[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[ORCA-ANNOUNCE:00604] セキュリティ情報◆[OSA 2006-006] New openssh packages fix denial of service and potential execution of arbitrary code

To: <orca-announce@xxxxxxxxxxxxxx>
Subject: [ORCA-ANNOUNCE:00604] セキュリティ情報◆[OSA 2006-006] New openssh packages fix denial of service and potential execution of arbitrary code
From: orca-announce@xxxxxxxxxxxxxx
Date: Tue, 17 Oct 2006 16:04:58 +0900

ORCAサポートセンタです。いつもお世話になっています。

Woody向けセキュリティアップデートパッケージの提供します。

---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2006-006         security@xxxxxxxxxxxxxx
http://www.orca.med.or.jp/orca/security/                         2006/10/12
---------------------------------------------------------------------------

Package         : openssh
Vulnerability   : 複数の脆弱性
Problem type    : リモート
Debian-specific : いいえ
CVE ID          : CVE-2003-0386 CVE-2006-0225 CVE-2006-4924 CVE-2006-5051

Secure Shell Protocolのフリーな実装 OpenSSH でサービス拒否や任意のコード
を実行できる複数の脆弱性が発見されています。The Common Vulnerabilities
and Exposures project は以下の問題を認識しています。

CVE-2003-0386

  数字のIPアドレスによるホストアクセスが制限され、VerifyReverseMapping
  が無効になっている場合、SSHデーモンでは、リモート攻撃者が数字のIPアド
  レスを含むリバースDNSホスト名を持つシステムからホストに接続すること
  によって「from=」および「user@host」のアドレス制限を回避できます。

CVE-2006-0225

  scpがファイルをローカルにコピーする処理で、任意のコマンドが実行され
  る欠陥が発見されました。ローカル攻撃者が巧妙に作成された名前を持つファ
  イルを作成し、ファイルをローカルにコピーするためにscpを実行している
  ユーザとして、任意のコマンドを実行することが可能です

CVE-2006-4924, CVE-2006-5051

  CRC 攻撃検出処理やシグナルハンドラなどの実装が原因で複数のセキュリティ
  ホールが存在します。攻撃者にこれらのセキュリティホールを利用された場
  合、リモートから DoS 攻撃などを受ける可能性があります。

ディストリビューション(woody)では、この問題はバージョン 3.4p1-2.woody.orca.5
で修正されています。

直ぐにパッケージをアップグレードすることを勧めます。

アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。

  deb ftp://ftp.orca.med.or.jp/pub/woody-updates woody/updates main contrib
non-free

apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に
加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

Debian GNU/Linux 3.0 alias woody
---------------------------------
  ソースアーカイブ:


http://ftp.orca.med.or.jp/pub/woody-updates/dists/oldstable-security/main/source/net/openssh_3.4p1-2.woody.orca.5.dsc
      Size/MD5 checksum:         481 20b5df4756893bd440d7b28bec99ff8e

http://ftp.orca.med.or.jp/pub/woody-updates/dists/oldstable-security/main/source/net/openssh_3.4p1-2.woody.orca.5.diff.gz
      Size/MD5 checksum:       42748 a96b468464177af64a36087e6e3a1038

http://ftp.orca.med.or.jp/pub/woody-updates/dists/oldstable-security/main/source/net/openssh_3.4p1.orig.tar.gz
      Size/MD5 checksum:      837668 459c1d0262e939d6432f193c7a4ba8a8

  Intel IA-32 アーキテクチャ:


http://ftp.orca.med.or.jp/pub/woody-updates/dists/oldstable-security/main/binary-i386/net/ssh_3.4p1-2.woody.orca.5_i386.deb
      Size/MD5 checksum:      643594 8e5344903796012d6c0f05175346b58e

http://ftp.orca.med.or.jp/pub/woody-updates/dists/oldstable-security/main/binary-i386/x11/ssh-askpass-gnome_3.4p1-2.woody.orca.5_i386.deb
      Size/MD5 checksum:       35506 c9e6673971a91623516264247db132d5


--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
一般事業所およびエンドユーザ: 03-5319-4605
D-FAX: 020-4623-1358

Prev by Date: [ORCA-ANNOUNCE:00603] セキュリティ情報◆[OSA 2006-005]New openssl packages fix denial of service
Next by Date: [ORCA-ANNOUNCE:00605] 地域公費更新◆日医標準レセプトソフト更新情報（和歌山県）
Previous by thread: [ORCA-ANNOUNCE:00603] セキュリティ情報◆[OSA 2006-005]New openssl packages fix denial of service
Next by thread: [ORCA-ANNOUNCE:00605] 地域公費更新◆日医標準レセプトソフト更新情報（和歌山県）
Index(es):
- Date
- Thread