[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[ORCA-ANNOUNCE:02858] セキュリティ情報◆[OSA 2013-008] python2.5(etch)

To: "orca-announce@xxxxxxxxxxxxxx" <orca-announce@xxxxxxxxxxxxxx>
Subject: [ORCA-ANNOUNCE:02858] セキュリティ情報◆[OSA 2013-008] python2.5(etch)
From: ORCAプロジェクトからのお知らせ <orca-announce@xxxxxxxxxxxxxx>
Date: Fri, 25 Jan 2013 11:34:20 +0900

ORCAサポートセンタです。いつもお世話になっています。

本日、下記、セキュリティアップデートパッケージを提供しました。

---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2013-008    security _at_ orca.med.or.jp
http://www.orca.med.or.jp/receipt/update/security/               2013/01/25
---------------------------------------------------------------------------

Package         : python2.5
Distribution    : Debian GNU/Linux 4.0(etch)
Vulnerability   : 複数の脆弱性
Problem type    : (ローカル) リモート
Debian-specific : いいえ
CVE ID          : CVE-2008-5983 CVE-2010-2089 CVE-2010-3493 CVE-2011-1015
                  CVE-2011-1521 CVE-2011-4940 CVE-2011-4944 CVE-2012-0845
                  CVE-2012-0876 CVE-2012-1148

 CVE-2008-5983
 信用できないサーチパスの脆弱性が存在し、sys.path の前に空の文字列を付加
 すると, カレントのワーキングディレクトリのファイルによってローカルのユー
 ザが任意のコードを実行する可能性のある脆弱性があります。
 
 CVE-2010-2089
 複数の整数オーバーフローが存在し攻撃者がサービス拒否 (アプリケーションの
 クラッシュ) を引き起こす脆弱性があります。
 
 CVE-2010-3493
 Giampaolo Rodola氏が、smtpdモジュールのいくつかの条件でリモートの攻撃者
 が外部からサービス不能を引き起こすことが可能な脆弱性を発見しました。
 
 CVE-2011-1015
 CGIHTTPServer モジュール内にある CGIHTTPServer.py の is_cgi メソッドに
 は、スクリプトのソースコードを読まれる脆弱性が存在します。
 
 CVE-2011-1521
 urllib および urllib2 モジュールは、file: URLs にリダイレクトする Location
 ヘッダを処理する際、重要な情報を取得される、またはサービス運用妨害 (リ
 ソース消費) 状態となる脆弱性が存在します。
 
 CVE-2011-4940
 SimpleHTTPServer には、クロスサイトスクリプティングの脆弱性が存在します。
 
 CVE-2011-4944
 Python は、~/.pypirc にデータが書き込まれた後、変更するまでのパーミッショ
 ンが world-readable パーミッション (誰でも読み取り可能な権限) であるため、
 競合状態が発生することにより、ユーザ名およびパスワードを取得される脆弱性
 が存在します。
 
 CVE-2012-0845
 SimpleXMLRPCServer 内の SimpleXMLRPCServer.py には、サービス運用妨害 (無
 限ループおよび CPU 資源の消費) 状態となる脆弱性が存在します。
 
 CVE-2012-0876
 Expat の XML パーサ (xmlparse.c) は、ハッシュ衝突を想定した制限を行わずに
 ハッシュ値を計算するため、サービス運用妨害 (CPU 資源の消費) 状態となる脆弱
 性が存在します。

 CVE-2012-1148
 Expat の expat/lib/xmlparse.c 内の poolGrow 関数には、メモリリークの発生に
 よって、サービス運用妨害 (メモリ消費) 状態となる脆弱性が存在します。

ディストリビューション(etch)では、この問題はバージョン  2.5-6+orca.etch3
で修正されています。

直ぐにパッケージをアップグレードすることを勧めます。

アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。

   deb http://ftp.orca.med.or.jp/pub/etch-updates etch main contrib non-free

   apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に加えて、

   apt-get update
           を実行して内部データベースを更新し、
   apt-get upgrade
     によって修正されたパッケージをインストールしてください。

Debian GNU/Linux 4.0 alias etch
---------------------------------
 ソースアーカイブ:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.5/python2.5_2.5-6+orca.etch3.dsc
       Size/MD5 checksum: 1077 6a5c8c00ac51b1f7f24031f54ebe098e
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.5/python2.5_2.5.orig.tar.gz
       Size/MD5 checksum: 11010528 2ce301134620012ad6dafb27bbcab7eb
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.5/python2.5_2.5-6+orca.etch3.diff.gz
       Size/MD5 checksum: 283222 671bdf58222714151d2b9f98f0236595

 アーキテクチャ非依存コンポーネント:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.5/python2.5-examples_2.5-6+orca.etch3_all.deb
       Size/MD5 checksum: 642296 85392f681bc6a08c5629ccb364cbf5b3
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.5/idle-python2.5_2.5-6+orca.etch3_all.deb
       Size/MD5 checksum: 63808 19fdd8941ad600f29bf392f43a47cc27

 Intel IA-32 アーキテクチャ:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.5/python2.5_2.5-6+orca.etch3_i386.deb
       Size/MD5 checksum: 3486068 75a873e13a1778f24fb1efb0f2809827
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.5/python2.5-minimal_2.5-6+orca.etch3_i386.deb
       Size/MD5 checksum: 785146 7d71bd9be72630a181e8546a4f6b73f4
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.5/python2.5-dev_2.5-6+orca.etch3_i386.deb
       Size/MD5 checksum: 1676280 b58d178aead6fd9b82873853d2704246
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/p/python2.5/python2.5-dbg_2.5-6+orca.etch3_i386.deb
       Size/MD5 checksum: 6011124 fc94efd06cc86a80275c27d9b53b59d4

 これらのファイルは次のアップデートがリリースされると削除されます。

--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
T: 03-5319-4605 D-FAX: 020-4623-1358

Prev by Date: [ORCA-ANNOUNCE:02857] セキュリティ情報◆[OSA 2013-007] python2.4(etch)
Next by Date: [ORCA-ANNOUNCE:02859] プログラム提供◆公開帳票プログラム(オリジナル帳票)
Previous by thread: [ORCA-ANNOUNCE:02857] セキュリティ情報◆[OSA 2013-007] python2.4(etch)
Next by thread: [ORCA-ANNOUNCE:02859] プログラム提供◆公開帳票プログラム(オリジナル帳票)
Index(es):
- Date
- Thread