-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2004-24
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2004/09/16
 最終更新日   : 2004/09/21

 パッケージ名 : squid

 タイトル : URL をデコードする処理に弱点

 概要 : Squid は、インターネット上に流れる HTTP,FTP などのデータオブジェクトを
      Web ブラウザが取得しにいく代わりに、代理（プロキシ）取得するプログラムです。
      Squid の URL をデコードする処理に脆弱性が存在します。

 影響 : この脆弱性を利用されると、ACLでアクセスを禁止しているサイトへのアクセスを
      クライアント(Web ブラウザなど)に対して許可してしまいます。

 影響製品 :

    - Turbolinux Appliance Server 1.0 Hosting Edition
    - Turbolinux Appliance Server 1.0 Workgroup Edition
    - Turbolinux 8 Server
    - Turbolinux 8 Workstation
    - Turbolinux 7 Server
    - Turbolinux 7 Workstation


 対策方法 : 下記パッケージにアップデートを行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 ATOM Server Desktop 上から行って下さい。

          [その他の製品の場合]
          コンソール上から turbopkg(zabom) コマンドを実行してアップデートを行って下さい。

 ----------------------------------------
 # turbopkg
 もしくは、
 # zabom update squid
 ----------------------------------------

 turbopkg(zabom) が使用できない環境では、パッケージを個別にダウンロードし
 下記コマンドを実行して下さい。
 ----------------------------------------
 # rpm -Fvh squid-2.5.STABLE6-7.i586.rpm
 ----------------------------------------


 <Turbolinux Appliance Server 1.0 Hosting Edition>

   Source Packages
   Size : MD5

   squid-2.5.STABLE6-9.src.rpm
      1537249 adefcef8e5ea06b761c5b24b4625ca17

   Binary Packages
   Size : MD5

   squid-2.5.STABLE6-9.i586.rpm
       825027 d89f00274f13f48aed8febbc4d6074da

 <Turbolinux Appliance Server 1.0 Workgroup Edition>

   Source Packages
   Size : MD5

   squid-2.5.STABLE6-9.src.rpm
      1537249 2b43bbc54587ead378e42fc7741db10b

   Binary Packages
   Size : MD5

   squid-2.5.STABLE6-9.i586.rpm
       825233 92cd7330fba772036ffd8133e228a7e8

 <Turbolinux 8 Server>

   Source Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/SRPMS/squid-2.5.STABLE6-10.src.rpm
      1537385 d454a9ee8435d1f2bca397944bf62ef5

   Binary Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/RPMS/squid-2.5.STABLE6-10.i586.rpm
       827901 11d9a2245c49af7f7a2c814ada6d3eb7

 <Turbolinux 8 Workstation>

   Source Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/8/updates/SRPMS/squid-2.5.STABLE6-10.src.rpm
      1537385 2e8af6034e2d5af5132377f19f82b8ae

   Binary Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/8/updates/RPMS/squid-2.5.STABLE6-10.i586.rpm
       827107 bbac42ec8a2219f0808fd13265eb7947

 <Turbolinux 7 Server>

   Source Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/7/updates/SRPMS/squid-2.5.STABLE6-10.src.rpm
      1537385 4f31aac2a3e88f791fcca008e2bd0adc

   Binary Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/7/updates/RPMS/squid-2.5.STABLE6-10.i586.rpm
       830267 c4dd456ef822963bc7ef6aa1edca1163

 <Turbolinux 7 Workstation>

   Source Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/7/updates/SRPMS/squid-2.5.STABLE6-10.src.rpm
      1537385 43312cac238cbd89b1607f4437136183

   Binary Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/7/updates/SRPMS/squid-2.5.STABLE6-10.src.rpm
      1537385 43312cac238cbd89b1607f4437136183

   Binary Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/7/updates/RPMS/squid-2.5.STABLE6-10.i586.rpm
       830931 ac12c7e372ccc09da5a311c1fbd2b951


 注意事項 : squid を使用している場合は、アップデート後、squid を再起動して下さい。
          Turbolinux Appliance Server の場合は、自動で squid の再起動が行われるので
          squid を手動で再起動する必要はありません。

          root で実行して下さい。
          ---------------------------------------------
           # /etc/init.d/squid restart
          もしくは、
           # /etc/rc.d/init.d/squid restart
          ---------------------------------------------

 関連文章 :

 www.squid-cache.org
   [Squid Proxy Cache Security Update Advisory SQUID-2004:1]
   http://www.squid-cache.org/Advisories/SQUID-2004_1.txt

 CVE
   [CAN-2004-0189]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0189


 --------------------------------------------------------------------------
 更新履歴
   初版   2004/09/16
   第２版 2004/09/21 squid-2.5.STABLE6-7 -> squid-2.5.STABLE6-10
                     Turbolinux 7 Workstation, Turbolinux 7 Server
                     Turbolinux 8 Workstation, Turbolinux 8 Server
                     既存の環境によって squid の init スクリプトで
                     サービスが restart 出来ない問題を修正しました。
 --------------------------------------------------------------------------

 Copyright(C) 2004 Turbolinux, Inc. All rights reserved. 

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)

iD8DBQFBT8CbK0LzjOqIJMwRAlYYAJ9cdnbZzB1o0n2TxFubTBe5gjC76wCgpbJa
xr09f5kZiSwJc7h+pOJ+HL8=
=Rlxt
-----END PGP SIGNATURE-----