blob: 06f6dd9217723522bcec5687337c56a539c1fc7e (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
|
#use wml::debian::translation-check translation="c1c25263267467b181523864aaa70cd144954fd6"
<define-tag description>設計上の誤り</define-tag>
<define-tag moreinfo>
<p>Jonathan Dolle さんが HTTP::Body、HTTP POST リクエストからのデータを処理する
Perl モジュールに設計上の誤りを報告しています。HTTP::Body::Multipart
のパーサは一時ファイルを作成してアップロードされたファイルの接尾辞を保持しています。
HTTP::Body::Multipart を利用しているサービスにファイルをアップロードできる攻撃者は、
それ以上の確認が行われずにこの一時ファイル名がそれ以後のコマンドで利用された場合、
潜在的にサーバ上でコマンドを実行できます。</p>
<p>この更新では作成される一時ファイルで利用できる接尾辞を制限します。</p>
<p>旧安定版 (oldstable) ディストリビューション
(squeeze) にはこの問題による影響はありません。</p>
<p>安定版 (stable) ディストリビューション (wheezy)
では、この問題はバージョン 1.11-1+deb7u1 で修正されています。</p>
<p>テスト版 (testing) ディストリビューション (jessie)
では、この問題はバージョン 1.17-2 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid)
では、この問題はバージョン 1.17-2 で修正されています。</p>
<p>直ちに libhttp-body-perl パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2801.data"
|
