diff options
author | Laura Arjona Reina <larjona@debian.org> | 2019-02-09 02:27:07 +0100 |
---|---|---|
committer | Laura Arjona Reina <larjona@debian.org> | 2019-02-09 02:27:07 +0100 |
commit | 5407788f7a4fda874cb747db4bab07f47a6f4c9d (patch) | |
tree | 62e0786f0c9dfa71c36b67171014fa9564d9e136 /japanese/lts | |
parent | 36c73e6df8679c939b415e812320938e7f1463b0 (diff) |
[Japanese] Add lts tree, move the DLAs that were in /security, fix translation-check hashes
Diffstat (limited to 'japanese/lts')
120 files changed, 2648 insertions, 0 deletions
diff --git a/japanese/lts/security/2014/Makefile b/japanese/lts/security/2014/Makefile new file mode 100644 index 00000000000..3b7e77d22dc --- /dev/null +++ b/japanese/lts/security/2014/Makefile @@ -0,0 +1 @@ +include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/lts/security/2014/dla-0016.wml b/japanese/lts/security/2014/dla-0016.wml new file mode 100644 index 00000000000..4b6dccd3fa4 --- /dev/null +++ b/japanese/lts/security/2014/dla-0016.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Daniel P. Berrange さんが libxml2 +のエンティティ置換にサービス拒否脆弱性を発見しました。</p> + +<p>Debian 6<q>Squeeze</q>ではこの問題は libxml2 +バージョン 2.7.8.dfsg-2+squeeze9 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-0016.data" + diff --git a/japanese/lts/security/2014/dla-0018.wml b/japanese/lts/security/2014/dla-0018.wml new file mode 100644 index 00000000000..84e542429e3 --- /dev/null +++ b/japanese/lts/security/2014/dla-0018.wml @@ -0,0 +1,31 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<ul> +<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3515">CVE-2014-3515</a>]: +<p>unserialize() で SPL ArrayObject / SPLObjectStorage の型を取り違えるのを修正</p></li> + +<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-0207">CVE-2014-0207</a>]: +<p>fileinfo: cdf_read_short_sector が境界チェックを十分に行っていなかった</p></li> + +<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3480">CVE-2014-3480</a>]: +<p>fileinfo: cdf_count_chain が境界チェックを十分に行っていなかった</p></li> + +<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-4721">CVE-2014-4721</a>]: +<p>PHP の 5.4.30 以前と 5.5.x の 5.5.14 以前の ext/standard/info.c での + phpinfo の実装は PHP_AUTH_PW、PHP_AUTH_TYPE、PHP_AUTH_USER、PHP_SELF + 各変数のデータに文字列型を確実に使うようになっていませんでした。 + mod_ssl 及び PHP 5.3.x mod_php が導入されている + Apache HTTP サーバのウェブホスティング環境でSSL秘密鍵の読み取りが実証されたように、 + <q>型を取り違える</q>脆弱性に関連して、 + 文脈依存の攻撃者に細工した値の整数型データを使ったプロセスメモリからの機密情報取得を + 許す可能性があります。</p></li> +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は php5 +バージョン 5.3.3-7+squeeze20 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-0018.data" + diff --git a/japanese/lts/security/2014/dla-0019.wml b/japanese/lts/security/2014/dla-0019.wml new file mode 100644 index 00000000000..fa3b8b59d56 --- /dev/null +++ b/japanese/lts/security/2014/dla-0019.wml @@ -0,0 +1,52 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>上流の新しいマイナーリリースです。 +ユーザは次回の保守計画実施時にこのバージョンにアップグレードしてください。</p> + +<h3>特に重要な変更:</h3> + + <p>make check の過程で開始される一時 postmaster の + Unix ドメインソケットを安全に (Noah Misch)</p> + + <p>以前に <a + href="https://security-tracker.debian.org/tracker/CVE-2014-0067">CVE-2014-0067</a> + で注意したように、ソケットファイルにアクセス可能なあらゆるローカルユーザは、 + サーバのブートストラップスーパーユーザとして接続し、 + そのオペレーティングシステム上のテストの実行ユーザの権限で任意のコードの実行へと進めることが可能です。 + この変更ではサーバのソケットを /tmp のサブディレクトリにモード + 0700 で一時的に置くことでその危険に対する保護策としています。</p> + + <p>8.4.22 をもって PostgreSQL 8.4 ブランチは終了となります。 + PostgreSQL Global 開発グループによる今後のリリースはありません。</p> + +<p>PostgreSQL 8.4 のユーザは新しい PostgreSQL +リリースへのアップグレードを検討してください。選択肢:</p> + +<ul> +<li>Debian 7 (Wheezy) へのアップグレード。postgresql-9.1 を提供しています。</li> + +<li><p>apt.postgresql.org リポジトリの利用。PostgreSQL のアクティブなブランチ +(これを書いている時点では 9.0 から 9.4 まで) の全パッケージを提供しています。</p> + + <p>リポジトリのさらなる情報については、<a + href="https://wiki.postgresql.org/wiki/Apt">https://wiki.postgresql.org/wiki/Apt</a> + を見てください。</p> + + <p>このリポジトリを有効にする補助スクリプトが + /usr/share/doc/postgresql-8.4/examples/apt.postgresql.org.sh + に提供されています。</p> +</li> +<li>LTS版の 8.4 は squeeze-lts の終了まで対象とすることを計画中です。 +恐らくできる限りの更新となります。 +ユーザはこれを活用することができますが、今後数か月でもっと新しい PostgreSQL +バージョンへのアップグレードを検討すべきであることは変わりません。</li> +</ul> + +<p>Debian 6 <q>Squeeze</q>では、この問題は postgresql-8.4 +バージョン 8.4.22-0+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-0019.data" + diff --git a/japanese/lts/security/2014/dla-0021.wml b/japanese/lts/security/2014/dla-0021.wml new file mode 100644 index 00000000000..10485fa3e0d --- /dev/null +++ b/japanese/lts/security/2014/dla-0021.wml @@ -0,0 +1,29 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<ul> + <li>フィルターの failregex にアンカーを使うことによりDoSの可能性を回避 + 手作業で取り上げた 0.8 ブランチの現在の状態 (0.8.13-29-g09b2016 時点): + <ul> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7176">CVE-2013-7176</a>: + postfix.conf - 先頭にアンカーを使い、ログ行の頭に<q>postfix/smtpd</q>を想定</li> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7177">CVE-2013-7177</a>: + cyrus-imap.conf - 先頭にアンカーを使い、failregex を一つ使うように作り直し</li> + <li>couriersmtp.conf - 前後にアンカー</li> + <li>exim.conf - 先頭にアンカーを使ったバージョンを + exim.conf と exim-spam.conf から取り込み</li> + <li>lighttpd-fastcgi.conf - 先頭にアンカーを使ったバージョンを + suhosin.conf から取り込み (Wheezy バージョンから複製)</li> + </ul></li> + <li>cyrus-imap について、安全な経路 (imaps/pop3s) を経由したログイン失敗も捕捉。 + failregex 0.8.11 (bd175f) での強靱化の際にリグレッション: Debianバグ#755173</li> + <li>cyrus-imap: <q>user not found</q>の企ても捕捉</li> +</ul> + +<p>Debian 6 <q>Squeeze</q>では、この問題は fail2ban +バージョン 0.8.4-3+squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-0021.data" + diff --git a/japanese/lts/security/2014/dla-0022.wml b/japanese/lts/security/2014/dla-0022.wml new file mode 100644 index 00000000000..35d4ffcf7df --- /dev/null +++ b/japanese/lts/security/2014/dla-0022.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>共通 UNIX 印刷システム CUPS のウェブインターフェイスが、 +RSSファイルやディレクトリ索引ファイルの権限の検証を誤っていることが発見されました。 +ローカルの攻撃者がこの問題を悪用し、 +ファイル権限による制限を迂回して任意のファイルを読み取れる可能性があり、 +潜在的には特権の昇格につながります。</p> + +<p>Debian 6 <q>Squeeze</q>では、この問題は cups +バージョン 1.4.4-7+squeeze6 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-0022.data" + diff --git a/japanese/lts/security/2014/dla-100.wml b/japanese/lts/security/2014/dla-100.wml new file mode 100644 index 00000000000..6c0c3ff25b6 --- /dev/null +++ b/japanese/lts/security/2014/dla-100.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>テキストベースのメールリーダー mutt に欠陥が発見されています。 +特別に細工したメールヘッダにより mutt +のクラッシュを引き起こすことが可能で、サービス拒否につながります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は mutt +バージョン 1.5.20-9+squeeze4 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-100.data" + diff --git a/japanese/lts/security/2014/dla-101.wml b/japanese/lts/security/2014/dla-101.wml new file mode 100644 index 00000000000..a2b3122b08d --- /dev/null +++ b/japanese/lts/security/2014/dla-101.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Google セキュリティチームの Josh Duart さんが、JPEG-2000 ファイルを操作するライブラリ +JasPer にヒープベースのバッファオーバーフローの欠陥を発見しています。サービス拒否 +(アプリケーションのクラッシュ) や任意のコードの実行につながる可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は jasper バージョン 1.900.1-7+squeeze2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-101.data" + diff --git a/japanese/lts/security/2014/dla-102.wml b/japanese/lts/security/2014/dla-102.wml new file mode 100644 index 00000000000..73cd7606ce8 --- /dev/null +++ b/japanese/lts/security/2014/dla-102.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>コマンドラインのネットワークトラフィック分析ツール tcpdump +に複数の欠陥が発見されました。サービス拒否やメモリからの機密情報漏洩、 +潜在的には任意のコードの実行につながる可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は tcpdump +バージョン 4.1.1-1+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-102.data" + diff --git a/japanese/lts/security/2014/dla-103.wml b/japanese/lts/security/2014/dla-103.wml new file mode 100644 index 00000000000..83a28b45d6b --- /dev/null +++ b/japanese/lts/security/2014/dla-103.wml @@ -0,0 +1,80 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>このセキュリティアップロードは Debian のカーネル、セキュリティ、LTS +の各チームが連携して行いました。上流の安定版リリース +2.6.32.64 を取り込んでいます (さらなる情報については <a +href="https://lkml.org/lkml/2014/11/23/181">https://lkml.org/lkml/2014/11/23/181</a> +を見てください)。以下の CVE を修正しています。</p> + +<p><b>注意</b>: openvz フレーバーを利用している場合は以下の3点を考慮してください:<br /> +a.) openvz フレーバーに関するフィードバックは全く受け取っていません + (他のフレーバーについてはどれも受け取っています)。<br /> +b.) そのため、運用環境に展開する前にテストしてください。<br /> +c.) テストしたら debian-lts@lists.debian.org にフィードバックしてください。</p> + +<p>openvz フレーバーを利用していなくても b+c については検討してください :-)</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6657">CVE-2012-6657</a> + + <p>sock_setsockopt 関数を修正し、ローカルユーザがサービス拒否 + (システムのクラッシュ) 攻撃を起こせるのを回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0228">CVE-2013-0228</a> + + <p>ゲストOSのユーザにゲストOSの権限獲得を許す XEN の権限昇格を修正。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7266">CVE-2013-7266</a> + + <p>mISDN_sock_recvmsg 関数を修正し、 + ローカルユーザがカーネルメモリから機密情報を獲得できるのを回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4157">CVE-2014-4157</a> + + <p>MIPS 基盤: 意図した PR_SET_SECCOMP + による制限をローカルユーザが迂回するのを回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4508">CVE-2014-4508</a> + + <p>システムコール監査が有効になっている場合にローカルユーザがサービス拒否 + (OOPS 及びシステムのクラッシュ) を引き起こすのを回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4653">CVE-2014-4653</a>, +<a href="https://security-tracker.debian.org/tracker/CVE-2014-4654">CVE-2014-4654</a>, +<a href="https://security-tracker.debian.org/tracker/CVE-2014-4655">CVE-2014-4655</a> + + <p>ALSA 制御の実装を修正し、ローカルユーザによる + サービス拒否攻撃やカーネルメモリからの機密情報取得を回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4943">CVE-2014-4943</a> + + <p>PPPoL2TP 機能を修正し、ローカルユーザの権限獲得を回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5077">CVE-2014-5077</a> + + <p>リモートの攻撃者が <abbr + title="Stream Control Transmission Protocol">SCTP</abbr> + に関わるサービス拒否攻撃を引き起こすのを回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5471">CVE-2014-5471</a>, +<a href="https://security-tracker.debian.org/tracker/CVE-2014-5472">CVE-2014-5472</a> + + <p>parse_rock_ridge_inode_internal 関数を修正し、ローカルユーザが細工した + iso9660 イメージを経由してサービス拒否攻撃を引き起こすのを回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9090">CVE-2014-9090</a> + + <p>do_double_fault 関数を修正し、ローカルユーザがサービス拒否 + (パニック) 攻撃を引き起こすのを回避。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は linux-2.6 +バージョン 2.6.32-48squeeze9 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-103.data" + diff --git a/japanese/lts/security/2014/dla-104.wml b/japanese/lts/security/2014/dla-104.wml new file mode 100644 index 00000000000..fc800bad59f --- /dev/null +++ b/japanese/lts/security/2014/dla-104.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>ANSSI の Florian Maury さんが再帰 DNS サーバ pdns-recursor に欠陥を発見しています: +リモートの攻撃者が管理する悪意を持って構成したゾーンやローグサーバにより +pdns-recursor の性能に影響を与えることが可能で、 +リソースを使い果たすことで潜在的なサービス拒否につながります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は pdns-recursor +バージョン 3.2-4+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-104.data" + diff --git a/japanese/lts/security/2014/dla-105.wml b/japanese/lts/security/2014/dla-105.wml new file mode 100644 index 00000000000..3e1fad7c0a1 --- /dev/null +++ b/japanese/lts/security/2014/dla-105.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Joshua Rogers さんが豊富なグラフ描画ツール群 Graphviz の lib/cgraph/scan.l 中の +yyerror 関数にフォーマット文字列脆弱性を発見しています。攻撃者がこの欠陥を悪用して +graphviz のクラッシュや潜在的には任意のコードの実行を引き起こすことが可能です。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は graphviz +バージョン 2.26.3-5+squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-105.data" + diff --git a/japanese/lts/security/2014/dla-106.wml b/japanese/lts/security/2014/dla-106.wml new file mode 100644 index 00000000000..60aac973a1d --- /dev/null +++ b/japanese/lts/security/2014/dla-106.wml @@ -0,0 +1,37 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>POP3、IMAP4、SDPS に対応したメール取得プログラム getmail4 +に複数の欠陥が発見されました。中間者攻撃を許す可能性があります。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7273">CVE-2014-7273</a> + + <p>getmail 4.0.0 から 4.43.0 の IMAP-over-SSL 実装は SSL サーバから送られた + X.509 証明書を検証していません。