blob: b8e9874c07bf93a1f83a89698291689db0af7c00 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
|
#use wml::debian::translation-check translation="023e9a5865378046d0558188ac70e4f701b186d1"
<define-tag description>バッファオーバフロー</define-tag>
<define-tag moreinfo>
<p>ネットワークデーモン用の汎用 SSL
トンネルとして機能するように設計されたプログラム stunnel は、Microsoft
NT LAN Manager (NTLM) 認証 (<q>protocolAuthentication = NTLM</q>)
を <q>connect</q> プロトコルメソッド (<q>protocol = connect</q>)
とともに使用した場合にバッファオーバフローに対して脆弱です。64
ビットのホスト上でこの前提条件の下で stunnel4
を SSL クライアントモード (<q>client = yes</q>)
で使用した場合、攻撃者が指定されたプロキシサーバの制御、あるいは stunnel
とプロキシサーバの間の tcp セッションへの中間者攻撃が可能であれば、攻撃者は
stunnel プロセスの権限で任意のコードを実行できる可能性があります。</p>
<p>Note that テスト版 (testing) ディストリビューション (wheezy) および不安定版
(unstable) ディストリビューション (sid) では、stunnel4 はスタック破壊防護
(SSP) を有効にしてビルドされていることに注意してください。
これは任意のコードの実行に対する防護の助けになるはずです。</p>
<p>安定版 (stable) ディストリビューション (squeeze)
では、この問題はバージョン 3:4.29-1+squeeze1 で修正されています。</p>
<p>テスト版 (testing) ディストリビューション (wheezy)
では、この問題はバージョン 3:4.53-1.1 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid)
では、この問題はバージョン 3:4.53-1.1 で修正されています。</p>
<p>直ちに stunnel4 パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2664.data"
|
