2009年6月 5日

[debian-users:52540] [Translate] [SECURITY] [DSA 1812-1] New apr-util packages fix severalvulnerabilities

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1812-1 security@xxxxx
http://www.debian.org/security/ Stefan Fritsch

June 04, 2009 http://www.debian.org/security/faq
- ------------------------------------------------------------------------

Package : apr-util
Vulnerability : サービス拒否攻撃
Problem type : リモート
Debian-specific: いいえ
CVE ID : CVE-2009-0023

Apache 2.x, Subversion などのアプリケーションで使われる Apache ポータ
ブルランタイムユーティリティライブラリ に二つのサービス拒否攻撃脆弱性
が発見されました。

"kcope" さんにより、apr_xml_* インターフェース内部の XML エンティティ
処理に欠陥があり、全メモリを消費させる攻撃が可能であることが発見され
ました。この欠陥は Apache の mod_dav と mod_dav_svn 経由でリモートか
ら攻撃可能です (CVE 番号未採番)。

Matthew Palmer さんにより、apr_strmatch_precompile 関数にアンダーフロ
ー欠陥があり。攻撃によりデーモンがクラッシュすることが発見されました。
欠陥は (1) "SVNMasterURI" ディレクティブを使っている場合、Apache の
mod_dav_svn を使ってリモートから、(2) libapreq2 を使った Apache また
は他アプリケーションの mod_apreq2 を使ってリモートから、(3) 細工した
.htaccess ファイルを使って、Apache をローカルから、おのおの攻撃可能で
す (CVE-2009-0023)。

apr-util を使ったアプリケーションに対する他の攻撃方法も存在する可能性
があります。

Apache を使っている場合、またはスタンドアローンで svnserve を用いてい
る場合、libaprutil1 パッケージの更新後サービスを再起動する必要があり
ます。

安定版 (stable) ディストリビューション (lenny) では、これらの問題はバ
ージョン 1.2.12+dfsg-8+lenny2 で修正されています。

旧安定版 (oldstable) ディストリビューション (\1) では、この問題はバー
ジョン 1.2.7+dfsg-2+etch2 で修正されています。

テスト版 (squeeze) および不安定版 (unstable) ディストリビューションで
は、この問題は近く修正予定です。

直ぐに apr-util パッケージをアップグレードすることを勧めます。

アップグレード手順
------------------

wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 4.0 alias etch
- -------------------------------

旧安定版の更新は、alpha, amd64, arm, hppa, i386, ia64, m68k, mips, mipsel,
powerpc, s390 および sparc の各アーキテクチャで提供されています。
.
ソースアーカイブ:


http://security.debian.org/pool/updates/main/a/apr-util/apr-util_1.2.7+dfsg-2+etch2.diff.gz
Size/MD5 checksum: 33117 ed3dc8bd1a5891432d7fc0614b94becd
http://security.debian.org/pool/updates/main/a/apr-util/apr-util_1.2.7+dfsg.orig.tar.gz
Size/MD5 checksum: 643328 a3117be657f99e92316be40add59b9ff
http://security.debian.org/pool/updates/main/a/apr-util/apr-util_1.2.7+dfsg-2+etch2.dsc
Size/MD5 checksum: 1036 982d6c15afd4477277b01c004b7c8ac0

alpha architecture (DEC Alpha)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.7+dfsg-2+etch2_alpha.deb
Size/MD5 checksum: 83614 7bc2f02a403bb653dde89fc6efd34e7b

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.7+dfsg-2+etch2_alpha.deb
Size/MD5 checksum: 148054 45641c57b04ca3470eda5df4ce26742c

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.7+dfsg-2+etch2_alpha.deb
Size/MD5 checksum: 128914 03bc9c912b8b625af79f39284d45eeed

amd64 architecture (AMD x86_64 (AMD64))


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.7+dfsg-2+etch2_amd64.deb
Size/MD5 checksum: 72828 4fc0d12955c259cf26aab065b174ccf3