中間の攻撃者が細工した証明書により + IMAP サーバを偽装することで機密情報の取得を許します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7274">CVE-2014-7274</a> + + <p>getmail 4.44.0 の IMAP-over-SSL 実装はサーバのホスト名が X.509 証明書の一般名 + (<abbr title="common name">CN</abbr>) のドメイン名に合うことを検証していません。 + 中間の攻撃者が登録済み認証局からの細工した証明書により + IMAP サーバを偽装することで機密情報の取得を許します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7275">CVE-2014-7275</a> + + <p>getmail 4.0.0 から 4.44.0 の POP3-over-SSL 実装は SSL サーバから送られた + X.509 証明書を検証していません。中間の攻撃者が細工した証明書により + POP3 サーバを偽装することで機密情報の取得を許します。</p></li> + +</ul> + +<p>squeeze ディストリビューションでは、この問題は新しい上流バージョン +4.46.0-1~deb6u1 を取り込むことで修正されています。 +パッケージの更新は青木修さんにより行われました。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-106.data" + diff --git a/japanese/lts/security/2014/dla-107.wml b/japanese/lts/security/2014/dla-107.wml new file mode 100644 index 00000000000..0963c4acd2b --- /dev/null +++ b/japanese/lts/security/2014/dla-107.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>ANSSI の Florian Maury さんが、検証、再帰、キャッシュ DNS リゾルバ +unbound がサービス拒否脆弱性を起こしやすいことを発見しています。 +悪意のあるゾーンを細工してサーバへの問い合わせを出す (出させる) +ことのできる攻撃者がリゾルバを欺いて無限に続く委譲を追跡させることで、 +リソースの使い果たしとネットワーク使用量の増大につながります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は unbound +バージョン 1.4.6-1+squeeze4 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-107.data" + diff --git a/japanese/lts/security/2014/dla-108.wml b/japanese/lts/security/2014/dla-108.wml new file mode 100644 index 00000000000..961569f2f32 --- /dev/null +++ b/japanese/lts/security/2014/dla-108.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<p>これまで rpc.statd はカーネルへのダウンコール送信と同一のソケットを使って SM_NOTIFY +リクエストを送っていました。リモートホストからの応答を受け取るため、ソケットは +INADDR_ANY にバインドしていました。望まないデータの差し込みを回避するため、 +このソケットをループバックアドレスにバインドします。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は nfs-utils +バージョン 1:1.2.2-4squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-108.data" + diff --git a/japanese/lts/security/2014/dla-109.wml b/japanese/lts/security/2014/dla-109.wml new file mode 100644 index 00000000000..1c5af907778 --- /dev/null +++ b/japanese/lts/security/2014/dla-109.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Jonathan Gray さんと Stanislaw Pitucha さんが、高速な +YAML 1.1 パーサ及び生成ライブラリ LibYAML +が折り返された文字列を解析する方法にアサート失敗を発見しました。libyaml +を利用しているアプリケーションで、特別に細工した +YAML 入力をロードさせることのできる攻撃者が、 +アプリケーションをクラッシュさせることが可能です。</p> + +<p>この更新では libyaml-libyaml-perl +パッケージに組み込まれている複製にあるこの欠陥を修正します。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は libyaml-libyaml-perl +バージョン 0.33-1+squeeze4 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-109.data" + diff --git a/japanese/lts/security/2014/dla-110.wml b/japanese/lts/security/2014/dla-110.wml new file mode 100644 index 00000000000..44372f3e60a --- /dev/null +++ b/japanese/lts/security/2014/dla-110.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Jonathan Gray さんと Stanislaw Pitucha さんが、高速な +YAML 1.1 パーサ及び生成ライブラリ LibYAML +が折り返された文字列を解析する方法にアサート失敗を発見しました。libyaml +を利用しているアプリケーションで、特別に細工した +YAML 入力をロードさせることのできる攻撃者が、 +アプリケーションをクラッシュさせることが可能です。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は libyaml +バージョン 0.1.3-1+deb6u5 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-110.data" + diff --git a/japanese/lts/security/2014/dla-111.wml b/japanese/lts/security/2014/dla-111.wml new file mode 100644 index 00000000000..6a47a59238b --- /dev/null +++ b/japanese/lts/security/2014/dla-111.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>cpio にバッファオーバーフローや複数の NULL +ポインタ参照等、複数の問題が確認されています。 +少なくともサービス拒否、潜在的には望まないコードの実行につながる可能性があります。</p> + +<p>この問題は Debian 6 Squeeze ではバージョン 2.11-4+deb6u1 +で、上流のパッチを適用することで修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-111.data" + diff --git a/japanese/lts/security/2014/dla-112.wml b/japanese/lts/security/2014/dla-112.wml new file mode 100644 index 00000000000..a56733f6880 --- /dev/null +++ b/japanese/lts/security/2014/dla-112.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新では DNS サーバ BIND のサービス拒否脆弱性を修正しています。</p> + +<p>攻撃者が悪意を持って構成したゾーンやローグサーバを使わせることで、BIND 9 +がドメイン名サービスの委譲を追跡するのに利用しているコードでの見落としを悪用すると、BIND +は委譲を追跡しようとして無制限に問い合わせを出し続けます。</p> + +<p>これはリソースを使い果たすことでサービス拒否 +(最悪で名前サーバのプロセス終了) につながる可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は bind9 バージョン +9.7.3.dfsg-1~squeeze13 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-112.data" + diff --git a/japanese/lts/security/2014/dla-113.wml b/japanese/lts/security/2014/dla-113.wml new file mode 100644 index 00000000000..90ae3b7d4fe --- /dev/null +++ b/japanese/lts/security/2014/dla-113.wml @@ -0,0 +1,32 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p><q>mail</q>コマンドの実装である bsd-mailx +に、書式として有効なメールアドレスをシェルコマンドとして扱い、 +実行する隠し機能が発見されています。</p> + +<p>この機能を必要とするユーザは適切な mailrc +ファイルで<q>expandaddr</q>を指定することで有効にできます。 +また、この更新では時代遅れの <code>-T</code> +オプションも削除されています。古いセキュリティ脆弱性 <a +href="https://security-tracker.debian.org/tracker/CVE-2004-2771">CVE-2004-2771</a> +は既に Debian の bsd-mailx パッケージでは対応済みです。</p> + +<p>ただし、このセキュリティ更新は mailx +でコマンドを実行する機能を全て削除したわけではないことに注意してください。 +信頼できないソース (ウェブフォーム等) +から取得したアドレスにメールを送るスクリプトではメールアドレスの前に区切り文字 +<code>--</code> を使うようにするか +(適切に機能するようにこの更新で修正されています)、代わりに +<code>mail -t</code> や <code>sendmail -i -t</code> を発動して +宛先のアドレスをメールヘッダの一部として渡すように変更してください。</p> + +<p>旧安定版 (oldstable) ディストリビューション (squeeze) +では、この問題はバージョン 8.1.2-0.20100314cvs-1+deb6u1 で修正されています。</p> + +<p>直ちに bsd-mailx パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-113.data" + diff --git a/japanese/lts/security/2014/dla-114.wml b/japanese/lts/security/2014/dla-114.wml new file mode 100644 index 00000000000..8ca8382cd09 --- /dev/null +++ b/japanese/lts/security/2014/dla-114.wml @@ -0,0 +1,39 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p><q>mail</q>コマンドの実装である Heirloom mailx +に、セキュリティ脆弱性が2件発見されています:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2004-2771">CVE-2004-2771</a> + + <p>mailx は特定のメールアドレス中のシェルメタ文字を解釈します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7844">CVE-2014-7844</a> + + <p>mailx の想定していない機能により、 + 書式として有効なメールアドレスをシェルコマンドとして扱い、実行します。</p></li> + +</ul> + +<p>シェルコマンドの実行機能は<q>expandaddr</q>オプションを有効にすることで利用できます。</p> + +<p>ただし、このセキュリティ更新は mailx +でコマンドを実行する機能を全て削除したわけではないことに注意してください。 +信頼できないソース (ウェブフォーム等) +から取得したアドレスにメールを送るスクリプトではメールアドレスの前に区切り文字 +<code>--</code> を使うようにするか +(適切に機能するようにこの更新で修正されています)、代わりに +<code>mail -t</code> や <code>sendmail -i -t</code> を発動して +宛先のアドレスをメールヘッダの一部として渡すように変更してください。</p> + +<p>旧安定版 (oldstable) ディストリビューション (squeeze) +では、この問題はバージョン 12.4-2+deb6u1 で修正されています。</p> + +<p>直ちに heirloom-mailx パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-114.data" + diff --git a/japanese/lts/security/2014/dla-115.wml b/japanese/lts/security/2014/dla-115.wml new file mode 100644 index 00000000000..c2744d85201 --- /dev/null +++ b/japanese/lts/security/2014/dla-115.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + <p>ログイン時の XSS 問題を修正。</p> + + <p>基礎となっている LDAP サーバに対する gosa-admin + DN 経由での GOsa² の認証を修正 (#768509)。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は gosa +バージョン 2.6.11-3+squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-115.data" + diff --git a/japanese/lts/security/2014/dla-117.wml b/japanese/lts/security/2014/dla-117.wml new file mode 100644 index 00000000000..e2d7926ae81 --- /dev/null +++ b/japanese/lts/security/2014/dla-117.wml @@ -0,0 +1,28 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3193">CVE-2011-3193</a> + + <p>特定のフォントでクラッシュを引き起こす可能性のある + Lookup_MarkMarkPos のバッファオーバーフローを確認。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3194">CVE-2011-3194</a> + + <p>グレースケール画像の TIFFTAG_SAMPLESPERPIXEL を扱う tiff リーダーを修正。 + このリーダーは、<q>samples per pixel</q>の値によっては (存在しない) + QImage::Format_Indexed16 を使うべき場合に QImage::Format_Indexed8 + を使っているためにメモリ破壊を引き起こします。 + この修正により tiff 画像を読み込む<q>通常の</q>方法にフォールバックします。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は qt4-x11 +バージョン 4:4.6.3-4+squeeze2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-117.data" + diff --git a/japanese/lts/security/2014/dla-118.wml b/japanese/lts/security/2014/dla-118.wml new file mode 100644 index 00000000000..1fd91766d5f --- /dev/null +++ b/japanese/lts/security/2014/dla-118.wml @@ -0,0 +1,50 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Squeeze LTS チームとカーネルチームによる非メンテナのアップロードです。</p> + +<p>上流の新しい安定版リリース 2.6.32.65 のさらなる情報については <a +href="http://lkml.org/lkml/2014/12/13/81">http://lkml.org/lkml/2014/12/13/81</a> +を見てください。</p> + +<p>安定版リリース 2.6.32.65 では前の 2.6.32-48squeeze9 +パッケージと比べて、以下が取り入れられています:</p> + +<ul> + <li>USB: whiteheat: bulk コマンドの応答に境界チェックを追加 (<a + href="https://security-tracker.debian.org/tracker/CVE-2014-3185">CVE-2014-3185</a>)</li> + <li>net: sctp: 複製 ASCONF chunk でのパニックを修正 (<a + href="https://security-tracker.debian.org/tracker/CVE-2014-3687">CVE-2014-3687</a>)</li> + <li>net: sctp: リモートからの過剰なキューによるメモリ負荷問題を修正 (<a + href="https://security-tracker.debian.org/tracker/CVE-2014-3688">CVE-2014-3688</a>)</li> + <li>udf: 間接 <abbr title="Information Control Block">ICB</abbr> 処理での無限ループを回避 (<a + href="https://security-tracker.debian.org/tracker/CVE-2014-6410">CVE-2014-6410</a>)</li> + <li>net: sctp: 悪意のあるパケットによる af->from_addr_param での NULL ポインタ参照を修正 (<a + href="https://security-tracker.debian.org/tracker/CVE-2014-7841">CVE-2014-7841</a>)</li> + <li>mac80211: 特に暗号化の断片化したコードを修正 (<a + href="https://security-tracker.debian.org/tracker/CVE-2014-8709">CVE-2014-8709</a>)</li> + <li>ttusb-dec: ioctl でのバッファオーバーフロー (<a + href="https://security-tracker.debian.org/tracker/CVE-2014-8884">CVE-2014-8884</a>)</li> +</ul> + +<p>直ちに linux-2.6 パッケージをアップグレードすることを勧めます。</p> + +<p>些細な表面的ミスがありました。申し訳ありません:</p> + +<p>以下は debian/changelog では 2.6.32-48squeeze10 +で修正されたことになっていますが、実際には +2.6.32-48squeeze9 に取り込まれていました:</p> + +<ul> + <li>vlan: ダウンしているインターフェイスのフラグの変更を伝搬させないように</li> + <li>sctp: 2.6.32.62 での不適切なバックポートで生じたメモリの二重開放を修正</li> + <li>md/raid6: 2.6.32.64 で誤って適用されたバックポートを修正</li> + <li>block: 欠けていた blk_queue_dead() のチェックを追加</li> + <li>block: blk_execute_rq_nowait() のデッドキュー処理を修正</li> + <li>proc connector: proc_exit_connector() 中の不要な memset を削除</li> +</ul> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-118.data" + diff --git a/japanese/lts/security/2014/dla-119.wml b/japanese/lts/security/2014/dla-119.wml new file mode 100644 index 00000000000..74feb5327aa --- /dev/null +++ b/japanese/lts/security/2014/dla-119.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Evgeny Kotkov さんが、Apache ウェブサーバでリポジトリを提供するのに利用する +Subversion の構成要素 mod_dav_svn での REPORT +リクエストの処理に NULL ポインタ参照を発見しています。 +リモートの攻撃者がこの脆弱性を悪用してサービス拒否を起こすことが可能です。</p> + +<p>直ちに subversion パッケージをアップグレードすることを勧めます。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は subversion +バージョン 1.6.12dfsg-7+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-119.data" + diff --git a/japanese/lts/security/2014/dla-120.wml b/japanese/lts/security/2014/dla-120.wml new file mode 100644 index 00000000000..3023865ba6b --- /dev/null +++ b/japanese/lts/security/2014/dla-120.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この勧告は <a href="../2015/dla-120">DLA-120-2</a> +によって置き換えられました。参考までに前の勧告を再掲します。</p> + +<p>IOActive の Ilja van Sprundel さんが X.org X +サーバにセキュリティ問題を複数発見しています。 +特権の昇格やサービス拒否につながる可能性があります。</p> + + +<p>旧安定版 (oldstable) ディストリビューション (squeeze) +では、この問題はバージョン 2:1.7.7-18+deb6u1 で修正されています。</p> + +<p>直ちに xorg-server パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-120.data" + diff --git a/japanese/lts/security/2014/dla-121.wml b/japanese/lts/security/2014/dla-121.wml new file mode 100644 index 00000000000..6f23c875f0f --- /dev/null +++ b/japanese/lts/security/2014/dla-121.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Google セキュリティチームの Jose Duart さんが、JPEG-2000 +ファイルを操作するライブラリ JasPer に二重解放の欠陥 (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-8137">CVE-2014-8137</a>) +及びヒープベースのバッファオーバーフローの欠陥 (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-8138">CVE-2014-8138</a>) +を発見しています。特別に細工したファイルにより、JasPer +を利用しているアプリケーションのクラッシュや、 +潜在的には任意のコードの実行を引き起こすことが可能です。