blob: 58c15949e138c269382f54571a4d2f28447586f1 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
|
#use wml::debian::translation-check translation="0e248e3cc0255acdb2cac64b43e08665b631e6de"
<define-tag description>ホスト名およびユーザ名の不十分なチェック</define-tag>
<define-tag moreinfo>
<p>Patrice Fournier さんは、柔軟なクライアントサーバ FAX システムである hylafax
の認証サブシステム中に脆弱性を発見しました。ローカルおよびリモートのユーザが hosts.hfaxd
データベースの内容を推測し、システムに認証なしのアクセスが可能です。</p>
<p>実際のところ hylafax がインストールされたシステムのいくつかは、
認証に際してホスト名とユーザ名のチェックが不十分となっています。
例えば hosts.hfaxd のエントリは大抵以下の様になっています。</p>
<pre>
192.168.0
username:uid:pass:adminpass
user@host
</pre>
<p>更新後、動作を続けるためにエントリを変更する必要があります。
それぞれ、正しいエントリは以下の様になっている必要があります。</p>
<pre>
192.168.0.[0-9]+
username@:uid:pass:adminpass
user@host
</pre>
<p>"username" と "otherusername"、"host" と "hostname" が一致するのを望まない場合、
これらのエントリの正しい形は以下のようにデリミタとマーカを含んでいる必要があります。
</p>
<pre>
@192.168.0.[0-9]+$
^username@:uid:pass:adminpass
^user@host$
</pre>
<p>安定版ディストリビューション (stable、コードネーム woody)
では、この問題はバージョン 4.1.1-3.1 で修正されています。</p>
<p>不安定版ディストリビューション (unstable、コードネーム sid)
では、この問題はバージョン 4.2.1-1 で修正されています。</p>
<p>hylafax パッケージのアップグレードをお勧めします。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-634.data"
# $Id$
|