2009年9月25日

[debian-users:53053] [Translate] [SECURITY] [DSA 1895-1] New xmltooling packages fix potentialcode execution

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1895-1 security@xxxxx
http://www.debian.org/security/ Florian Weimer

September 24, 2009 http://www.debian.org/security/faq
- ------------------------------------------------------------------------

Package : xmltooling
Vulnerability : 複数
Problem type : リモート
Debian-specific: いいえ

Shibboleth で使用している xmltooling パッケージに、複数の問題が発見されま
した。

Chris Ries さんにより、細工された URL デコードの際にクラッシュ (そして任
意のコードの実行の可能性) に繋がる場合があることが発見されました。

Ian Young さんにより、証明署名に埋め込まれた NULL 文字が正しく処理されて
おらず、PKIX 信用認証機構を用いている設定で偽装 (impersonation) 攻撃が可
能であることが発見されました。

SAML メタデータで、鍵の使用制限の制約が誤って無視されています。この問題は
大きなものではありませんが、Opensaml2 パッケージでの修正も必要であり、こ
の修正はこの次の安定版のポイントリリース (及びそれまでの当面は
stable-proposed-updates で) 提供の予定です。

安定版 (stable) ディストリビューション (lenny) では、これらの問題はバージ
ョン 1.0-2+lenny1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー
ジョン 1.2.2-1 で修正されています。

直ぐに xmltooling パッケージをアップグレードすることを勧めます。


アップグレード手順
------------------

wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 5.0 alias lenny
- --------------------------------

ソースアーカイブ:

http://security.debian.org/pool/updates/main/x/xmltooling/xmltooling_1.0-2+lenny1.dsc
Size/MD5 checksum: 1457 b7a3967d272765308809a5c8d27595ed

http://security.debian.org/pool/updates/main/x/xmltooling/xmltooling_1.0-2+lenny1.diff.gz
Size/MD5 checksum: 8943 1317858121f3042e5cfb8367319b1c78
http://security.debian.org/pool/updates/main/x/xmltooling/xmltooling_1.0.orig.tar.gz
Size/MD5 checksum: 549767 4e7c21608f0fbdcfd966263f0c350d99

アーキテクチャに依存しないパッケージ:


http://security.debian.org/pool/updates/main/x/xmltooling/xmltooling-schemas_1.0-2+lenny1_all.deb
Size/MD5 checksum: 11910 395d8f3a32e0c75da52a27c76f05c76f

http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-doc_1.0-2+lenny1_all.deb
Size/MD5 checksum: 938774 bc039db5a32dd02df34bf8b5146c551e

alpha architecture (DEC Alpha)


http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_alpha.deb
Size/MD5 checksum: 75002 bb6a2bebec1586b842d663a55429ebb0

http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_alpha.deb
Size/MD5 checksum: 799538 9cdc74e48b5fd67f300715096adf15a7

amd64 architecture (AMD x86_64 (AMD64))


http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_amd64.deb
Size/MD5 checksum: 736934 2e220b0edab912f586af6c3d2538f409

http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_amd64.deb
Size/MD5 checksum: 75792 3cc7822c1c88f61130fcf0d03d6e4311

arm architecture (ARM)


http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_arm.deb
Size/MD5 checksum: 750312 20cd9cd8bb91f2a9755e503e538a550c

http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_arm.deb
Size/MD5 checksum: 75082 3fbb6e674b1b729be300d6255a2729f3

armel architecture (ARM EABI)


http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_armel.deb
Size/MD5 checksum: 637366 2190e5db31659ca5c58835341f1eb6ce

http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_armel.deb
Size/MD5 checksum: 74554 2638c933e772f9ab2e9720f1b0436935

hppa architecture (HP PA RISC)


http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_hppa.deb
Size/MD5 checksum: 850440 a4e865bd4774c483559c99df549a3bfa

http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_hppa.deb
Size/MD5 checksum: 75102 7546f61b1564b4c5c49ad69c71c7d223

i386 architecture (Intel ia32)


http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_i386.deb
Size/MD5 checksum: 74980 836fc866e7446cf594281eda1602c81f

http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_i386.deb
Size/MD5 checksum: 683958 4556a60904d3c09d735301cbadd463f4

ia64 architecture (Intel ia64)


http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_ia64.deb
Size/MD5 checksum: 74052 7168ee5c68b5d5e41ac996e3b98ba2b8

http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_ia64.deb
Size/MD5 checksum: 938056 b550972c349c99aa5b11473868531a4a

mips architecture (MIPS (Big Endian))


http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_mips.deb
Size/MD5 checksum: 697412 189506c8bd9473f11e09275f613c2e61

http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_mips.deb
Size/MD5 checksum: 74992 933d28c7a0bb457488bcf37442f999ef

mipsel architecture (MIPS (Little Endian))


http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_mipsel.deb
Size/MD5 checksum: 663610 8105a8478fe3d8a0724745c0597893e8

http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_mipsel.deb
Size/MD5 checksum: 74064 e8700e64464a0cf15a5ef070b759a84c

powerpc architecture (PowerPC)


http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_powerpc.deb
Size/MD5 checksum: 74072 e6444eda8c40348c9fa6025c770bf01e

http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_powerpc.deb
Size/MD5 checksum: 777756 2e226da34bd88e91d5615704267d9e35

s390 architecture (IBM S/390)


http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_s390.deb
Size/MD5 checksum: 74040 7340da0a7d36d8c6029e8b40a75cef2b

http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_s390.deb
Size/MD5 checksum: 745620 0a66b47c6a055692b2467502c1158a2e

sparc architecture (Sun SPARC/UltraSPARC)


http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_sparc.deb
Size/MD5 checksum: 74060 4ad661aacce58a25ea2491489d23a242

http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_sparc.deb
Size/MD5 checksum: 828332 eb2255da533a6bdf3876afdb11c8ca73


これらのファイルは次の版の安定版リリース時そちらに移されます。


- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@xxxxx
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<;pkg>
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxx
---------------------------------------------------------

投稿者 xml-rpc : 2009年9月25日 22:42
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/88924
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。