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は jasper +バージョン 1.900.1-7+squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-121.data" + diff --git a/japanese/lts/security/2014/dla-122.wml b/japanese/lts/security/2014/dla-122.wml new file mode 100644 index 00000000000..68af2deddfd --- /dev/null +++ b/japanese/lts/security/2014/dla-122.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>nss_dns の getnetbyname での無限ループを回避 [<a +href="https://sourceware.org/bugzilla/show_bug.cgi?id=17630">BZ #17630</a>]</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は eglibc +バージョン 2.11.3-4+deb6u3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-122.data" + diff --git a/japanese/lts/security/2014/dla-123.wml b/japanese/lts/security/2014/dla-123.wml new file mode 100644 index 00000000000..75fcdfb792b --- /dev/null +++ b/japanese/lts/security/2014/dla-123.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>上流リビジョン <a href="https://sourceforge.net/p/firebird/code/60322/">60322</a> +のパッチを適用し、認証不要なリモートからの NULL ポインタ参照によるクラッシュを修正。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は firebird2.5 バージョン +2.5.0.26054~ReleaseCandidate3.ds2-1+squeeze2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-123.data" + diff --git a/japanese/lts/security/2014/dla-124.wml b/japanese/lts/security/2014/dla-124.wml new file mode 100644 index 00000000000..882c8a6a272 --- /dev/null +++ b/japanese/lts/security/2014/dla-124.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Google セキュリティチームの Michele Spagnuolo さんが、.zip +形式で圧縮されたアーカイブを展開するユーティリティ unzip に問題を発見しています。 +CRC32 検証関数内でのヒープベースのバッファオーバーフロー (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-8139">CVE-2014-8139</a>) +や test_compr_eb() 関数での範囲外書き込み (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-8140">CVE-2014-8140</a>)、 +getZip64Data() 関数での範囲外読み取り (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-8141">CVE-2014-8141</a>) +が任意のコードの実行につながる可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は unzip +バージョン 6.0-4+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-124.data" + diff --git a/japanese/lts/security/2014/dla-125.wml b/japanese/lts/security/2014/dla-125.wml new file mode 100644 index 00000000000..421e05ce6cf --- /dev/null +++ b/japanese/lts/security/2014/dla-125.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Timothy D. Morgan さんが、mailcap +ファイルの項目を経由してプログラムを実行するユーティリティ +run-mailcap がファイル名中のシェルメタ文字を経由した +シェルコマンド差し込みを起こしやすいことを発見しています。特定の筋書きで、 +この欠陥は攻撃者にリモートからの任意のコードの実行を許す可能性があります。</p> + +<p>旧安定版 (oldstable) ディストリビューション (squeeze) +では、この問題はバージョン 3.48-1+deb6u1 で修正されています。</p> + +<p>直ちに mime-support パッケージをアップグレードすることを勧めます。</p> + +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-125.data" + diff --git a/japanese/lts/security/2014/dla-126.wml b/japanese/lts/security/2014/dla-126.wml new file mode 100644 index 00000000000..bac079b759d --- /dev/null +++ b/japanese/lts/security/2014/dla-126.wml @@ -0,0 +1,32 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>セキュリティ脆弱性を修正しています:</p> + +<ul> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9380">CVE-2014-9380</a> + (バッファ範囲外読み取り)</li> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9381">CVE-2014-9381</a> + (符号の誤り)</li> +</ul> + +<p>上流からのパッチ: <a +href="https://www.obrela.com/blog/article/16/obrela-security-industries-advisory-osi-1402/">\ +https://www.obrela.com/blog/article/16/obrela-security-industries-advisory-osi-1402/</a></p> + +<ul> +<li><a href="https://github.com/Ettercap/ettercap/pull/608">\ + 6b196e011fa456499ed4650a360961a2f1323818 pull/608</a></li> +<li><a href="https://github.com/Ettercap/ettercap/pull/609">\ + 31b937298c8067e6b0c3217c95edceb983dfc4a2 pull/609</a></li> +</ul> + +<p>この問題の発見、修正をともに担当してくれた Nick Sampanis さんに感謝します。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は ettercap +バージョン 1:0.7.3-2.1+squeeze2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-126.data" + diff --git a/japanese/lts/security/2014/dla-17.wml b/japanese/lts/security/2014/dla-17.wml new file mode 100644 index 00000000000..3d52a0a4159 --- /dev/null +++ b/japanese/lts/security/2014/dla-17.wml @@ -0,0 +1,23 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>以前 Debian squeeze にあった Tor バージョン +0.2.2.39 は上流ではサポートされなくなっています。</p> + +<p>この更新で Tor の現在の安定版 0.2.4.23 が Debian squeeze に入ります。</p> + +<p>変更点は、より強い暗号プリミティブの利用、 +巨大数を解放前に常にクリアし、鍵の中身がメモリに残らないように、 +クライアント側のDNSキャッシュを無効化する等の手法による複数のリンク性を軽減、heartbleed +によって潜在的に侵害されている認証局署名鍵をブラックリスト、 +ディレクトリ権威サーバ一覧を更新、その他にも多数あります。</p> + +<p>直ちに tor パッケージをアップグレードすることを勧めます。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は tor +バージョン 0.2.4.23-1~deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-17.data" + diff --git a/japanese/lts/security/2014/dla-20.wml b/japanese/lts/security/2014/dla-20.wml new file mode 100644 index 00000000000..4ef4f52d9ff --- /dev/null +++ b/japanese/lts/security/2014/dla-20.wml @@ -0,0 +1,29 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>[ Christoph Biedl ]</p> +<ul> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3512">CVE-2012-3512</a>: + munin-node: プラグイン状態ディレクトリのルートを新しく、uid 0 + の所有とすることで状態ファイルの処理の安全性を向上した。 + 各プラグインは自身のUIDが所有するUIDと同名のプラグイン状態ディレクトリで動作することになります + (#684075, #679897)。</li> +<li>プラグイン: 実行時に $ENV{MUNIN_PLUGSTATE} を使うようにした。 + それにより、適切に書かれたプラグインは全て、これからは + /var/lib/munin-node/plugin-state/$uid/$some_file を使うことになります。 + /var/lib/munin/plugin-state/ をまだ使っているプラグインがあれば、 + セキュリティの危険を引き起こす可能性があるので報告してください!</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6048">CVE-2013-6048</a>: + munin#1397: + 悪意のあるノードによってプラグインが実行されているノード全体のデータ収集が停止。</li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6359">CVE-2013-6359</a>: + プラグインのサービス名を確認。</li> +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は munin +バージョン 1.4.5-3+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-20.data" + diff --git a/japanese/lts/security/2014/dla-23.wml b/japanese/lts/security/2014/dla-23.wml new file mode 100644 index 00000000000..379a2ba2446 --- /dev/null +++ b/japanese/lts/security/2014/dla-23.wml @@ -0,0 +1,35 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1741">CVE-2013-1741</a> + + <p>64ビットコンピュータ上での証明書解析に memset の暴走があり、4Gbの + null を書き込もうとすることによりクラッシュにつながります。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-5606">CVE-2013-5606</a> + + <p>verifylog モードでの証明書の検証で検証エラーを返さず、 + アプリケーション側でログを見て状態を判断することを期待していました。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1491">CVE-2014-1491</a> + + <p>Diffie-Hellman + 鍵交換での公開値に対する制限が欠けているためチケット処理保護機構を迂回します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1492">CVE-2014-1492</a> + + <p>ワイルドカード証明書に対する IDNA ドメイン名照合が誤っているため、 + 特別に細工した無効な証明書を有効だと見なしてしまいます。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は nss +バージョン 3.12.8-1+squeeze8 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-23.data" + diff --git a/japanese/lts/security/2014/dla-24.wml b/japanese/lts/security/2014/dla-24.wml new file mode 100644 index 00000000000..cd1aa5e241d --- /dev/null +++ b/japanese/lts/security/2014/dla-24.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>poppler が、エラーが起きた状況でもプログラムの実行結果を +libjpeg ライブラリに返してしまうことが発見されました。 +これはライブラリが想定していない挙動で、 +アプリケーションのクラッシュや潜在的にはコードの実行につながります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は poppler +バージョン 0.12.4-1.2+squeeze4 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-24.data" + diff --git a/japanese/lts/security/2014/dla-25.wml b/japanese/lts/security/2014/dla-25.wml new file mode 100644 index 00000000000..aa032ae10ba --- /dev/null +++ b/japanese/lts/security/2014/dla-25.wml @@ -0,0 +1,34 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>DLA-25-1 での python2.6 の更新にリグレッションが確認されています。 +アップグレード時には<q>os</q>モジュールをインポートしていなかった python +アプリケーションがアップグレード後にインポートするようになった場合に、 +異常終了を引き起こす可能性があります。この更新ではその問題を修正します。</p> + +<p>参考までに前の勧告を再掲します。</p> + +<p>python2.6 に複数の脆弱性が発見されました:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4238">CVE-2013-4238</a> + + <p>証明書ホスト名中にある NUL + バイトの誤った処理のため、信頼済み認証局により署名された、 + 特別に細工した証明書経由で、サーバの偽装を許す可能性があります。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1912">CVE-2014-1912</a> + + <p>socket.recvfrom_into にバッファオーバーフローがあり、 + アプリケーションのクラッシュや潜在的にはコードの実行につながります。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は python2.6 +バージョン 2.6.6-8+deb6u2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-25.data" + diff --git a/japanese/lts/security/2014/dla-26.wml b/japanese/lts/security/2014/dla-26.wml new file mode 100644 index 00000000000..281704372a0 --- /dev/null +++ b/japanese/lts/security/2014/dla-26.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>python-scipy が一時ディレクトリを正しく扱っていないことが発見されました。 +任意のコードの実行を許す可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は python-scipy +バージョン 0.7.2+dfsg1-1+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-26.data" + diff --git a/japanese/lts/security/2014/dla-27.wml b/japanese/lts/security/2014/dla-27.wml new file mode 100644 index 00000000000..575c5c93e01 --- /dev/null +++ b/japanese/lts/security/2014/dla-27.wml @@ -0,0 +1,60 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>様々なサービス拒否攻撃を修正:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3487">CVE-2014-3487</a> + + <p>cdf_read_property_info + 関数がストリームのオフセットを適切に検証していないため、細工した + CDF ファイルを経由したサービス拒否 (アプリケーションのクラッシュ) + をリモートの攻撃者に許します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3480">CVE-2014-3480</a> + + <p>cdf.c の cdf_count_chain 関数がセクタ数データを適切に検証していないため、 + 細工した CDF ファイルを経由したサービス拒否 + (アプリケーションのクラッシュ) をリモートの攻撃者に許します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3479">CVE-2014-3479</a> + + <p>cdf.c の cdf_check_stream_offset + 関数が誤ったセクタサイズのデータに依存しているため、 + ストリームのオフセットを細工した CDF ファイルを経由したサービス拒否 + (アプリケーションのクラッシュ) をリモートの攻撃者に許します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3478">CVE-2014-3478</a> + + <p>softmagic.c の mconvert 関数にバッファオーバーフローがあり、細工した + Pascal 文字列を FILE_PSTRING での変換に渡すことでサービス拒否 + (アプリケーションのクラッシュ) をリモートの攻撃者に許します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0238">CVE-2014-0238</a> + + <p>cdf.c の cdf_read_property_info 関数に [(1) ゼロ長の (2) 長すぎる] + 値を渡す手法により、サービス拒否 (無限ループや範囲外メモリアクセス) + をリモートの攻撃者に許します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0237">CVE-2014-0237</a> + + <p>cdf.c の cdf_unpack_summary_info 関数で多数の + file_printf 呼び出しを誘発させることにより、サービス拒否 + (性能低下) をリモートの攻撃者に許します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0207">CVE-2014-0207</a> + + <p>cdf.c の cdf_read_short_sector 関数に細工した CDF + ファイルを処理させることでサービス拒否 (アサート失敗及びアプリケーションの終了) + をリモートの攻撃者に許します。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は file +バージョン 5.04-5+squeeze6 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-27.data" + diff --git a/japanese/lts/security/2014/dla-28.wml b/japanese/lts/security/2014/dla-28.wml new file mode 100644 index 00000000000..45560fefd1a --- /dev/null +++ b/japanese/lts/security/2014/dla-28.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>augeas による設定ファイルの保存に複数の競合状態が発見されました。 +シンボリックリンク攻撃の恐れがあります。 +攻撃者は設定ファイルが置かれているディレクトリへの書き込み権限が必要です。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は augeas +バージョン 0.7.2-1+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-28.data" + diff --git a/japanese/lts/security/2014/dla-29.wml b/japanese/lts/security/2014/dla-29.wml new file mode 100644 index 00000000000..4e3c7ac1375 --- /dev/null +++ b/japanese/lts/security/2014/dla-29.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>puppet パッケージが /var/log/puppet +ディレクトリの権限及び所有者を制限していないことが発見されました。 +機密情報暴露の可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は puppet +バージョン 2.6.2-5+squeeze10 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-29.data" + diff --git a/japanese/lts/security/2014/dla-30.wml b/japanese/lts/security/2014/dla-30.wml new file mode 100644 index 00000000000..2c9d0ce4485 --- /dev/null +++ b/japanese/lts/security/2014/dla-30.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>CESG が acpi-support に競合状態を発見しました。root +を含めた異なるユーザでの任意のコードの実行を権限のないユーザに許す可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は acpi-support +バージョン 0.137-5+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-30.data" + diff --git a/japanese/lts/security/2014/dla-31.wml b/japanese/lts/security/2014/dla-31.wml new file mode 100644 index 00000000000..1029d09ed81 --- /dev/null +++ b/japanese/lts/security/2014/dla-31.