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.7+dfsg-2+etch2_amd64.deb
Size/MD5 checksum: 127854 fec6f28c19ad170d97e431a8657d6d3b

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.7+dfsg-2+etch2_amd64.deb
Size/MD5 checksum: 124516 6097da9f80f44b379f1b1d46aa13867a

arm architecture (ARM)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.7+dfsg-2+etch2_arm.deb
Size/MD5 checksum: 66038 d7c116a4589f3f280d3a8f6f698afc8a

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.7+dfsg-2+etch2_arm.deb
Size/MD5 checksum: 116800 e46133d4e4e2191dae95e7d70df22b41

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.7+dfsg-2+etch2_arm.deb
Size/MD5 checksum: 121028 8d1d8a51de432ecdca221d3aab3a0342

hppa architecture (HP PA RISC)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.7+dfsg-2+etch2_hppa.deb
Size/MD5 checksum: 133822 0060e1aa0428f163fd8a2391afd42d86

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.7+dfsg-2+etch2_hppa.deb
Size/MD5 checksum: 126066 a197984d5f90879bfd5f5161d82fb793

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.7+dfsg-2+etch2_hppa.deb
Size/MD5 checksum: 78586 4dce52054b7fd81027e5f002d36b9ca1

i386 architecture (Intel ia32)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.7+dfsg-2+etch2_i386.deb
Size/MD5 checksum: 68680 d65d8158a672fc285a5329a96f927ff0

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.7+dfsg-2+etch2_i386.deb
Size/MD5 checksum: 116416 0fffc0910d45788aa2e5632913f97b5e

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.7+dfsg-2+etch2_i386.deb
Size/MD5 checksum: 122170 5c6fe8e442ec6aa146cc5f534d045e70

ia64 architecture (Intel ia64)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.7+dfsg-2+etch2_ia64.deb
Size/MD5 checksum: 118768 c240a8957e74b4133d14524d65a0ca84

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.7+dfsg-2+etch2_ia64.deb
Size/MD5 checksum: 156554 75f7ef24fb756f82c41c376fbb976eb2

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.7+dfsg-2+etch2_ia64.deb
Size/MD5 checksum: 99380 31a30996ae576e028cd7d1b0e248096d

mips architecture (MIPS (Big Endian))


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.7+dfsg-2+etch2_mips.deb
Size/MD5 checksum: 130216 64f856948c06a836e1e7ccb5288a8fd5

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.7+dfsg-2+etch2_mips.deb
Size/MD5 checksum: 130378 5c2bcd90e3e764b63fad5e7108f2f5c7

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.7+dfsg-2+etch2_mips.deb
Size/MD5 checksum: 70666 d8f16a952a9b49f1c1cce2dba45d4b67

mipsel architecture (MIPS (Little Endian))


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.7+dfsg-2+etch2_mipsel.deb
Size/MD5 checksum: 130588 d24b45d678dd58b62518ddf1f6d9fd2f

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.7+dfsg-2+etch2_mipsel.deb
Size/MD5 checksum: 127794 2d8ed73655993e12cdb0d4b316315f2c

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.7+dfsg-2+etch2_mipsel.deb
Size/MD5 checksum: 70674 5242004658e91c173b717bde60a8085e

powerpc architecture (PowerPC)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.7+dfsg-2+etch2_powerpc.deb
Size/MD5 checksum: 130406 0016513b87ff4564f5ff69621d431e13

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.7+dfsg-2+etch2_powerpc.deb
Size/MD5 checksum: 125072 bc5539dda0daa900abfe77a088899f16

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.7+dfsg-2+etch2_powerpc.deb
Size/MD5 checksum: 72400 28647bd35db14975a678c4424f0fb4aa

s390 architecture (IBM S/390)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.7+dfsg-2+etch2_s390.deb
Size/MD5 checksum: 128360 df7691e2ac57d344c7c341ea7f606f3a

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.7+dfsg-2+etch2_s390.deb
Size/MD5 checksum: 76592 482e412db007c81e2174a6bd729fc2a0

