2009年9月15日

[debian-users:52981] [Translate] [SECURITY] [DSA 1883-2] New nagios2 packages fix regression

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

# 最近エンバグが多すぎる。

------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------

Debian Security Advisory DSA-1883-2 security@xxxxx
http://www.debian.org/security/ Giuseppe Iuculano
September 14, 2009 http://www.debian.org/security/faq
- ------------------------------------------------------------------------

Package : nagios2
Vulnerability : 入力のサニタイズ漏れ
Problem type : リモート
Debian-specific: いいえ
CVE Ids : CVE-2007-5624 CVE-2007-5803 CVE-2008-1360
Debian Bugs : 448371 482445 485439


以前の nagios2 の更新では、host 変数を指定しないで直接使用した場合
status.cgi で SEGFAULT を起こすバグを作り込んでいました。今回の更新は
この問題を修正します。念のため元の勧告を再掲します。

複数の欠陥が host/service/network モニタリング・管理システム nagios2
に発見されました。The Common Vulnerabilities and Exposures project は
以下の問題を認識しています。

複数の、パラメータ経由でクロスサイトスクリプティング攻撃を許す問題が
CGI スクリプトに発見され、攻撃者による任意の HTML コードの挿入が可能で
す。異なった攻撃対象に対応して、これらの問題に対して順に CVE-2007-5624,
CVE-2007-5803 および CVE-2008-1360 が割り当てられています。

旧安定版 (oldstable) ディストリビューション (etch) では、これらの問題は
バージョン 2.6-2+etch5 で修正されています。

安定版ディストリビューション (lenny) には nagios2 は収録されておらず、
nagios3 にはこれらの問題はありません。

テスト版 (testing) ディストリビューション (squeeze) および不安定版
(unstable) sid には nagios2 は収録されておらず、nagios3 にはこれらの問
題はありません。

直ぐに nagios2 パッケージをアップグレードすることを勧めます。

アップグレード手順
------------------

wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 4.0 alias etch
- -------------------------------

Debian GNU/Linux 5.0 alias lenny
- --------------------------------

Debian (old stable)
- ------------------

旧安定版の更新は、alpha, amd64, arm, armel, hppa, i386, ia64, mips, mipsel,
powerpc, s390 および sparc の各アーキテクチャで提供されています。
.
ソースアーカイブ:

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch5.diff.gz
Size/MD5 checksum: 35726 1c9d7955bb59162fa82934ef12c53d73
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch5.dsc
Size/MD5 checksum: 948 93eeeb6eb5ba0d7d3d5c659f9cc762e4
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6.orig.tar.gz
Size/MD5 checksum: 1734400 a032edba07bf389b803ce817e9406c02

アーキテクチャに依存しないパッケージ:


http://security.debian.org/pool/updates/main/n/nagios2/nagios2-common_2.6-2+etch5_all.deb
Size/MD5 checksum: 59516 8edae60c2b64183afbd5b5c5c79df649
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-doc_2.6-2+etch5_all.deb
Size/MD5 checksum: 1150060 c5b23e507b405aed13e6148381a5161f

alpha architecture (DEC Alpha)

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch5_alpha.deb
Size/MD5 checksum: 1222220 33fac2a26d60b48a2e3d6cc03ef161f2

http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch5_alpha.deb
Size/MD5 checksum: 1703082 685386628adefdea4ef139d8d073be57

amd64 architecture (AMD x86_64 (AMD64))


http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch5_amd64.deb
Size/MD5 checksum: 1688192 fdc3c934dc4e0afa728d9789fc1071aa
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch5_amd64.deb
Size/MD5 checksum: 1098470 c08807062733811fa047eb15d9727c82

arm architecture (ARM)

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch5_arm.deb
Size/MD5 checksum: 1025042 a9d7fa95c7eac54287a2e73478ea3ba6
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch5_arm.deb
Size/MD5 checksum: 1537944 59b06b0f6ae1061d01a7f1a7b85fb4b4

hppa architecture (HP PA RISC)

http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch5_hppa.deb
Size/MD5 checksum: 1621998 07cca557bc05cb0f4845f05c0d2b9311
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch5_hppa.deb
Size/MD5 checksum: 1148900 d5b10578c95a21ce66ff11cc5a870047

i386 architecture (Intel ia32)

http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch5_i386.deb
Size/MD5 checksum: 1587914 84dcc6957ce50c2b6e7ff243d21b5e8d
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch5_i386.deb
Size/MD5 checksum: 1017162 d57c40f4621e185fee5fe0bbd814b7d5

ia64 architecture (Intel ia64)

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch5_ia64.deb
Size/MD5 checksum: 1623636 7abc0f025330c87d2c7a9b4bf3252d16
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch5_ia64.deb
Size/MD5 checksum: 1711368 59bd21369a4a978d1509fe15f7b59349

mipsel architecture (MIPS (Little Endian))


http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch5_mipsel.deb
Size/MD5 checksum: 1663800 7fae1ba19b03ab963b9a4dfa2055cfc5
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch5_mipsel.deb
Size/MD5 checksum: 1104990 2536c8ff0b839a7028fc605b2f2faab8

powerpc architecture (PowerPC)


http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch5_powerpc.deb
Size/MD5 checksum: 1667892 06826d82ff58171d82bdee8c3eb32b61
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch5_powerpc.deb
Size/MD5 checksum: 1088416 0552ad5628f45dd8a0e69d0f126a40b1

sparc architecture (Sun SPARC/UltraSPARC)


http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch5_sparc.deb
Size/MD5 checksum: 1485348 46f02971253b25e3e9622bc95863d022
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch5_sparc.deb
Size/MD5 checksum: 988288 d289d9b68334c7c5a1486771136cac4c


これらのファイルは次の版の安定版リリース時そちらに移されます。


- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@xxxxx
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<;pkg>
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxx
---------------------------------------------------------

投稿者 xml-rpc : 2009年9月15日 00:11
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/88606
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。