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p><a href="https://security-tracker.debian.org/tracker/CVE-2014-0479">CVE-2014-0479</a>: +compare_versions で任意のコードを実行できたのを修正。 +中間攻撃者がバージョン番号中にシェルのメタ文字を配置し、 +任意のコードを実行することが可能です。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は reportbug +バージョン 4.12.6+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-31.data" + diff --git a/japanese/lts/security/2014/dla-32.wml b/japanese/lts/security/2014/dla-32.wml new file mode 100644 index 00000000000..4474101dbcf --- /dev/null +++ b/japanese/lts/security/2014/dla-32.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<p>Abhiskek Arya さんが NetScape Portable Runtime (NSPR) ライブラリの cvt_t() +関数に範囲外書き込みを発見しました。任意のコードの実行につながる可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は nspr +バージョン 4.8.6-1+squeeze2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-32.data" + diff --git a/japanese/lts/security/2014/dla-33.wml b/japanese/lts/security/2014/dla-33.wml new file mode 100644 index 00000000000..14f231ee2e8 --- /dev/null +++ b/japanese/lts/security/2014/dla-33.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>脆弱性の詳細な説明は <a +href="https://www.openssl.org/news/secadv_20140806.txt">\ +https://www.openssl.org/news/secadv_20140806.txt</a> にあります。</p> + +<p>openssl パッケージだけでなく libssl0.9.8 +パッケージもアップグレードすることが大切です。</p> + +<p>openssl にリンクしている全アプリケーションの再起動が必要です。debian-goodies +パッケージの<q>checkrestart</q>ツールを使って影響のあるプログラムを検出できます。 +また、システムをリブートする方法もあります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は openssl +バージョン 0.9.8o-4squeeze17 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-33.data" + diff --git a/japanese/lts/security/2014/dla-34.wml b/japanese/lts/security/2014/dla-34.wml new file mode 100644 index 00000000000..71401ce0bb4 --- /dev/null +++ b/japanese/lts/security/2014/dla-34.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<p>Martin Holst Swende さんが、mod_security +が<q>chunked</q>リクエストを処理する方法に欠陥を発見しました。 +リモートの攻撃者がこの欠陥を悪用し、 +mod_security で意図した制限を迂回することが可能で、mod_security +により削除されているはずの内容を収録したリクエストを送れるようになります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は libapache-mod-security +バージョン 2.5.12-1+squeeze4 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-34.data" + diff --git a/japanese/lts/security/2014/dla-35.wml b/japanese/lts/security/2014/dla-35.wml new file mode 100644 index 00000000000..0e9bea92011 --- /dev/null +++ b/japanese/lts/security/2014/dla-35.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>lzo1x_decompress_safe() に整数オーバーフローがあり、 +サービス拒否やコードの実行を許していたのを修正。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は lzo2 +バージョン 2.03-2+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-35.data" + diff --git a/japanese/lts/security/2014/dla-36.wml b/japanese/lts/security/2014/dla-36.wml new file mode 100644 index 00000000000..4a3f4ec7e74 --- /dev/null +++ b/japanese/lts/security/2014/dla-36.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>GCM (Galois Counter Mode、ガロアカウンタモード) +が有効になっているサーバ (及びクライアント) に対するサービス拒否。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は polarssl +バージョン 1.2.9-1~deb6u2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-36.data" + diff --git a/japanese/lts/security/2014/dla-37.wml b/japanese/lts/security/2014/dla-37.wml new file mode 100644 index 00000000000..c5722cece71 --- /dev/null +++ b/japanese/lts/security/2014/dla-37.wml @@ -0,0 +1,54 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Kerberos の MIT による実装である krb5 に複数の脆弱性が発見されました。The +Common Vulnerabilities and Exposures project は以下の問題を認識しています:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4341">CVE-2014-4341</a> + + <p>バッファの終端を超えて読み込もうとして不正なメモリを参照するため、正規に確立した + GSSAPI アプリケーションセッションにパケットを差し込む能力のある、 + 認証していないリモートの攻撃者がプログラムのクラッシュを引き起こすことが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4342">CVE-2014-4342</a> + + <p>バッファの終端を超えて読み込もうとして不正なメモリを参照、あるいは + NULL ポインタ参照を引き起こすことにより、正規に確立した + GSSAPI アプリケーションセッションにパケットを差し込む能力のある、 + 認証していないリモートの攻撃者がプログラムのクラッシュを引き起こすことが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4343">CVE-2014-4343</a> + + <p>パケットを GSSAPI + アクセプターから来たように偽装する能力のある、認証していないリモートの攻撃者が、 + 基礎となる機構としてイニシエーターが提示したものとは異なる機構を返すことにより + SPNEGO 機構を利用している GSSAPI イニシエーター (クライアント) + でメモリの二重開放の状況を引き起こすことが可能です。 + リモートの攻撃者がこの欠陥を悪用し、 + アプリケーションのクラッシュや潜在的には任意の\ + コードの実行を引き起こすことが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4344">CVE-2014-4344</a> + + <p>認証していないあるいは部分的に認証済みのリモートの攻撃者が、SPNEGO + ネゴシエーション中にイニシエーターからアクセプターへの + 2回目以降のコンテキストとして空文字列を送ることにより、 + NULL ポインタ参照やアプリケーションのクラッシュを引き起こすことが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4345">CVE-2014-4345</a> + + <p>KDCデータベースに LDAP を利用するように kadmind + が設定されている場合、認証済みのリモートの攻撃者が範囲外書き込み + (バッファオーバーフロー) を引き起こすことが可能です。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は krb5 +バージョン 1.8.3+dfsg-4squeeze8 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-37.data" + diff --git a/japanese/lts/security/2014/dla-38.wml b/japanese/lts/security/2014/dla-38.wml new file mode 100644 index 00000000000..8a41d68dca6 --- /dev/null +++ b/japanese/lts/security/2014/dla-38.wml @@ -0,0 +1,29 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<ul> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5161">CVE-2014-5161</a>, + <a href="https://security-tracker.debian.org/tracker/CVE-2014-5162">CVE-2014-5162</a>: + + <p>Catapult DCT2000 及び IrDA dissector でバッファアンダーランの可能性。 + 悪意のあるパケットを経路に差し込むか、 + 誰かを騙して悪意のあるパケット追跡ファイルを読み取らせることにより、Wireshark + をクラッシュさせることが可能です。</p></li> + + <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5163">CVE-2014-5163</a>: + + <p>GSM 管理 dissector がクラッシュする可能性。 + 悪意のあるパケットを経路に差し込むか、 + 誰かを騙して悪意のあるパケット追跡ファイルを読み取らせることにより、Wireshark + をクラッシュさせることが可能です。</p></li> +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は wireshark +バージョン 1.2.11-6+squeeze15 で修正されています。</p> + +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-38.data" + diff --git a/japanese/lts/security/2014/dla-39.wml b/japanese/lts/security/2014/dla-39.wml new file mode 100644 index 00000000000..68f1cd3d6ab --- /dev/null +++ b/japanese/lts/security/2014/dla-39.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Tomáš Trnka さんが、アプリケーション向けに GnuPG +にアクセスしやすくするように設計されたライブラリである GPGME の gpgsm +状態ハンドラにヒープベースのバッファオーバーフローを発見しました。 +攻撃者がこの問題を悪用して GPGME を利用しているアプリケーションのクラッシュ +(サービス拒否) や潜在的には任意のコードを実行することが可能です。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は gpgme1.0 +バージョン 1.2.0-1.2+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-39.data" + diff --git a/japanese/lts/security/2014/dla-40.wml b/japanese/lts/security/2014/dla-40.wml new file mode 100644 index 00000000000..6fc5b88583a --- /dev/null +++ b/japanese/lts/security/2014/dla-40.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>セキュリティ問題が監視システムの視覚化ウェブインターフェイス Cacti に複数 +(クロスサイトスクリプティングや入力のサニタイジング欠落、SQLインジェクション) +発見されています。</p> + +<p>さらに、前のセキュリティ更新での <a +href="https://security-tracker.debian.org/tracker/CVE-2014-4002">CVE-2014-4002</a> +の修正がプラグインシステムを使っている人にとってのリグレッションを発生させたため、 +それに対する上流の修正も取り込まれています。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は cacti +バージョン 0.8.7g-1+squeeze5 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-40.data" + diff --git a/japanese/lts/security/2014/dla-41.wml b/japanese/lts/security/2014/dla-41.wml new file mode 100644 index 00000000000..8b54ebf6aab --- /dev/null +++ b/japanese/lts/security/2014/dla-41.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Andrew Drake さんが、Python の画像処理ライブラリの +icns デコーダーに入力のサニタイジング欠落を発見しました。 +悪意のある画像を処理した際にサービス拒否の可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は python-imaging +バージョン 1.1.7-2+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-41.data" + diff --git a/japanese/lts/security/2014/dla-42.wml b/japanese/lts/security/2014/dla-42.wml new file mode 100644 index 00000000000..e983f005f66 --- /dev/null +++ b/japanese/lts/security/2014/dla-42.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Live システムプロジェクトの Debian Live に対して脆弱性が報告されています。 +SSHサーバを収録した Live +イメージは、既定値のユーザ名及びパスワードによるログインをデフォルトで許可します。 +この修正では /etc/ssh/sshd_config のパスワード認証を<q>no</q>に設定します。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は live-config +バージョン 2.0.15-1.1+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-42.data" + diff --git a/japanese/lts/security/2014/dla-43.wml b/japanese/lts/security/2014/dla-43.wml new file mode 100644 index 00000000000..c434f473feb --- /dev/null +++ b/japanese/lts/security/2014/dla-43.wml @@ -0,0 +1,33 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0475">CVE-2014-0475</a> + +<p>Stephane Chazelas さんが、GNU C ライブラリ glibc +がロケールに関連する環境変数のパスの<q>..</q>の部分を処理してしまうことを発見しました。 +潜在的には攻撃者が細工したロケール設定を提供できるものと仮定して、 +OpenSSH の ForceCommand 等の意図した制限の迂回を攻撃者に許します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5119">CVE-2014-5119</a> + +<p>Tavis Ormandy さんが、Debian 版の GNU C ライブラリである eglibc +の翻字モジュールを読み込むコードにヒープベースのバッファオーバーフローを発見しています。 +結果として、細工した iconv 関連の文字変換関数への対象文字セット引数を\ +提供できる攻撃者が任意のコードの実行に成功する可能性があります。</p> + +<p>この更新により、ローダブルな gconv +翻字モジュールのサポートが削除されています。このセキュリティ脆弱性以外に、 +モジュール読み込みコードには意図した目的のために動作しない機能的な不具合がありました。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は eglibc +バージョン 2.11.3-4+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-43.data" + diff --git a/japanese/lts/security/2014/dla-44.wml b/japanese/lts/security/2014/dla-44.wml new file mode 100644 index 00000000000..a5dc8439fd3 --- /dev/null +++ b/japanese/lts/security/2014/dla-44.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Wordperfect の細工した .WPD +文書を経由した、リモートの攻撃者による任意のコードの実行を修正。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は libwpd +バージョン 0.8.14-1+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-44.data" + diff --git a/japanese/lts/security/2014/dla-45.wml b/japanese/lts/security/2014/dla-45.wml new file mode 100644 index 00000000000..c44d15ba31b --- /dev/null +++ b/japanese/lts/security/2014/dla-45.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<p><a href="https://security-tracker.debian.org/tracker/CVE-2014-3609">CVE-2014-3609</a>: +Range ヘッダ処理でのサービス拒否。</p> + +<p>バイト範囲の値が識別不可能な Range ヘッダは無視します。squid +がバイト範囲の値を判断できない場合にはそのヘッダを無効なものとして扱います。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は squid3 +バージョン 3.1.6-1.2+squeeze4 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-45.data" + diff --git a/japanese/lts/security/2014/dla-46.wml b/japanese/lts/security/2014/dla-46.wml new file mode 100644 index 00000000000..bcf90967244 --- /dev/null +++ b/japanese/lts/security/2014/dla-46.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Boris <q>pi</q> Piwinger さんと Tavis Ormandy さんが、procmail の +formail ユーティリティが特別に細工したメールアドレスヘッダを処理する際の +ヒープオーバーフロー脆弱性を報告しています。リモートの攻撃者がこの欠陥を悪用して +formail のクラッシュを引き起こすことが可能で、 +サービス拒否やデータ消失、潜在的には任意のコードの実行につながります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は procmail +バージョン 3.22-19+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-46.data" + diff --git a/japanese/lts/security/2014/dla-47.wml b/japanese/lts/security/2014/dla-47.wml new file mode 100644 index 00000000000..80298ca9e21 --- /dev/null +++ b/japanese/lts/security/2014/dla-47.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>vararg 関数のスタックオーバーフローを修正。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は lua5.1 +バージョン 5.1.4-5+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-47.data" + diff --git a/japanese/lts/security/2014/dla-48.wml b/japanese/lts/security/2014/dla-48.wml new file mode 100644 index 00000000000..5e294cb148e --- /dev/null +++ b/japanese/lts/security/2014/dla-48.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>NSEC3 による署名済みゾーンの問い合わせを処理する際のサービス拒否攻撃を修正。 +bin/named/query.c で範囲の重複する memcpy 呼び出しを行わないことで修正としています。 +パッチは Ubuntu セキュリティチームの Marc Deslauriers さんによる +USN-2081-1 への 9.8.6-P2 をバックポートしました。