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.7+dfsg-2+etch2_s390.deb
Size/MD5 checksum: 124716 9405781379de1b80fc8c7bd18260bd3c

sparc architecture (Sun SPARC/UltraSPARC)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.7+dfsg-2+etch2_sparc.deb
Size/MD5 checksum: 117158 bb4555e88f9b7f2a1127f24970b0863b

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.7+dfsg-2+etch2_sparc.deb
Size/MD5 checksum: 118574 366b392d5b9ba2771b08bec842ecca9a

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.7+dfsg-2+etch2_sparc.deb
Size/MD5 checksum: 66320 895fccdd633a9323f2e892a333e2f1f1


Debian GNU/Linux 5.0 alias lenny
- --------------------------------

安定版の更新は、alpha, amd64, arm, hppa, i386, ia64, m68k, mips, mipsel,
powerpc, s390 および sparc の各アーキテクチャで提供されています。
.
ソースアーカイブ:


http://security.debian.org/pool/updates/main/a/apr-util/apr-util_1.2.12+dfsg.orig.tar.gz
Size/MD5 checksum: 658687 4ef3e41037fe0cdd3a0d107335a008eb

http://security.debian.org/pool/updates/main/a/apr-util/apr-util_1.2.12+dfsg-8+lenny2.dsc
Size/MD5 checksum: 1530 2e0b102b714edffebe80b7522b60eb93

http://security.debian.org/pool/updates/main/a/apr-util/apr-util_1.2.12+dfsg-8+lenny2.diff.gz
Size/MD5 checksum: 22021 5ac66e9e3e4a3b3f93f25a075d7087ea

alpha architecture (DEC Alpha)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.12+dfsg-8+lenny2_alpha.deb
Size/MD5 checksum: 146564 57902eabc0f7164fdb65f99742e774a9

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.12+dfsg-8+lenny2_alpha.deb
Size/MD5 checksum: 157358 74fe3e8f488bca9d715a91852748215a

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.12+dfsg-8+lenny2_alpha.deb
Size/MD5 checksum: 90574 78164e1209b66d8358931a4c783abf9e

amd64 architecture (AMD x86_64 (AMD64))


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.12+dfsg-8+lenny2_amd64.deb
Size/MD5 checksum: 132654 20dc399a6c86153c0021d273b34eceaf

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.12+dfsg-8+lenny2_amd64.deb
Size/MD5 checksum: 147538 ed67540d4baa9bce263df53c180e883e

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.12+dfsg-8+lenny2_amd64.deb
Size/MD5 checksum: 79814 4b71fcc802a207c1d1e1f54c4460c775

arm architecture (ARM)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.12+dfsg-8+lenny2_arm.deb
Size/MD5 checksum: 124566 bddd5c3e65dfbe7cba72edf1872f6612

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.12+dfsg-8+lenny2_arm.deb
Size/MD5 checksum: 71258 44658bee5eb78ff87e93008dd2d5ef1b

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.12+dfsg-8+lenny2_arm.deb
Size/MD5 checksum: 138786 06343f2a0707a8aab17cf292da23ab7c

armel architecture (ARM EABI)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.12+dfsg-8+lenny2_armel.deb
Size/MD5 checksum: 125382 63b253107c09d8f22a74daf4e75c0d4f

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.12+dfsg-8+lenny2_armel.deb
Size/MD5 checksum: 138852 d19e3658c9d0659845c2b27c9130c871

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.12+dfsg-8+lenny2_armel.deb
Size/MD5 checksum: 69786 22e9c23a71adec339b6048e4909e7b64

hppa architecture (HP PA RISC)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.12+dfsg-8+lenny2_hppa.deb
Size/MD5 checksum: 139700 67e358018e90e3a0a112f2b0ecb5c8e1

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.12+dfsg-8+lenny2_hppa.deb
Size/MD5 checksum: 83228 5e90a7a8e2f17dbe1099b4275dbfecce

