 にいくつかセキュリティホールが存在するようです.詳 しくは以下の URI を参照してください.
対策パッケージの情報が以下に投稿されました.
openssl 0.9.6j および 0.9.7b がリリースされています.0.9.6i および 0.9.7a 以降に報告されていた 2 つの脆弱性が修正されています.詳しくは以 下をどうぞ.
修正パッケージの情報が Mailing List に投稿されています.
samba 2.0 から 2.2.7a までの全ての Version にリモートから攻撃可能な脆弱性が発見されています.詳しくは以下を参照してください.
日本Sambaユーザ会から対策済みの Samba 2.2.7b日本語版リリース1.0がリリースされています.
Plamo 用の更新パッケージはまだありませんので,上記情報をご確認の上,必要であれば対処を行ってください.
Sun RPC XDR ライブラリに脆弱性が発見されています.glibc が影響を受けます.詳しくは以下の情報を参照してください.
対策パッケージが以下にあります.
但し,まだ Plamo-test ディレクトリに置かれているパッケージですから,十分なテストは行われていません.libc の入れ替えになりますので,何かトラブルが起きたら致命的になります.ご使用になる場合は,その点を十分考慮の上でお願いいたします.なお,使用報告などを plamo-ML 宛に投稿いただけると大変助かります.
sendmail に新たな脆弱性が発見されています.詳しい情報は以下を参照してください. 3/13の情報とはまた別の問題です.
対策パッケージの情報が以下にあります.
tcpdump に DoS 攻撃が可能な脆弱性が発見されています.
対策パッケージの情報が Mailing List に流れています.
Linux 2.2 と 2.4 系 kernel に,local user が root 権限を奪取できる弱点が発見されました.CAN-2003-0127
Remote exploitation of this hole is not possible. ということですが,よくご確認ください.file コマンドに脆弱性が発見されています.更新パッケージはありません ので,必要であれば,情報を参照の上,対処をしてください.
(2003/4/21更新) Mailing List に更新パッケージの情報が投 稿されました!!
Ethereal 0.8.7〜0.9.9 に弱点が発見され、0.9.10 で修正されている模様です.Ethereal を利用されている方は以下の情報をご覧の上,必要な対処をしてください.
DeleGate 8.3.4 (UNIX)に、buffer overflow が発生する弱点.更新パッケージはありませんので,お使いの方は以下の情報をご覧の上,必要な対処をしてください.
bind にセキュリティホールが見つかっています.以下の情報をご覧の上,必要な対処をしてください.
Plamo 3.0 に関しては,上記ページの "OpenSSL buffer overflow" が該当 するようです."libbind buffer overflow" は Plamo 3.0 は無効で構築され ているので影響はないと思われます.
(2003/3/20 更新)更新パッケージの情報が Mailing List に投稿されまし た!!
sendmail にセキュリティホールが発見されています.Plamo 3.0 はpostfix ですので影響はありませんが,Plamo 2.2 は sendmail が使われているので影響を受けます.
更新パッケージの情報が Mailing List に投稿されました!! (2003/3/17)
openssl が更新されています.Securityfix も含まれているようです.詳しくは以下をどうぞ.
有志によるパッケージの情報が以下にあります.
CVS の 1.11.4 までのバージョンに, リモートから任意のコマンドを実行することが可能となる不具合が発見されました.
メーリングリストの[plamo-17589]によると、竹村さんが cvs-1.11.5 をパッケージ化してくださいました。
tar,unzip, fetchmail にセキュリティホールが見つかっています.
まぁ,tar と unzip のセキュリティホールは,アーカイブ中にある ../ 等,より上位ディレクトリに対してもファイルを抽出してしまうという問題で,外部から攻撃されるようなものではないです.下記のバイナリでは ../ というパスがあるファイルは展開されないようになっています.
下記の update によって,tar は 1.13.25,unzip は 5.50, fetchmail は 6.1.0 に更新されます.
上記パッケージはPlamo 3.0のglibc-2.2.5な環境でコンパイルしているので,Plamo 2.2 系のglibc-2.2.2 を使っている場合は適用できません.あててしまうと以下のようなエラーが出ます
kojima@typhoon[~]% tar -v tar: /lib/libc.so.6: version `GLIBC_2.2.3' not found (required by tar)
こうなってしまった場合,古いtarが/bin/tar-oldにrenameされていますので,これを元のtarに戻してください
# mv /bin/tar-old /bin/tar
Plamo-2.2 用のパッケージは近々にアップロードしますのでしばしお待ちを..
1.1.3以前のzlibにセキュリティホールが見つかったそうです.
最新版の1.1.4をパッケージ化したものをこちらに用意しました(ソースコードはこちら,Buildスクリプトはこちら)
3.1 以前のバージョンの OpenSSH にセキュリティホールが見つかったそうです.
最新のOpenSSH 3.1p1を元に作成したパッケージを用意したのでご利用ください.
このパッケージで利用したソースコードとビルド用のスクリプトもありますので,自前でコンパイルする方はご利用くださいませ.
SNMPのセキュリティホールに関するCERTのadvisary が出ました.Net-SNMPでは4.2.2以前のものが該当するそうなので,SNMPをお使いの方は4.2.2以降に更新してください.Net-SNMP 4.2.2 のPlamo-2.2用バイナリはこちらからどうぞ.
IMAP/POP3のサーバから攻撃を加えたり,特定のヘッダを処理すると buffer overrun する問題が見つかっています.詳細は以下のリンクを参照していください.
Plamo 用に山内さんが最新版の fetchmail(5.9.0) のパッケージを作成してくださいました.
POP3関連でセキュリティ問題が見つかったそうです.こちらも山内さんが最新版のパッケージ(0.5.3)を作成してくださいました.
netkit-0.17 以前の in.telnetd に buffer overflow な問題が見つかりました.
http://security.debian.org/dists/stable/updates/main/source/netkit-telnet_0.16-4potato.2.diff.gzのパッチを netkit-telnet-0.17 に当てて作成したtelnetとin.telnetdをftp://ftp.linet.gr.jp/pub/Plamo/Update/2.2/telnet.tgzに用意しました.
手元では動作未確認ですが,,m(_ _)m
上記バイナリは Plamo 2.2.1 用になっているので、他のバージョンをお使いの方はソースコードからコンパイルしてご利用ください。手元で使った netkit-combo-0.17 のソースとパッチ(上記 telnetd のパッチと time.h をインクルードしないとエラーになることがあるようなのを修正したパッチ)です。