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は bind9 バージョン +9.7.3.dfsg-1~squeeze12 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-48.data" + diff --git a/japanese/lts/security/2014/dla-49.wml b/japanese/lts/security/2014/dla-49.wml new file mode 100644 index 00000000000..c99cc613e15 --- /dev/null +++ b/japanese/lts/security/2014/dla-49.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Raphael Geissert さんが、EDFのレビューで acpi-support +パッケージがユーザの環境から取得したデータを適切に処理していないことを発見しました。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は acpi-support +バージョン 0.137-5+deb6u2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-49.data" + diff --git a/japanese/lts/security/2014/dla-50.wml b/japanese/lts/security/2014/dla-50.wml new file mode 100644 index 00000000000..ddeec0a2132 --- /dev/null +++ b/japanese/lts/security/2014/dla-50.wml @@ -0,0 +1,34 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3538">CVE-2014-3538</a> + + <p>file が正規表現による検索の際にデータ量を適切に制限していないため、 + リモートの攻撃者がサービス拒否 (CPU 消費) を引き起こすことが可能でした。</p></li> + + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3587">CVE-2014-3587</a> + + <p>cdf.c の cdf_read_property_info + 関数に整数オーバーフローがあり、リモートの攻撃者にサービス拒否 + (アプリケーションのクラッシュ) を許していました。</p></li> + +</ul> + +<p><b>注意</b>: wheezy の 5.11-2+deb7u4 (<a href="./dsa-3021">DSA-3021-1</a>) +で修正された他の7件の問題は2014年7月、5.04-5+squeeze6 (<a href="./dla-27">DLA 27-1</a>) +で既に処理されています。また、それから行われた変更の副次的な影響による修正として、 +一部ファイルの MIME 種類検出が改善し、<q>application/octet-stream</q> +からもっと明確な<q>application/x-dosexec</q>や +<q>application/x-iso9660-image</q>と判定するようになっています。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は file +バージョン 5.04-5+squeeze7 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-50.data" + diff --git a/japanese/lts/security/2014/dla-51.wml b/japanese/lts/security/2014/dla-51.wml new file mode 100644 index 00000000000..559e2b13137 --- /dev/null +++ b/japanese/lts/security/2014/dla-51.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Jean-René Reinhard さんと Olivier Levillain +さんと Florian Maury さんが GnuPG、GNU Privacy Guard +が特定の壊れている圧縮データパケットを適切に解析していないことを報告しています。 +リモートの攻撃者がこの欠陥を悪用し、GnuPG +に対して無限ループを引き起こすことによるサービス拒否を仕掛けることが可能です。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は gnupg2 +バージョン 2.0.14-2+squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-51.data" + diff --git a/japanese/lts/security/2014/dla-52.wml b/japanese/lts/security/2014/dla-52.wml new file mode 100644 index 00000000000..2a970f196eb --- /dev/null +++ b/japanese/lts/security/2014/dla-52.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>ia32-libs 及び ia32-libs-gtk パッケージは64ビットのシステムで利用するための +様々なライブラリの32ビット版を収録しています。この更新には Squeeze LTS +開始以降に行われた収録ライブラリへのセキュリティ修正が全て盛り込まれています。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は ia32-libs 及び +ia32-libs-gtk のバージョン 20140911 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-52.data" + diff --git a/japanese/lts/security/2014/dla-53.wml b/japanese/lts/security/2014/dla-53.wml new file mode 100644 index 00000000000..cb78652a25c --- /dev/null +++ b/japanese/lts/security/2014/dla-53.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>高レベルパッケージマネージャAPTに複数の問題が発見されました。 +未承認のデータを適切に破棄していない (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-0488">\ +CVE-2014-0488</a>)、304応答の検証を誤っている (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-0487">\ +CVE-2014-0487</a>)、Acquire::GzipIndexes オプション利用時に +チェックサムの確認を行っていない (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-0489">\ +CVE-2014-0489</a>)。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は apt +バージョン 0.8.10.3+squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-53.data" + diff --git a/japanese/lts/security/2014/dla-54.wml b/japanese/lts/security/2014/dla-54.wml new file mode 100644 index 00000000000..45a25e5149c --- /dev/null +++ b/japanese/lts/security/2014/dla-54.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Genkin さんと Pipman さん、Tromer さんが、Elgamal 暗号化サブ鍵へのサイドチャネル攻撃 +(<a href="https://security-tracker.debian.org/tracker/CVE-2014-5270">CVE-2014-5270</a>) +を発見しました。</p> + +<p>この更新ではさらに、鍵サーバからの応答を扱う際の GnuPG +の挙動を強化しています。GnuPG は現在鍵サーバの応答を選別し、 +ユーザにより実際にリクエストされた鍵のIDだけを受け付けるようになっています。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は gnupg +バージョン 1.4.10-4+squeeze6 で修正されています。</p> + +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-54.data" + diff --git a/japanese/lts/security/2014/dla-55.wml b/japanese/lts/security/2014/dla-55.wml new file mode 100644 index 00000000000..659a4678968 --- /dev/null +++ b/japanese/lts/security/2014/dla-55.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Antoine Delignat-Lavaud さんが、複数の<q>server</q>ブロックで同一の +ssl_session_cache または ssl_session_ticket_key +を共有している場合にSSLセッションを無関係の文脈で再利用できることを発見しました。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は nginx +バージョン 0.7.67-3+squeeze4 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-55.data" + +キャッシュされた発見しています。 +設定によっては、 +ネットワーク上の権限のある地位にいる攻撃者による仮想ホスト混乱攻撃を許します。</p> diff --git a/japanese/lts/security/2014/dla-56.wml b/japanese/lts/security/2014/dla-56.wml new file mode 100644 index 00000000000..dc3c9ed69b4 --- /dev/null +++ b/japanese/lts/security/2014/dla-56.wml @@ -0,0 +1,18 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>複数のセキュリティ問題がウェブ上のブログ管理ツール Wordpress +に発見されました。サービス拒否や情報漏洩につながります。</p> + +<p>さらなる情報が上流の勧告 +<a href="https://wordpress.org/news/2014/08/wordpress-3-9-2/">\ +https://wordpress.org/news/2014/08/wordpress-3-9-2/</a> にあります。</p> + + +<p>Debian 6<q>Squeeze</q>では、この問題は wordpress +バージョン 3.6.1+dfsg-1~deb6u5 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-56.data" + diff --git a/japanese/lts/security/2014/dla-57.wml b/japanese/lts/security/2014/dla-57.wml new file mode 100644 index 00000000000..3b8225f0457 --- /dev/null +++ b/japanese/lts/security/2014/dla-57.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Struts ActionForm オブジェクトにアクセス確認が欠けていることが発見されました。 +任意のコードの実行につながる可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は libstruts1.2-java +バージョン 1.2.9-4+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-57.data" + diff --git a/japanese/lts/security/2014/dla-58.wml b/japanese/lts/security/2014/dla-58.wml new file mode 100644 index 00000000000..166b52e8e57 --- /dev/null +++ b/japanese/lts/security/2014/dla-58.wml @@ -0,0 +1,38 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新では apt が If-Range クエリーを送信する際に不正な HTTP +リクエストを送る 0.8.10.3+squeeze5 によるリグレッションを修正します。</p> + +<p>参考までに前の勧告を再掲します。</p> + +<p>Google セキュリティチームが apt-get の HTTP +転送コードにバッファオーバーフローの脆弱性を発見しています。apt リポジトリへの HTTP +リクエストの中間で攻撃可能な攻撃者がバッファオーバーフローを引き起こすことが可能で、apt +の<q>http</q>メソッドバイナリのクラッシュや、 +潜在的には任意のコードの実行につながります。</p> + +<p>この更新では以下のリグレッションの修正が収録されています:</p> + +<ul> + <li><p>apt の Dir::state::lists + 設定オプションで独自に相対パスがセットされている場合の前の <a + href="dla-53">DLA-53-1</a> での更新によるリグレッション + (#762160) を修正しています。</p></li> + + <li><p>ハッシュサムについての誤った警告につながる可能性のある + cdrom: ソースの再検証処理のリグレッションを修正しています。 + 影響のあるユーザは更新の適用後に<q>apt-cdrom + add</q>を再び実行する必要があります。</p></li> + + <li><p>apt の状態ディレクトリとは異なるパーティションのソースを + file:/// で利用している場合の前の <a href="dla-53">DLA-53-1</a> + での更新によるリグレッションを修正しています。</p></li> +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は apt +バージョン 0.8.10.3+squeeze6 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-58.data" diff --git a/japanese/lts/security/2014/dla-59.wml b/japanese/lts/security/2014/dla-59.wml new file mode 100644 index 00000000000..90e4e4db2f3 --- /dev/null +++ b/japanese/lts/security/2014/dla-59.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<p>Stephane Chazelas さんが GNU Bourne-Again Shell bash +に、環境変数の処理方法に関連する脆弱性を発見しました。 +多くの一般的な設定で、特に bash がシステムシェルに設定されている場合、 +この脆弱性はネットワーク経由で悪用可能となります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は bash +バージョン 4.1-3+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-59.data" + diff --git a/japanese/lts/security/2014/dla-60.wml b/japanese/lts/security/2014/dla-60.wml new file mode 100644 index 00000000000..30324f89705 --- /dev/null +++ b/japanese/lts/security/2014/dla-60.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>クラシックUI版の問題が2件修正されています:</p> + +<ul> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7108">CVE-2013-7108</a>: + process_cgivars() でメモリへのアクセスを誤るのを修正。</li> + <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1878">CVE-2014-1878</a>: + cmd.cgi でのバッファオーバーフローの可能性を回避。</li> +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は icinga +バージョン 1.0.2-2+squeeze2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-60.data" + diff --git a/japanese/lts/security/2014/dla-61.wml b/japanese/lts/security/2014/dla-61.wml new file mode 100644 index 00000000000..251f6b828ae --- /dev/null +++ b/japanese/lts/security/2014/dla-61.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p><a href="https://security-tracker.debian.org/tracker/CVE-2014-5269">CVE-2014-5269</a>: +Plack::App::File は以前、指定されたパスの末尾からスラッシュ「/」を除去していました。 +これは特定の状況で意図しないファイルの提供につながります。 +詳細については <a href="https://github.com/plack/Plack/pull/446">https://github.com/plack/Plack/pull/446</a> +を見てください。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は libplack-perl +バージョン 0.9941-1+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-61.data" + diff --git a/japanese/lts/security/2014/dla-62.wml b/japanese/lts/security/2014/dla-62.wml new file mode 100644 index 00000000000..a8cfa10f89a --- /dev/null +++ b/japanese/lts/security/2014/dla-62.wml @@ -0,0 +1,26 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Inria の Antoine Delignat-Lavaud さんが、署名で利用される ASN.1 +データを NSS (Mozilla ネットワークセキュリティサービスライブラリ) +が解析する方法に問題を発見しました。 +これにより、署名の偽造攻撃に対して脆弱となります。</p> + +<p>攻撃者は ASN.1 データを細工し、 +信頼されている認証局への有効な証明書チェーンを使って +RSA証明書を改ざんすることが可能です。</p> + +<p>この更新ではNSSライブラリのこの問題を修正します。</p> + +<p>iceweasel にも <a +href="https://security-tracker.debian.org/tracker/CVE-2014-1568">CVE-2014-1568</a> +の影響がありますが、Squeeze(-LTS) +でのサポートは終了しているため修正されないことに注意してください。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は nss +バージョン 3.12.8-1+squeeze9 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-62.data" + diff --git a/japanese/lts/security/2014/dla-63.wml b/japanese/lts/security/2014/dla-63.wml new file mode 100644 index 00000000000..f4882708d7d --- /dev/null +++ b/japanese/lts/security/2014/dla-63.wml @@ -0,0 +1,23 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Tavis Ormandy さんが、<a href="dla-59">DLA-59-1</a> +で発表された GNU Bourne-Again Shell bash の <a +href="https://security-tracker.debian.org/tracker/CVE-2014-6271">CVE-2014-6271</a> +に対する修正のために適用されたパッチが不完全で、 +別の環境で一部の文字を差し込めることを発見しています (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-7169">CVE-2014-7169</a>)。 +この更新では強化策として、 +環境変数名にシェル関数名が含まれる場合に名前の前後に文字が追加されるようになっています。</p> + +<p>追加で、この問題に対する Red Hat の内部分析で明らかとなり、それとは別に +Todd Sabin さんからも報告された、bash +パーサでの範囲外配列へのアクセスが2件修正されています。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は bash +バージョン 4.1-3+deb6u2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-63.data" + diff --git a/japanese/lts/security/2014/dla-64.wml b/japanese/lts/security/2014/dla-64.wml new file mode 100644 index 00000000000..20a666a3f4c --- /dev/null +++ b/japanese/lts/security/2014/dla-64.wml @@ -0,0 +1,18 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<p><a href="https://security-tracker.debian.org/tracker/CVE-2014-3613">CVE-2014-3613</a></p> + + <p>受け取った HTTP クッキーの解析時に部分的なIP + アドレスのドメイン名を適切に検出、拒否しないために、libcurl + に誤ったサイトにクッキーを送信させる、 + あるいは任意のサイトに他のサイトのクッキーをセットさせることを許します。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は curl +バージョン 7.21.0-2.1+squeeze9 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-64.data" + diff --git a/japanese/lts/security/2014/dla-65.wml b/japanese/lts/security/2014/dla-65.wml new file mode 100644 index 00000000000..0081b310960 --- /dev/null +++ b/japanese/lts/security/2014/dla-65.wml @@ -0,0 +1,96 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新では reverse() が外部URLを生成する問題、 +ファイルのアップロードに関するサービス拒否、 +ミドルウェアのリモートユーザに関わる潜在的なセッションハイジャック問題、 +管理用インターフェイスでのデータ漏洩に対処しています。</p> + +<p>この更新は Debian LTS スポンサー <a +href="http://www.freexian.com/services/debian-lts.html"> +http://www.freexian.com/services/debian-lts.html</a> のおかげで実現しました。