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.12+dfsg-8+lenny2_hppa.deb
Size/MD5 checksum: 142974 bdac87da2eb60b9c2dc5f2cb77065135

i386 architecture (Intel ia32)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.12+dfsg-8+lenny2_i386.deb
Size/MD5 checksum: 120742 8f22bb0169bb8adfafb8295cd8e11a5d

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.12+dfsg-8+lenny2_i386.deb
Size/MD5 checksum: 73636 e8bafce964601ca062a3e8dc3e9ab887

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.12+dfsg-8+lenny2_i386.deb
Size/MD5 checksum: 141210 9cfb5f9c9a81d8c9d246bcda411330d5

ia64 architecture (Intel ia64)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.12+dfsg-8+lenny2_ia64.deb
Size/MD5 checksum: 135222 6e69a6671e161d561c74db4328f83002

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.12+dfsg-8+lenny2_ia64.deb
Size/MD5 checksum: 110928 6edc23e6b3e254d9e3a945eb8b201549

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.12+dfsg-8+lenny2_ia64.deb
Size/MD5 checksum: 169954 af3e28f3b3f42df488885d2bf8025a4b

mips architecture (MIPS (Big Endian))


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.12+dfsg-8+lenny2_mips.deb
Size/MD5 checksum: 147132 96b0bf6e077e8abc8ce12fff05b4151d

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.12+dfsg-8+lenny2_mips.deb
Size/MD5 checksum: 74196 128cbbed2eaaa51c2e92a4bfe6076cd0

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.12+dfsg-8+lenny2_mips.deb
Size/MD5 checksum: 137308 af2189d769dd968ef38b47a22664de82

mipsel architecture (MIPS (Little Endian))


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.12+dfsg-8+lenny2_mipsel.deb
Size/MD5 checksum: 74124 4894b4b56cc740ca877af667681ebfaa

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.12+dfsg-8+lenny2_mipsel.deb
Size/MD5 checksum: 144442 37c6b6c54ab1b0539d10565d4c668f6b

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.12+dfsg-8+lenny2_mipsel.deb
Size/MD5 checksum: 136152 e0b1e255aabc2db28542107ad15f5b46

powerpc architecture (PowerPC)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.12+dfsg-8+lenny2_powerpc.deb
Size/MD5 checksum: 146778 34fd3aab3b62f4e3ccaa3ce6a27aa08d

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.12+dfsg-8+lenny2_powerpc.deb
Size/MD5 checksum: 82798 4f81cdc2bb6a92c9add30ce0c5566226

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.12+dfsg-8+lenny2_powerpc.deb
Size/MD5 checksum: 132238 5fc82f511183058f4138c4cd07ec1ca9

s390 architecture (IBM S/390)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.12+dfsg-8+lenny2_s390.deb
Size/MD5 checksum: 85280 c185347abe5db6c3c5c797714a476454

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.12+dfsg-8+lenny2_s390.deb
Size/MD5 checksum: 148334 b3bfbab7f4e064ab3065070879c28faf

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.12+dfsg-8+lenny2_s390.deb
Size/MD5 checksum: 132826 d547ee5465f7bef60c954de4d6721b31

sparc architecture (Sun SPARC/UltraSPARC)


http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1_1.2.12+dfsg-8+lenny2_sparc.deb
Size/MD5 checksum: 72812 9b27f0c316fd15a2535fd571bca5faa9

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dev_1.2.12+dfsg-8+lenny2_sparc.deb
Size/MD5 checksum: 124558 e3e07157b4bb28ec91168b6a038474d0

http://security.debian.org/pool/updates/main/a/apr-util/libaprutil1-dbg_1.2.12+dfsg-8+lenny2_sparc.deb
Size/MD5 checksum: 132136 f82857755ceba785fe679c16fe865f1d


これらのファイルは次の版の安定版リリース時そちらに移されます。


- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@xxxxx
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<;pkg>
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxx
---------------------------------------------------------

投稿者 xml-rpc : 2009年6月 5日 23:00
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/85643
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。