• お問い合わせ
  • ユーザー登録
セキュリティ
サポート案内 ユーザー登録 サポートセンター ドキュメント ダウンロード セキュリティ

>All Products
>Turbolinux Appliance Server 1.0
Hosting Edition
>Turbolinux Appliance Server 1.0
Workgroup Edition
>Turbolinux 10 Server
>ターボリナックスホーム
>Turbolinux 10 F...
>Turbolinux 10 Desktop
>Turbolinux Enterprise Server 8
>Turbolinux 8 Server
>Turbolinux 8 Workstation
>Turbolinux 7 Server
>Turbolinux 7 Workstaion
>Turbolinux Server 6.5
>Turbolinux Advanced Server 6.1
>Turbolinux Server 6.1
>Turbolinux Workstation 6.0

>RSS(RDF Site Summary)
>RSS 使用方法

>2004 Security Advisories
>2003 Security Advisories
>2002 Security Advisories
>2001 Security Advisories
>2000 Security Advisories

>サポートサービス期間
>セキュリティアナウンスの公開鍵
セキュリティ
 過去のセキュリティアナウンス
  2000 2001 2002 2003 2004

 CERT Coordination Center Advisory に対しての対応
  2003 2004


traceroute

一般ユーザーによるroot権限の奪取

リリース日付 : 2000-10-17

対策パッケージ : traceroute-1.4a5-9

問題点
traceroute実行時にある特定の組み合わせでオプションを指定すると、Segmentation falt が発生するという障害が報告されました。tracerouteコマンドには、setuidが設定されているので、悪意のあるローカル・ユーザーによってroot権限を奪取される可能性があります。

対策
以下のコマンドを実行し、バージョンをご確認ください。

# rpm -qa | grep traceroute

この問題に該当する場合は、最新パッケージをダウンロードし、以下のコマンドによってパッケージのアップデートを行ってください。
なお、バージョン番号については、ダウンロードしたパッケージ番号に読み替えて実行してください。

# rpm -Uvh traceroute-1.4a5-9.rpm

なお、/usr/sbin/traceroute のsuidビットをクリアすることによって、一時的にこの問題を回避することが可能ですが、この場合一般ユーザーによるtracerouteの使用が不可能になります。