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0480">CVE-2014-0480</a> + + <p>Django には補助関数 django.core.urlresolvers.reverse が収録され、view + 関数やURLパターン名への参照からURLを生成するのによく利用されます。しかし、reverse() + は連続する2つのスラッシュ文字 (//) + から始まる入力を渡すことで他のホストへのスキームからの相対URLを生成するため、 + reverse() の不安全な利用 + (つまり、一般的な例を挙げるとエンドユーザがリダイレクト先を制御できる状況) + を認識している攻撃者に任意のサイトへのリンク生成を許し、 + フィッシング (phishing) その他の攻撃が可能になります。</p> + + <p>この問題を改善するためURLの逆転処理ではURLが連続する2つのスラッシュ文字 + (//) で始まることのないよう、2つ目のスラッシュをURLエンコード形式 + (%2F) に置き換えています。この方法によって意味は同一のまま、 + スキームではなくドメインに対する相対URLを生成します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0481">CVE-2014-0481</a> + + <p>Django のファイルアップロード処理システムはデフォルト設定で、 + 既存のファイルと同一のディスク上のパス及び名前のファイルになります。 + (ディスクに置かれる) ファイル名の終わりにアンダースコア (_) + と整数値を付加することで新しい一意のファイル名を生成します。 + 既存のファイルと重ならない名前になるまで整数部は増やしていきます + (つまり _1、_2、等)。</p> + + <p>この知識のある攻撃者はファイル名を共有する多数の小さなファイルを + アップロードすることでファイル名生成の連続的な挙動を悪用できます。Django + はその処理で、一意のファイル名を生成しようとするたびに延々と増えてゆく回数 + os.stat() を呼び出すことになります。結果としてこういったアップロードでは、 + 比較的少ない回数であっても性能を著しく低下させる可能性があります。</p> + + <p>この問題を改善するため Django + のファイルアップロードシステムはディスク上のファイル名衝突を避けるために + 連続的な整数値を使うことはなくなり、 + 短い無作為の英数文字列を付加するようにすることで、 + 繰り返し衝突するファイル名を確実に多数生成する可能性を排除しています。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0482">CVE-2014-0482</a> + + <p>Django はミドルウェア django.contrib.auth.middleware.RemoteUserMiddleware + 及び認証目的で REMOTE_USER ヘッダを利用するその認証バックエンド + django.contrib.auth.backends.RemoteUserBackend を提供しています。</p> + + <p>このミドルウェア及びバックエンドを利用している場合、 + ある状況下で対応するログアウト/ログイン操作が介在することなく + REMOTE_USER ヘッダに変更が発生した場合に、 + あるユーザが別のユーザのセッションを受け取ってしまうことがあります。</p> + + <p>この問題を改善するため、明確なログアウトが行われることなく + REMOTE_USER に変更があった場合には、このミドルウェアが新しい REMOTE_USER + を受け付ける前にログアウトと続くログインを強制するようになっています。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0483">CVE-2014-0483</a> + + <p>Django の管理用インターフェイス django.contrib.admin + はポップアップウィンドウに関連項目の選択肢を表示する機能を提供します。 + そのための仕組みは、 + 表示する関連性モデルを指定するURL及びクエリー文字列中の値、 + 及びその関連性を実装しているフィールドに依存します。 + この仕組みはモデルクラス全体のレベルで権限確認を行います。</p> + + <p>しかし、この仕組みは指定されたフィールドが + モデル間の関連性を実際に表しているものであるということを検証していません。 + 管理インターフェイスへのアクセス権限があり、 + モデル構造と適切なURLについて十分に知識のあるユーザが、 + アプリケーションの開発者がそういった方法での公開を意図していないフィールド等、 + 関係のないフィールドの値を表示するポップアップ表示を構成することが可能です。</p> + + <p>この問題を改善するため、この管理インターフェイスでは通常の権限確認に加え、 + 指定されたフィールドが管理者に登録されたモデルとの関連性を + 実際に表しているかどうかを検証し、 + 真でない条件があれば例外を投げるようになっています。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は python-django +バージョン 1.2.3-3+squeeze11 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-65.data" + diff --git a/japanese/lts/security/2014/dla-66.wml b/japanese/lts/security/2014/dla-66.wml new file mode 100644 index 00000000000..33a3065bb04 --- /dev/null +++ b/japanese/lts/security/2014/dla-66.wml @@ -0,0 +1,23 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0231">CVE-2014-0231</a>: + <p>mod_cgid でのサービス拒否。</p></li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0226">CVE-2014-0226</a>: + <p>mod_status での競合条件を経由したサービス拒否。</p></li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0118">CVE-2014-0118</a>: + <p>mod_deflate での本文伸張を経由したリソース消費。</p></li> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6438">CVE-2013-6438</a>: + <p>mod_dav 文字列の終端を誤ることによるサービス拒否。</p></li> +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は apache2 +バージョン 2.2.16-6+squeeze13 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-66.data" + diff --git a/japanese/lts/security/2014/dla-67.wml b/japanese/lts/security/2014/dla-67.wml new file mode 100644 index 00000000000..b9dcb21b269 --- /dev/null +++ b/japanese/lts/security/2014/dla-67.wml @@ -0,0 +1,44 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3538">CVE-2014-3538</a> + + <p>元々 <a + href="https://security-tracker.debian.org/tracker/CVE-2013-7345">CVE-2013-7345</a> + で行われた修正が問題に対して十分に対処していなかったことが発見されました。 + この修正後も、リモートの攻撃者が awk + 正規表現規則の処理中にバックトレースを引き起こすよう特別に細工した入力ファイル\ + によりサービス拒否 (CPU 消費) を引き起こすことが可能でした。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3587">CVE-2014-3587</a> + + <p>fileinfo モジュールのCDFパーサが Composite Document File (CDF) + 形式の異常なファイルを適切に処理していないことが発見されました。 + クラッシュにつながります。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3597">CVE-2014-3597</a> + + <p>元々 <a + href="https://security-tracker.debian.org/tracker/CVE-2014-4049">CVE-2014-4049</a> + で行われた修正が問題に対して十分に対処していなかったことが発見されました。 + 悪意のあるサーバや中間の攻撃者が、細工した DNS TXT レコードによりサービス拒否 + (クラッシュ) や、潜在的には任意のコードを実行する可能性があります。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4670">CVE-2014-4670</a> + + <p>PHPが特定の SPL Iterator を誤って処理していることが発見されました。 + ローカルの攻撃者がこの欠陥を悪用してPHPのクラッシュを引き起こすことが可能で、 + サービス拒否につながります。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は php5 +バージョン 5.3.3-7+squeeze22 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-67.data" + diff --git a/japanese/lts/security/2014/dla-68.wml b/japanese/lts/security/2014/dla-68.wml new file mode 100644 index 00000000000..01102bfb232 --- /dev/null +++ b/japanese/lts/security/2014/dla-68.wml @@ -0,0 +1,32 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<ul> +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3875">CVE-2014-3875</a> + + <p>rup + へのリクエストにエンコードされた改行文字を差し込む際、ウェブページの冒頭に新しい + HTML コードを差し込むのと同様に、応答に追加の + HTTP ヘッダを差し込むことが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3876">CVE-2014-3876</a> + <p>パラメータ akey はフィルターを通さないまま HTML ページの一部となります。 + GETパラメータではURLとしてのフィルターが経由されるため使えない文字がありますが、 + POST パラメータを使った場合には迂回されます。しかし、GET パラメータだけでも + ユーザによるいくらかの操作を経由させることでこの問題の悪用が可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3877">CVE-2014-3877</a> + <p>パラメータ addto はわずかにフィルターを通しただけで + HTML ページの一部としてユーザに返されます。 + GETパラメータではURLとしてのフィルターが経由されるため使えない文字がありますが、 + POST パラメータを使った場合には迂回されます。しかし、GET パラメータだけでも + ユーザによるいくらかの操作を経由させることでこの問題の悪用が可能です。</p></li> +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は fex バージョン +20100208+debian1-1+squeeze4 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-68.data" + diff --git a/japanese/lts/security/2014/dla-69.wml b/japanese/lts/security/2014/dla-69.wml new file mode 100644 index 00000000000..a004e558ed7 --- /dev/null +++ b/japanese/lts/security/2014/dla-69.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Stefano Zacchiroli さんが、特定の javascript 入力ファイルによって +ctags がディスク容量を使い果たすまで無限ループに入ることを発見しました。 +この更新では javascript のパーサを修正します。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は exuberant-ctags +バージョン 1:5.8-3squeeze2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-69.data" + diff --git a/japanese/lts/security/2014/dla-70.wml b/japanese/lts/security/2014/dla-70.wml new file mode 100644 index 00000000000..49bd2a3f820 --- /dev/null +++ b/japanese/lts/security/2014/dla-70.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>duesenfranz さんが、trytond の safe_eval を悪用し、主に webdav +インターフェイスを経由して任意のコマンドを実行できることを発見しました。 +適用されたパッチにより、safe_eval では二重のアンダースコアを許可しないことで、 +異なるモデルから引き継いで二重に評価してしまうのを回避します。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は tryton-server +バージョン 1.6.1-2+squeeze2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-70.data" + diff --git a/japanese/lts/security/2014/dla-71.wml b/japanese/lts/security/2014/dla-71.wml new file mode 100644 index 00000000000..37971769c5e --- /dev/null +++ b/japanese/lts/security/2014/dla-71.wml @@ -0,0 +1,28 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新では apache2 のセキュリティ問題を2件修正しています。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-5704">CVE-2013-5704</a> + + <p>他のモジュールによって先に行われたヘッダ操作の回避に悪用できるため + HTTP ヘッダを HTTP トレイラーで置き換える可能性を無効化。 + 新しい MergeTrailers ディレクティブを使うことで以前の動作にもできます。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3581">CVE-2014-3581</a> + + <p>mod_cache を利用していてキャッシュされたリクエストに空の + Content-Type ヘッダが含まれると Apache + がセグメンテーション違反を起こす可能性があるサービス拒否を修正。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は apache2 +バージョン 2.2.16-6+squeeze14 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-71.data" + diff --git a/japanese/lts/security/2014/dla-72.wml b/japanese/lts/security/2014/dla-72.wml new file mode 100644 index 00000000000..d3b16176a96 --- /dev/null +++ b/japanese/lts/security/2014/dla-72.wml @@ -0,0 +1,33 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Wheezy のパッチでは Squeeze 版の imklog +モジュールに未解決シンボルが残ってしまっていました。 +カーネルからのメッセージに対応できないことを除けば rsyslog +は正常に動作していました。この更新ではその問題を修正します。</p> + +<p>参考までに前の勧告を再掲します。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3634">CVE-2014-3634</a> + + <p>PRI の値が不正な場合に適切でない処理をしていたことによるリモートの + syslog 脆弱性を修正。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3683">CVE-2014-3683</a> + + <p><a href="https://security-tracker.debian.org/tracker/CVE-2014-3634">CVE-2014-3634</a> + への修正の続きです。当初のパッチは不完全でした。PRI + の値が MAX_INT よりも大きい状況に対応していなかったため、 + その場合に整数オーバーフローして負の値になっていました。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は rsyslog +バージョン 4.6.4-2+deb6u2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-72.data" + diff --git a/japanese/lts/security/2014/dla-74.wml b/japanese/lts/security/2014/dla-74.wml new file mode 100644 index 00000000000..849f8d64ee7 --- /dev/null +++ b/japanese/lts/security/2014/dla-74.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新ではオプション解析での潜在的な整数オーバーフローを修正しています。</p> + +<p><q>dip</q>グループのユーザは 2GiB +を超える特別に細工した設定ファイルを提供して整数オーバーフローを発生させることが可能です。 +それにより攻撃者はヒープを上書きできるようになり、 +セキュリティ関連の変数の破損につながる可能性があります。</p> + +<p>詳細は上流のコミットを見てください: <a +href="https://github.com/paulusmack/ppp/commit/7658e8257183f062dc01f87969c140707c7e52cb"> +https://github.com/paulusmack/ppp/commit/7658e8257183f062dc01f87969c140707c7e52cb</a></p> + +<p>Debian 6<q>Squeeze</q>では、この問題は ppp +バージョン 2.4.5-4+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-74.data" + diff --git a/japanese/lts/security/2014/dla-75.wml b/japanese/lts/security/2014/dla-75.wml new file mode 100644 index 00000000000..ad4d4dbd16d --- /dev/null +++ b/japanese/lts/security/2014/dla-75.wml @@ -0,0 +1,38 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新では重大な脆弱性1件 (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-4274">CVE-2014-4274</a>) +他の些細な修正2件 (<a +href="https://security-tracker.debian.org/tracker/CVE-2013-2162">CVE-2013-2162</a>、<a +href="https://security-tracker.debian.org/tracker/CVE-2014-0001">CVE-2014-0001</a>) +をまとめて修正しています。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4274">CVE-2014-4274</a> + + <p>一時ファイルの不安全な処理のため、 + 攻撃者の制御下にあるプラグインディレクトリを指す mysql + 設定ファイルの作成を経由して任意のコードの実行につながる可能性があります。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2162">CVE-2013-2162</a> + + <p>debian.cnf 資格情報ファイルの安全でない作成。 + パッケージのインストール時にこのファイルを監視しているローカルユーザにより、 + 資格情報を盗聴される可能性があります。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0001">CVE-2014-0001</a> + + <p>割り当てられたバッファにとって大きすぎるバージョン文字列をサーバが送ってきた場合に + MySQL クライアントはバッファオーバーランを起こします。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は mysql-5.1 +バージョン 5.1.73-1+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-75.data" + diff --git a/japanese/lts/security/2014/dla-76.wml b/japanese/lts/security/2014/dla-76.wml new file mode 100644 index 00000000000..cfc411068b2 --- /dev/null +++ b/japanese/lts/security/2014/dla-76.wml @@ -0,0 +1,13 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>kdelibs の一部である KAuth が競合状態を起こしやすい方法で polkit +を利用していることが発見されました。認証の迂回を許す可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は kde4libs +バージョン 4:4.4.5-2+squeeze4 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-76.data" + diff --git a/japanese/lts/security/2014/dla-77.wml b/japanese/lts/security/2014/dla-77.wml new file mode 100644 index 00000000000..ca6c992d72a --- /dev/null +++ b/japanese/lts/security/2014/dla-77.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>ASN1 (抽象構文記法、Abstract Syntax Notation One) 構造を管理するライブラリ +libtasn1-3 に複数の脆弱性が発見されました。攻撃者が悪用し、範囲外アクセスや +NULL ポインタ参照を経由したサービス拒否を引き起こすことが可能です。</p> + + +<p>Debian 6<q>Squeeze</q>では、この問題は libtasn1-3 +バージョン 2.7-1+squeeze+2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-77.data" + diff --git a/japanese/lts/security/2014/dla-78.wml b/japanese/lts/security/2014/dla-78.wml new file mode 100644 index 00000000000..b11987f3193 --- /dev/null +++ b/japanese/lts/security/2014/dla-78.