blob: 9a376ae181a03ef19813dda9552f533e2b19fc64 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
|
#use wml::debian::translation-check translation="ffbe9426c64ff19b2983afc0eba5588a486c7cdb"
<define-tag description>任意のファイルアクセス</define-tag>
<define-tag moreinfo>
<p>David Kierznowski さんにより、マルチプロトコルファイル転送ライブラリ
libcurl で URL リダイレクトを自動的にたどる設定にした場合、新しいターゲ
ット位置を確認しないことが発見されました。libcurl では設定によりますが、
file:// や scp:// URLs をサポートしていますので、信用できないサーバから
の任意のローカルファイルの読み取りに悪用可能で、更に悪意を持って作成され
た URL リダイレクトにより任意のコードが実行可能です。</p>
<p>この更新では新規オプション CURLOPT_REDIR_PROTOCOLS が導入され、既定では
scp やファイルプロトコルハンドラを含まないようになっています。</p>
<p>旧安定版 (oldstable) ディストリビューション (etch) では、この問題はバー
ジョン 7.15.5-1etch2 で修正されています。</p>
<p>安定版 (stable) ディストリビューション (lenny) では、この問題はバージョン
7.18.2-8lenny2 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョ
ン 7.18.2-8.1 で修正されています。</p>
<p>直ぐに curl パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1738.data"
# $Id$
|
