-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2003-59
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2003/10/20
 最終更新日   : 2003/10/20

 パッケージ名 : kdebase

 タイトル : KDM に２つの問題

 概要 : kdebase は、K ディスクトップ環境のコアアプリケーションです。

      KDM は MIT の pam_krb5 モジュールを使用した環境で、既存のユーザの有効なユーザ名と
      パスワードを用いてログインした場合、過度の権限を与えてしまいます。
      これは他の pam モジュールを使用した環境でも起こりうる可能性があります。

      KDM によって使用されるセッション・クッキー生成アルゴリズムが、
      あまりに弱いと考えられ、エントロピー 128 ビットを供給することが
      出来ていませんでした。


 影響 : ローカルユーザに root 権限を奪取される可能性があります。
      ログイン権限が無い第三者にセッション・クッキーを推測される可能性があります。

 影響製品 :

    - Turbolinux 8 Server
    - Turbolinux 8 Workstation
    - Turbolinux 7 Server
    - Turbolinux 7 Workstation

 対策方法 : 下記パッケージにアップデートを行って下さい。
          アップデートは turbopkg(zabom) コマンドを使用して行ってください。

 ----------------------------------------
 # turbopkg
 もしくは、
 # zabom update kdebase kdebase-devel
 ----------------------------------------

 turbopkg(zabom) が使用できない環境では、パッケージを個別にダウンロードし
 下記コマンドを実行して下さい。
 ----------------------------------------
 # rpm -Fvh kdebase-2.2.2-16.i586.rpm kdebase-devel-2.2.2-16.i586.rpm
 ----------------------------------------


 <Turbolinux 8 Server>

   Source Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/SRPMS/kdebase-2.2.2-16.src.rpm
     13104557 af04ccdf4ccf9720df849613b7c20866

   Binary Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/RPMS/kdebase-2.2.2-16.i586.rpm
     16158716 f5e1c81fd4ead3e1bf05f66569b3114e
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/RPMS/kdebase-devel-2.2.2-16.i586.rpm
        54350 f61ce9b68c463465ae5846f68879a24e

 <Turbolinux 8 Workstation>

   Source Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/8/updates/SRPMS/kdebase-2.2.2-16.src.rpm
     13104557 ec056e9910b8715a716bce2a4596fe07

   Binary Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/8/updates/RPMS/kdebase-2.2.2-16.i586.rpm
     16157388 79f26858cec0b67cb83097baf35f7ea0
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/8/updates/RPMS/kdebase-devel-2.2.2-16.i586.rpm
        54264 0687ccf6695c7f0c79cfcbb709e90506

 <Turbolinux 7 Server>

   Source Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/7/updates/SRPMS/kdebase-2.2.2-16.src.rpm
     13104557 75b7decef759e4cd9682c40f1e439bc2

   Binary Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/7/updates/RPMS/kdebase-2.2.2-16.i586.rpm
     15775946 917d992f65ac098ce3cc785650c83655
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/7/updates/RPMS/kdebase-devel-2.2.2-16.i586.rpm
        54281 7dada55383a049a4fd6c845a5013e7ea

 <Turbolinux 7 Workstation>

   Source Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/7/updates/SRPMS/kdebase-2.2.2-16.src.rpm
     13104557 b2912df0daf619ae9277cb9305a64896

   Binary Packages
   Size : MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/7/updates/RPMS/kdebase-2.2.2-16.i586.rpm
     15761012 c99d88aa9a2a5a2c6915986c3c2ba9d0
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/7/updates/RPMS/kdebase-devel-2.2.2-16.i586.rpm
        54299 5f9a84f714168c3b846eca52328ef5e0


 注意事項 : Turbolinux の標準ディスプレーマネージャーは GDM です。
          KDM を使用する場合は、TLBA-2003-6 も適用してください。
          この脆弱性は、ディスプレーマネージャーに KDM を使用している場合に存在します。

 [/etc/X11/launch_xdm.conf]
 - gdm を使用している場合の設定
 ---------------------------------------------
 /usr/bin/gdm -nodaemon
 ---------------------------------------------
 - kdm を使用している場合の設定
 ---------------------------------------------
 /usr/bin/kdm -nodaemon
 ---------------------------------------------

 関連文章 :

 KDE Security Advisory
   http://www.kde.org/info/security/advisory-20030916-1.txt

 CVE
   [CAN-2003-0690]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0690
   [CAN-2003-0692]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0692

 Turbolinux Bug Fix Advisory
   [TLBA-2003-5]
   http://www.turbolinux.co.jp/update/update_history/2003/TLBA-2003-6j.txt


 --------------------------------------------------------------------------
 更新履歴
   初版 2003/10/20
 --------------------------------------------------------------------------

 Copyright(C) 2003 Turbolinux, Inc. All rights reserved. 

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/k3c4K0LzjOqIJMwRApCIAJ0dghNHe1bad2u0hIQSk1K0bJ4vQgCgrKeh
GX8qkHFE7FxQQEIbZ7NfqGg=
=y7hO
-----END PGP SIGNATURE-----