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Chad Vizino さんが PBS 派生のバッチ処理順次実行システム +torque に脆弱性を報告しています。非 root ユーザが +tm_adopt() ライブラリの呼び出しにあるこの欠陥を悪用し、root +所有プロセスを含めた、ジョブを実行中の任意のプロセスを終了させることが可能です。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は torque +バージョン 2.4.8+dfsg-9squeeze5 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-78.data" + diff --git a/japanese/lts/security/2014/dla-79.wml b/japanese/lts/security/2014/dla-79.wml new file mode 100644 index 00000000000..9721ec99175 --- /dev/null +++ b/japanese/lts/security/2014/dla-79.wml @@ -0,0 +1,32 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>LDAP 認証に Active Directory が利用されている場合に +wiki の認証を迂回できる可能性を修正しています。以下の CVE +2件はほぼ同一で一方は他方の上位集合となっています。ともに修正されています。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8763">CVE-2014-8763</a> + + <p>DokuWiki 2014-05-05b 以前では、LDAP 認証に Active + Directory を利用している場合に有効なユーザ名と null (\0) + 文字から始まるパスワードを経由してリモートの攻撃者に認証の迂回を許します。 + 非認証バインドを引き起こします。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8764">CVE-2014-8764</a> + + <p>DokuWiki 2014-05-05a 及びそれ以前では、LDAP 認証に + Active Directory を利用している場合に null (\0) + 文字から始まるユーザ名及びパスワードを経由してリモートの攻撃者に認証の迂回を許します。 + 匿名バインドを引き起こします。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は dokuwiki バージョン +0.0.20091225c-10+squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-79.data" + diff --git a/japanese/lts/security/2014/dla-80.wml b/japanese/lts/security/2014/dla-80.wml new file mode 100644 index 00000000000..bfb2a26a93f --- /dev/null +++ b/japanese/lts/security/2014/dla-80.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Sogeti さんが XML 及び HTML ファイルを読み書き、変更する機能を提供するライブラリ +libxml2 にサービス拒否の欠陥を発見しました。リモートの攻撃者が特別に細工した XML +ファイルを提供し、libxml2 を利用しているアプリケーションによって処理させることで、 +エンティティ置換が無効に設定されていても過剰なエンティティ置換が元となり、過剰な +CPU 消費 (サービス拒否) につながります。これはパーサのデフォルトの挙動です (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-3660">CVE-2014-3660</a>)。</p> + +<p>さらに、この更新では前のバージョン (#762864) +でリリースされ、誤って適用されたパッチ群に対処しています。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は libxml2 +バージョン 2.7.8.dfsg-2+squeeze10 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-80.data" + + diff --git a/japanese/lts/security/2014/dla-81.wml b/japanese/lts/security/2014/dla-81.wml new file mode 100644 index 00000000000..d402a281678 --- /dev/null +++ b/japanese/lts/security/2014/dla-81.wml @@ -0,0 +1,57 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>OpenSSL に複数の欠陥が発見されました。</p> + +<ul> + +<li><h3><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566">CVE-2014-3566</a> +(<q>POODLE</q>)</h3> + + <p>SSL 3.0 により暗号ブロック連鎖 (CBC) + モードでブロック暗号を使って暗号化されたメッセージの + 復号時に水増しバイトを処理する方法に欠陥が見つかりました。 + この欠陥により、中間の (MITM) + 攻撃者が攻撃対象者のアプリケーションに同一のデータを繰り返し新しく作成した + SSL 3.0 接続で強制的に送信させられる場合に、 + わずか256回の試行で暗号テキストの選択バイトの解読を許します。</p> + + <p>この更新では Fallback SCSV + のサポートを追加してこの問題を緩和しています。 + これは問題を修正するものではありません。 + この問題の適切な修正策は SSL 3.0 の無効化です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3567">CVE-2014-3567</a> + + <p>失敗したセッションチケットの整合性確認を OpenSSL + が処理する方法にメモリ漏洩の欠陥が見つかりました。 + リモートの攻撃者が無効なセッションチケットを大量に送ることで、SSL/TLS + や DTLS サーバの利用可能メモリを全て使い果たすことが可能です。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3568">CVE-2014-3568</a> + + <p>OpenSSL ビルド時のオプションとして「no-ssl3」が設定されている場合、 + サーバでは SSL 3.0 ハンドシェイクを受け付けて完了させ、 + クライアントではそれを送信するように設定することが可能です。</p> + + <p>Debian + のパッケージはビルドにこのオプションを指定していないことに注意してください。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3569">CVE-2014-3569</a> + + <p>OpenSSL ビルド時のオプションとして「no-ssl3」が設定されていて + SSL v3 クライアントハローを受け取った場合、SSL メソッドに NULL + がセットされ、後の NULL ポインタ参照につながる可能性があります。</p> + + <p>Debian + のパッケージはビルドにこのオプションを指定していないことに注意してください。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は openssl +バージョン 0.9.8o-4squeeze18 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-81.data" + diff --git a/japanese/lts/security/2014/dla-82.wml b/japanese/lts/security/2014/dla-82.wml new file mode 100644 index 00000000000..5e63a5a35a3 --- /dev/null +++ b/japanese/lts/security/2014/dla-82.wml @@ -0,0 +1,22 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Rapid7 の HD Moore さんが HTTP や HTTPS、FTP +経由でファイルを取得するコマンドラインユーティリティ Wget +にシンボリックリンク攻撃を発見しました。この脆弱性は Wget +が悪意のある FTP サーバに対して再帰モードで動作している場合に +ユーザのシステム上で任意のファイル作成を許します。 +任意のファイルを作成できることで、ユーザのファイルの内容を上書き、 +あるいはそのユーザの権限でリモートからのコードの実行を許します。</p> + +<p>この更新では Wget のデフォルト設定を変更し、 +シンボリックリンクを取得する際にローカルのシンボリックリンクを作成するのではなく、 +リンク先のファイルを追跡して取得するようになっています。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は wget +バージョン 1.12-2.1+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-82.data" + diff --git a/japanese/lts/security/2014/dla-83.wml b/japanese/lts/security/2014/dla-83.wml new file mode 100644 index 00000000000..c8cc53c5766 --- /dev/null +++ b/japanese/lts/security/2014/dla-83.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新では、今ではほぼ使われることのない 100 +超のコーデックやデコーダ、形式の ffmpeg による サポートを無効化します。 +squeeze で十分なサポートを得られる見込みはないものです。</p> + +<p>この更新の意図は攻撃対象領域を減らすだけです。</p> + +<p>squeeze-lts では ffmpeg のサポートはこれ以上行われず、 +信頼できないデータを扱うことは極力避けるべきです。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は ffmpeg +バージョン 4:0.5.10-1+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-83.data" + diff --git a/japanese/lts/security/2014/dla-84.wml b/japanese/lts/security/2014/dla-84.wml new file mode 100644 index 00000000000..a37128af4f1 --- /dev/null +++ b/japanese/lts/security/2014/dla-84.wml @@ -0,0 +1,20 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Symeon Paraschoudis さんが、URL 転送ライブラリ cURL の curl_easy_duphandle() +関数にバグを発見しています。最終的には libcurl が HTTP の POST +操作を行う際、送信を意図していない機密データの送信につながる可能性があります。</p> + +<p>このバグの再現にはは CURLOPT_COPYPOSTFIELDS と +curl_easy_duphandle() をこの順で、さらに HTTP POST +を実行するのに複製処理を行う、ということが要求されます。curl +コマンドラインツールはこの順で動作するようにはなっていないため、 +この問題による影響はありません。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は curl バージョン +7.21.0-2.1+squeeze10 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-84.data" + diff --git a/japanese/lts/security/2014/dla-85.wml b/japanese/lts/security/2014/dla-85.wml new file mode 100644 index 00000000000..04c41e99160 --- /dev/null +++ b/japanese/lts/security/2014/dla-85.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>James Forshaw さんが、Java 用の Apache Santuario XML Security で +CanonicalizationMethod パラメータが誤って検証されていることを発見しました。 +攻撃者は任意の弱い正規化アルゴリズムを指定することで XML 署名を偽装できます。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は libxml-security-java +バージョン 1.4.3-2+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-85.data" + diff --git a/japanese/lts/security/2014/dla-86.wml b/japanese/lts/security/2014/dla-86.wml new file mode 100644 index 00000000000..53a7626f7e9 --- /dev/null +++ b/japanese/lts/security/2014/dla-86.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Red Hat 製品セキュリティの Francisco Alonso さんが file +ユーティリティに問題を発見しています: ELF ファイルを調べる際に +note ヘッダを誤って解析しているため、潜在的には特別に細工した +ELF ファイルを提供することによるサービス拒否 +(範囲外読み取り及びアプリケーションのクラッシュ) を攻撃者に許します。</p> + +<p>長期サポート版ディストリビューション (squeeze-lts) +では、この問題は バージョン 5.04-5+squeeze8 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-86.data" + diff --git a/japanese/lts/security/2014/dla-87.wml b/japanese/lts/security/2014/dla-87.wml new file mode 100644 index 00000000000..10e9e1a19d9 --- /dev/null +++ b/japanese/lts/security/2014/dla-87.wml @@ -0,0 +1,32 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新では Alban Crequy さんと Simon McVittie +さんにより発見された複数の (ローカル) サービス拒否を修正しています。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3477">CVE-2014-3477</a> + + <p>アクセスを許されないユーザがいるシステムサービスを新しく有効化する際のサービス拒否 + (バス名取得に失敗) を修正。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3638">CVE-2014-3638</a> + + <p>接続ごとの応答保留最大数を減らし、 + アルゴリズム的複雑性攻撃によるサービス拒否を回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3639">CVE-2014-3639</a> + + <p>デーモンは認証されていない接続のスロット数を制限するようになったため、 + 悪意のあるプロセスがシステムバスへの新しい接続を妨害することはできなくなった。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は dbus +バージョン 1.2.24-4+squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-87.data" + diff --git a/japanese/lts/security/2014/dla-88.wml b/japanese/lts/security/2014/dla-88.wml new file mode 100644 index 00000000000..f172b087e5e --- /dev/null +++ b/japanese/lts/security/2014/dla-88.wml @@ -0,0 +1,51 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新では複数の、 +ローカル及びリモートのサービス拒否やリモートコードの実行の問題を修正しています:</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-0188">CVE-2011-0188</a> + +<p>適切にメモリを割り当てることで任意のコードの実行やアプリケーションのクラッシュを回避。 +報告: Drew Yao</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2686">CVE-2011-2686</a> + +<p>フォーク時に乱数種を再初期化して <a +href="https://security-tracker.debian.org/tracker/CVE-2003-0900">CVE-2003-0900</a> +類似の状況を回避。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2705">CVE-2011-2705</a> + +<p><abbr title="Pseudo Random Number Generator">PRNG</abbr> (擬似乱数発生器) +状態を変更し、分岐した同一PIDの子プロセスで乱数配列が繰り返されるのを回避。 +報告: Eric Wong</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-4815">CVE-2011-4815</a> + +<p>予測可能なハッシュ衝突の問題でサービス拒否 (CPU 消費) 攻撃につながるのを修正。 +報告: Alexander Klink, Julian Waelde</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8080">CVE-2014-8080</a> + +<p>REXML パーサを修正して細工した XML +文書を経由したメモリ消費によるサービス拒否を回避。 +報告: Willis Vandevanter</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8090">CVE-2014-8090</a> + +<p>REXML::Document#document を追加して <a +href="https://security-tracker.debian.org/tracker/CVE-2014-8080">CVE-2014-8080</a> +の修正を補完。報告: Tomas Hoger</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は ruby1.8 +バージョン 1.8.7.302-2squeeze3 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-88.data" + diff --git a/japanese/lts/security/2014/dla-89.wml b/japanese/lts/security/2014/dla-89.wml new file mode 100644 index 00000000000..17693a81a08 --- /dev/null +++ b/japanese/lts/security/2014/dla-89.wml @@ -0,0 +1,17 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Tyson Smith さんと Jesse Schwartzentruber +さんが、クロスプラットフォームのセキュリティに対応した +クライアント及びサーバアプリケーションの開発をサポートするように設計されたライブラリ群 +nss にメモリの開放後利用脆弱性を発見しました。信頼しているドメインから +NSSCertificate 構造体の適切でない削除を引き起こすことにより、 +リモートの攻撃者に任意のコードの実行を許します。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は nss +バージョン 3.12.8-1+squeeze10 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-89.data" + diff --git a/japanese/lts/security/2014/dla-90.wml b/japanese/lts/security/2014/dla-90.wml new file mode 100644 index 00000000000..b3875068c15 --- /dev/null +++ b/japanese/lts/security/2014/dla-90.wml @@ -0,0 +1,14 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>EXIF 組み込みプロパティの確認 (EXIF +ディレクトリオフセットは正の整数でないといけない) が欠けているため、細工した特別な +JPEG ファイルによりサービス拒否につながる可能性があります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は imagemagick +バージョン 8:6.6.0.4-3+squeeze5 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-90.data" + diff --git a/japanese/lts/security/2014/dla-92.wml b/japanese/lts/security/2014/dla-92.wml new file mode 100644 index 00000000000..be0fd07250a --- /dev/null +++ b/japanese/lts/security/2014/dla-92.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>この更新では tomcat-native を 1.1.20 (squeeze +でこれまで利用可能だったバージョン) から +1.1.31 にアップグレードすることとなります。 +バージョン間の変更の全容については +オンラインで利用できるようになっている上流の変更履歴を見てください: +<a href="http://tomcat.apache.org/native-doc/miscellaneous/changelog.html">\ +http://tomcat.apache.org/native-doc/miscellaneous/changelog.html</a></p> + +<p>この更新自体はセキュリティ問題を修正するものではありませんが、Squeeze +のバージョン 1.1.20 と Squeeze LTS の tomcat6 6.0.41 +の組み合わせは動作しないため、libtcnative-1 のユーザは更新が必要です。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-92.data" + diff --git a/japanese/lts/security/2014/dla-93.wml b/japanese/lts/security/2014/dla-93.wml new file mode 100644 index 00000000000..394ed090f2a --- /dev/null +++ b/japanese/lts/security/2014/dla-93.wml @@ -0,0 +1,15 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Daniel Genkin さんと Itamar Pipman さん、Eran Tromer さんが、libgcrypt11 +ライブラリを利用しているアプリケーションの Elgamal 暗号化サブキーが、例えば +GnuPG 2.x でのサイドチャネル攻撃を経由して漏洩することを発見しました。