-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 -------------------------------------------------------------------------- Turbolinux Security Advisory TLSA-2004-26 http://www.turbolinux.co.jp/security/ security-team@turbolinux.co.jp -------------------------------------------------------------------------- アナウンス日 : 2004/09/16 最終更新日 : 2004/09/16 パッケージ名 : cdrtools タイトル : euid 問題 概要 : cdrtools は CD-R/RW, DVD-R/RW を作成するためのツールです。 cdrtools には、$RSH 環境変数で指定されたユーザによって実行された場合、 euid=0 を落とすことに失敗してしまう脆弱性が存在します。 影響 : ローカルユーザに root 権限を奪取される可能性があります。 影響製品 : - Turbolinux Appliance Server 1.0 Hosting Edition - Turbolinux Appliance Server 1.0 Workgroup Edition - Turbolinux 10 F... - Turbolinux 10 Desktop 対策方法 : 下記パッケージにアップデートを行って下さい。 [Turbolinux Appliance Server の場合] アップデートは、 ATOM Server Desktop 上から行って下さい。 [Turbolinux 10 Desktop の場合] アップデートは、Kメニュー「左端の Turbolinux のロゴ」をクリックし Turboアップデートを起動し行って下さい。 ---------------------------------------- [Turbolinux 10 Desktop, Turbolinux 10 F... の場合] # zabom --update cdda2wav cdrtools cdrtools-devel mkisofs ---------------------------------------- turbopkg(zabom) が使用できない環境では、パッケージを個別にダウンロードし 下記コマンドを実行して下さい。 ---------------------------------------- # rpm -Fvh cdda2wav-2.0-9.i586.rpm \ cdrtools-2.0-9.i586.rpm \ cdrtools-devel-2.0-9.i586.rpm \ mkisofs-2.0-9.i586.rpm ---------------------------------------- Source Packages Size : MD5 cdrtools-2.0-9.src.rpm 2103029 be1b3126c773b8a07a6e078f2c425aa3 Binary Packages Size : MD5 cdrtools-2.0-9.i586.rpm 672260 4f04c73f06d9a1c524806a48c59795a4 cdrtools-devel-2.0-9.i586.rpm 496602 f0dc69e2525aef9be1b677ef32a5ea89 mkisofs-2.0-9.i586.rpm 478674 de3ae493f085d7e841d8336f61b66cf1 Source Packages Size : MD5 cdrtools-2.0-9.src.rpm 2103029 f28d29b94dc9517406a59fd8d934c7f9 Binary Packages Size : MD5 cdrtools-2.0-9.i586.rpm 671704 30173aba8f73337bf875fc095c855979 cdrtools-devel-2.0-9.i586.rpm 496706 3c6fdc57dbd94f28736fae3fa4f74853 mkisofs-2.0-9.i586.rpm 478790 0b0c20e1c5f84e670e211164fc8efe70 Source Packages Size : MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Desktop/10/updates/SRPMS/cdrtools-2.0-9.src.rpm 2103029 aa0d05ec9760f08ca21ba230e73112d9 Binary Packages Size : MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Desktop/10/updates/RPMS/cdda2wav-2.0-9.i586.rpm 166032 ff43311dc4cb87048a59e6147c6105a5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Desktop/10/updates/RPMS/cdrtools-2.0-9.i586.rpm 666550 5a77cc19f9cf1f58fa5dc51f04ceb18b ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Desktop/10/updates/RPMS/cdrtools-devel-2.0-9.i586.rpm 497339 de65b8f21cdf636408cddc04f0f3ef1b ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Desktop/10/updates/RPMS/mkisofs-2.0-9.i586.rpm 479449 a4a719a4a593cff75eb62ec5a337f1a9 関連文章 : CVE [CAN-2004-0806] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0806 -------------------------------------------------------------------------- 更新履歴 初版 2004/09/16 -------------------------------------------------------------------------- Copyright(C) 2004 Turbolinux, Inc. All rights reserved. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) iD8DBQFBSHjbK0LzjOqIJMwRAuNiAJ9kLA7SiHz7msTNnE9g+9Qx9mxnrgCeOv2b Dxe13k8y9DynmwMuKE1Pa5I= =7OlZ -----END PGP SIGNATURE-----