[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[ORCA-ANNOUNCE:02857] セキュリティ情報◆[OSA 2013-007] python2.4(etch)



ORCAサポートセンタです。いつもお世話になっています。

本日、下記、セキュリティアップデートパッケージを提供しました。

---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2013-007    security _at_ orca.med.or.jp
http://www.orca.med.or.jp/receipt/update/security/               2013/01/25
---------------------------------------------------------------------------

Package         : python2.4
Distribution    : Debian GNU/Linux 4.0(etch)
Vulnerability   : 複数の脆弱性
Problem type    : (ローカル) リモート
Debian-specific : いいえ
CVE ID          : CVE-2008-5983 CVE-2010-1634 CVE-2010-2089 CVE-2010-3493
                  CVE-2011-1015 CVE-2011-1521 CVE-2011-4940 CVE-2011-4944
                  CVE-2012-0845 CVE-2012-0876 CVE-2012-1148

 CVE-2008-5983
 信用できないサーチパスの脆弱性が存在し、sys.path の前に空の文字列を付加
 すると, カレントのワーキングディレクトリのファイルによってローカルのユー
 ザが任意のコードを実行する可能性のある脆弱性があります。
 
 CVE-2010-1634 CVE-2010-2089
 複数の整数オーバーフローが存在し攻撃者がサービス拒否 (アプリケーションの
 クラッシュ) を引き起こす脆弱性があります。
 
 CVE-2010-3493
 Giampaolo Rodola氏が、smtpdモジュールのいくつかの条件でリモートの攻撃者
 が外部からサービス不能を引き起こすことが可能な脆弱性を発見しました。
 
 CVE-2011-1015
 CGIHTTPServer モジュール内にある CGIHTTPServer.py の is_cgi メソッドに
 は、スクリプトのソースコードを読まれる脆弱性が存在します。
 
 CVE-2011-1521
 urllib および urllib2 モジュールは、file: URLs にリダイレクトする Location
 ヘッダを処理する際、重要な情報を取得される、またはサービス運用妨害 (リ
 ソース消費) 状態となる脆弱性が存在します。
 
 CVE-2011-4940
 SimpleHTTPServer には、クロスサイトスクリプティングの脆弱性が存在します。
 
 CVE-2011-4944
 Python は、~/.pypirc にデータが書き込まれた後、変更するまでのパーミッショ
 ンが world-readable パーミッション (誰でも読み取り可能な権限) であるため、
 競合状態が発生することにより、ユーザ名およびパスワードを取得される脆弱性
 が存在します。
 
 CVE-2012-0845
 SimpleXMLRPCServer 内の SimpleXMLRPCServer.py には、サービス運用妨害 (無
 限ループおよび CPU 資源の消費) 状態となる脆弱性が存在します。
 
 CVE-2012-0876
 Expat の XML パーサ (xmlparse.c) は、ハッシュ衝突を想定した制限を行わずに
 ハッシュ値を計算するため、サービス運用妨害 (CPU 資源の消費) 状態となる脆弱
 性が存在します。

  CVE-2012-1148
 Expat の expat/lib/xmlparse.c 内の poolGrow 関数には、メモリリークの発生に
 よって、サービス運用妨害 (メモリ消費) 状態となる脆弱性が存在します。

ディストリビューション(etch)では、この問題はバージョン  2.4.4-4+orca.etch4
で修正されています。

直ぐにパッケージをアップグレードすることを勧めます。

アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。

   deb http://ftp.orca.med.or.jp/pub/etch-updates etch main contrib non-free

   apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に加えて、

   apt-get update
           を実行して内部データベースを更新し、
   apt-get upgrade
     によって修正されたパッケージをインストールしてください。

Debian GNU/Linux 4.0 alias etch
---------------------------------
 ソースアーカイブ:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.4/python2.4_2.4.4-4+orca.etch4.dsc
       Size/MD5 checksum: 974 b8f3f6670ec12088f7270afe8bc1f0c0
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.4/python2.4_2.4.4.orig.tar.gz
       Size/MD5 checksum: 9508940 f74ef9de91918f8927e75e8c3024263a
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.4/python2.4_2.4.4-4+orca.etch4.diff.gz
       Size/MD5 checksum: 220688 9040c63f1bd20ae212f8f5c63d543330

 アーキテクチャ非依存コンポーネント:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.4/python2.4-examples_2.4.4-4+orca.etch4_all.deb
       Size/MD5 checksum: 589764 9c0e0fc409551a1300b0ff6059e2c709
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.4/idle-python2.4_2.4.4-4+orca.etch4_all.deb
       Size/MD5 checksum: 61686 075192520fa4424c142a12897267b169

 Intel IA-32 アーキテクチャ:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.4/python2.4_2.4.4-4+orca.etch4_i386.deb
       Size/MD5 checksum: 2879806 fc51e37136585bad0b0b1f8e5cf9cd44
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.4/python2.4-minimal_2.4.4-4+orca.etch4_i386.deb
       Size/MD5 checksum: 902994 837be690bbc680d56788c5905c3f1caf
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.4/python2.4-dev_2.4.4-4+orca.etch4_i386.deb
       Size/MD5 checksum: 1512708 3141f06b298a94d44b8b4c2fe7c57d44
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.4/python2.4-dbg_2.4.4-4+orca.etch4_i386.deb
       Size/MD5 checksum: 5210198 8f0489722c9c6f3e5d7dbaa49c7e7493

 これらのファイルは次のアップデートがリリースされると削除されます。

--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
T: 03-5319-4605 D-FAX: 020-4623-1358