(<a +href="http://www.cs.tau.ac.il/~tromer/handsoff/">\ +http://www.cs.tau.ac.il/~tromer/handsoff/</a> 参照)。</p> + +<p>この問題は Squeeze ではバージョン 1.4.5-2+squeeze2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-93.data" + diff --git a/japanese/lts/security/2014/dla-94.wml b/japanese/lts/security/2014/dla-94.wml new file mode 100644 index 00000000000..8e0a4c5e4c1 --- /dev/null +++ b/japanese/lts/security/2014/dla-94.wml @@ -0,0 +1,38 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3668">CVE-2014-3668</a> + + <p><a href="https://bugs.php.net/bug.php?id=68027">#68027</a> + XMLRPC ライブラリの日付解析を修正</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3669">CVE-2014-3669</a> + + <p><a href="https://bugs.php.net/bug.php?id=68044">#68044</a> + unserialize() での整数オーバーフロー (32ビットのみ)</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3670">CVE-2014-3670</a> + + <p><a href="https://bugs.php.net/bug.php?id=68113">#68113</a> + exif_thumbnail() でのヒープ破損</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3710">CVE-2014-3710</a> + + <p><a href="https://bugs.php.net/bug.php?id=68283">#68283</a> + fileinfo: elf note ヘッダ の範囲外読み取り</p></li> + +</ul> + +<h3>追加のバグ修正</h3> +<p>ldap-fix.patch での LDAP バインディングの null バイト処理</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は php5 +バージョン 5.3.3-7+squeeze23 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-94.data" + diff --git a/japanese/lts/security/2014/dla-95.wml b/japanese/lts/security/2014/dla-95.wml new file mode 100644 index 00000000000..abc3ce1e311 --- /dev/null +++ b/japanese/lts/security/2014/dla-95.wml @@ -0,0 +1,24 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>clamav にバグが2件発見され、このリリースで修正されています。</p> + +<p>1つはこのパッケージに収録されているコマンドラインのアンチウイルススキャナ +clamscan で特定のファイルを走査した場合にクラッシュにつながる可能性 (<a +href="https://security-tracker.debian.org/tracker/CVE-2013-6497">CVE-2013-6497</a>)。 +もう1つは特別に細工した y0da Crypter による難読化 <abbr +title="Portable Excutable">PE</abbr> ファイルを走査した場合に libclamav +でヒープベースのバッファオーバーフローを引き起こす問題です (<a +href="https://security-tracker.debian.org/tracker/CVE-2014-9050">CVE-2014-9050</a>)。 +メールゲートウェイのスキャナとして ClamAV +を利用している場合はリモートから悪用可能であることに注意してください。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題は clamav +バージョン 0.98.1+dfsg-1+deb6u4 で修正されています。</p> + +<p>clamav を利用している場合はこのバージョンにアップグレードすることを強く勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-95.data" + diff --git a/japanese/lts/security/2014/dla-96.wml b/japanese/lts/security/2014/dla-96.wml new file mode 100644 index 00000000000..f55c65ba30a --- /dev/null +++ b/japanese/lts/security/2014/dla-96.wml @@ -0,0 +1,19 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>複数の欠陥が OpenJDK、Oracle Java +基盤の実装に発見されました。任意のコードの実行や Java +サンドボックスの突破、情報漏洩、サービス拒否につながります。</p> + +<p>Debian 6<q>Squeeze</q>では、この問題はバージョン +6b33-1.13.5-2~deb6u1 で修正されています。</p> + +<p>直ちに openjdk-6 パッケージをアップグレードすることを勧めます。また、<a +href="https://lists.debian.org/debian-lts/">https://lists.debian.org/debian-lts/</a> +を購読し、更新されたパッケージをリリースする前のテスト支援をお願いします。</p> + +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-96.data" + diff --git a/japanese/lts/security/2014/dla-97.wml b/japanese/lts/security/2014/dla-97.wml new file mode 100644 index 00000000000..bf3d197d154 --- /dev/null +++ b/japanese/lts/security/2014/dla-97.wml @@ -0,0 +1,43 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6656">CVE-2012-6656</a> + + <p>ibm930 から UTF-8 への変換時の有効性確認を修正。IBM930 コードを iconv() + で変換する場合に、<q>0xffff</q>を使った不正なマルチバイト文字が IBM930 + コードとして渡されると iconv() はセグメンテーション違反を起こします。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6040">CVE-2014-6040</a> + + <p>IBM gconv モジュールに不正な入力を与えることでクラッシュ [<a + href="https://sourceware.org/bugzilla/show_bug.cgi?id=17325">BZ #17325</a>]。 + この変更は <a + href="https://security-tracker.debian.org/tracker/CVE-2012-6656">CVE-2012-6656</a> + (<a href="https://sourceware.org/bugzilla/show_bug.cgi?id=14134">BZ #14134</a>) + の修正 (commit 6e230d11837f3ae7b375ea69d7905f0d18eb79e5) を基にしています。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7817">CVE-2014-7817</a> + + <p>wordexp() 関数が、「$((...``))」形式 + (「...」は演算式として有効であれば何でも可) で演算式が入力された場合の処理で + WRDE_NOCMD フラグを適切に扱えていません。WRDE_NOCMD + フラグによりコマンド置換を禁止している場合でも、 + 演算表現中のバッククオートはシェル中で評価されます。 + それにより、攻撃者は上記の形式で構成した表現を使って WRDE_NOCMD + フラグを迂回して危険なコマンドを渡すことが可能となります。このパッチは + exec_comm() 中のシェルを実行できる場所に限定して + WRDE_NOCMD を確認するように修正します。他での WRDE_NOCMD + の確認は必要のないものであるため削除されました。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は eglibc +バージョン 2.11.3-4+deb6u2 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-97.data" + diff --git a/japanese/lts/security/2014/dla-98.wml b/japanese/lts/security/2014/dla-98.wml new file mode 100644 index 00000000000..77a01ca8b6c --- /dev/null +++ b/japanese/lts/security/2014/dla-98.wml @@ -0,0 +1,16 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Dragana Damjanovic +さんが、認証済みのクライアントが4バイトに満たない制御パケットをペイロードとして送ることで、 +OpenVPN サーバをクラッシュさせられることを発見しています。</p> + +<p>旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題は +squeeze-lts のバージョン 2.1.3-2+squeeze3 で修正されています。</p> + +<p>直ちに openvpn パッケージをアップグレードすることを勧めます。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-98.data" + diff --git a/japanese/lts/security/2014/dla-99.wml b/japanese/lts/security/2014/dla-99.wml new file mode 100644 index 00000000000..cc63cce0120 --- /dev/null +++ b/japanese/lts/security/2014/dla-99.wml @@ -0,0 +1,31 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag description>LTS セキュリティ更新</define-tag> +<define-tag moreinfo> +<p>Google セキュリティチームの Michele Spagnuolo さんと Red Hat の Miroslav +Lichvar さんが、Free Lossless Audio Codec メディアを処理するライブラリ +flac に問題を2件発見しています: 特別に細工した FLAC +ファイルを提供することで攻撃者は任意のコードの実行が可能です。</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8962">CVE-2014-8962</a> + + <p>stream_decoder.c にヒープベースのバッファオーバーフローがあり、 + 特別に細工した .flac ファイルを経由して、 + リモートの攻撃者に任意のコードの実行を許します。</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9028">CVE-2014-9028</a> + + <p>stream_decoder.c にスタックベースのバッファオーバーフローがあり、 + 特別に細工した .flac ファイルを経由して、 + リモートの攻撃者に任意のコードの実行を許します。</p></li> + +</ul> + +<p>Debian 6<q>Squeeze</q>では、この問題は flac +バージョン 1.2.1-2+deb6u1 で修正されています。</p> +</define-tag> + +# do not modify the following line +#include "$(ENGLISHDIR)/lts/security/2014/dla-99.data" + diff --git a/japanese/lts/security/2014/index.wml b/japanese/lts/security/2014/index.wml new file mode 100644 index 00000000000..46298e1fb17 --- /dev/null +++ b/japanese/lts/security/2014/index.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag pagetitle>LTS Security Advisories from 2014</define-tag> +#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" +#use wml::debian::recent_list_security + +<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2014' ) :> + +<p><a href="https://lists.debian.org/debian-lts-announce/">\ +<strong>debian-lts-announce</strong></a> メーリングリストを講読すると、最新の +Debian セキュリティ情報を得ることができます。また、このメーリングリストの<a +href="https://lists.debian.org/debian-lts-announce/">\ +アーカイブを閲覧</a>することもできます。</p> diff --git a/japanese/lts/security/2015/Makefile b/japanese/lts/security/2015/Makefile new file mode 100644 index 00000000000..3b7e77d22dc --- /dev/null +++ b/japanese/lts/security/2015/Makefile @@ -0,0 +1 @@ +include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/lts/security/2015/index.wml b/japanese/lts/security/2015/index.wml new file mode 100644 index 00000000000..930cc6d29dd --- /dev/null +++ b/japanese/lts/security/2015/index.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag pagetitle>LTS Security Advisories from 2015</define-tag> +#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" +#use wml::debian::recent_list_security + +<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2015' ) :> + +<p><a href="https://lists.debian.org/debian-lts-announce/">\ +<strong>debian-lts-announce</strong></a> メーリングリストを講読すると、最新の +Debian セキュリティ情報を得ることができます。また、このメーリングリストの<a +href="https://lists.debian.org/debian-lts-announce/">\ +アーカイブを閲覧</a>することもできます。</p> diff --git a/japanese/lts/security/2016/Makefile b/japanese/lts/security/2016/Makefile new file mode 100644 index 00000000000..3b7e77d22dc --- /dev/null +++ b/japanese/lts/security/2016/Makefile @@ -0,0 +1 @@ +include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/lts/security/2016/index.wml b/japanese/lts/security/2016/index.wml new file mode 100644 index 00000000000..614108690f2 --- /dev/null +++ b/japanese/lts/security/2016/index.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag pagetitle>LTS Security Advisories from 2016</define-tag> +#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" +#use wml::debian::recent_list_security + +<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2016' ) :> + +<p><a href="https://lists.debian.org/debian-lts-announce/">\ +<strong>debian-lts-announce</strong></a> メーリングリストを講読すると、最新の +Debian セキュリティ情報を得ることができます。また、このメーリングリストの<a +href="https://lists.debian.org/debian-lts-announce/">\ +アーカイブを閲覧</a>することもできます。</p> diff --git a/japanese/lts/security/2017/Makefile b/japanese/lts/security/2017/Makefile new file mode 100644 index 00000000000..3b7e77d22dc --- /dev/null +++ b/japanese/lts/security/2017/Makefile @@ -0,0 +1 @@ +include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/lts/security/2017/index.wml b/japanese/lts/security/2017/index.wml new file mode 100644 index 00000000000..d5dbd4a7320 --- /dev/null +++ b/japanese/lts/security/2017/index.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag pagetitle>LTS Security Advisories from 2017</define-tag> +#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" +#use wml::debian::recent_list_security + +<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2017' ) :> + +<p><a href="https://lists.debian.org/debian-lts-announce/">\ +<strong>debian-lts-announce</strong></a> メーリングリストを講読すると、最新の +Debian セキュリティ情報を得ることができます。また、このメーリングリストの<a +href="https://lists.debian.org/debian-lts-announce/">\ +アーカイブを閲覧</a>することもできます。</p> diff --git a/japanese/lts/security/2018/Makefile b/japanese/lts/security/2018/Makefile new file mode 100644 index 00000000000..3b7e77d22dc --- /dev/null +++ b/japanese/lts/security/2018/Makefile @@ -0,0 +1 @@ +include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/lts/security/2018/index.wml b/japanese/lts/security/2018/index.wml new file mode 100644 index 00000000000..6ad33144ad0 --- /dev/null +++ b/japanese/lts/security/2018/index.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag pagetitle>LTS Security Advisories from 2018</define-tag> +#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" +#use wml::debian::recent_list_security + +<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2018' ) :> + +<p><a href="https://lists.debian.org/debian-lts-announce/">\ +<strong>debian-lts-announce</strong></a> メーリングリストを講読すると、最新の +Debian セキュリティ情報を得ることができます。また、このメーリングリストの<a +href="https://lists.debian.org/debian-lts-announce/">\ +アーカイブを閲覧</a>することもできます。</p> diff --git a/japanese/lts/security/2019/Makefile b/japanese/lts/security/2019/Makefile new file mode 100644 index 00000000000..3b7e77d22dc --- /dev/null +++ b/japanese/lts/security/2019/Makefile @@ -0,0 +1 @@ +include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/lts/security/2019/index.wml b/japanese/lts/security/2019/index.wml new file mode 100644 index 00000000000..758c0be4437 --- /dev/null +++ b/japanese/lts/security/2019/index.wml @@ -0,0 +1,12 @@ +#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" +<define-tag pagetitle>LTS Security Advisories from 2019</define-tag> +#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" +#use wml::debian::recent_list_security + +<:= get_directory_security_list ('.', '$(ENGLISHDIR)/lts/security/2019' ) :> + +<p><a href="https://lists.debian.org/debian-lts-announce/">\ +<strong>debian-lts-announce</strong></a> メーリングリストを講読すると、最新の +Debian セキュリティ情報を得ることができます。また、このメーリングリストの<a +href="https://lists.debian.org/debian-lts-announce/">\ +アーカイブを閲覧</a>することもできます。</p> |