Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-2022-JP
Message-ID:  <23668.963453435@ns.vicus-oryzae.com>
Date:         Thu, 13 Jul 2000 10:57:15 +0900
Reply-To: =?ISO-2022-JP?B?GyRCMHBCPBsoQiAbJEJNOhsoQiA=?= =JANE= <jane@VICUS-ORYZAE.COM>
Sender: BUGTRAQ-JP List <BUGTRAQ-JP@SECURITYFOCUS.COM>
From: =?ISO-2022-JP?B?GyRCMHBCPBsoQiAbJEJNOhsoQiA=?= =JANE= <jane@VICUS-ORYZAE.COM>
Subject:      Re: SecurityFocus.com Newsletter #49 2000-06-29 ->2000-07-05
To: BUGTRAQ-JP@SECURITYFOCUS.COM
In-Reply-To:  SAKAI Yoriyuki's message of "Wed, 12 Jul 2000 14:07:09 +0900." 
              <200007121407.EEC55963.LBJTB@lac.co.jp>

>>In Article <200007121407.EEC55963.LBJTB@lac.co.jp>,
>>	SAKAI Yoriyuki-san writes:

>typo と誤訳がありましたので差分をお送りします。

じゃ、もう少し。

♯直接リスト本体に送っても構わないとのことでしたので、こちらの
♯方に。

>XFree86 の 4.0.1 とそれ以前は、ソースからインストールをしたとき、
>オンラインマニュアルの別名を /usr/X11R6/man にインストールする前に一時
>ファイルを /tmp 中に生成する。

<XFree86 の 4.0.1 とそれ以前は、ソースからインストールする場合、オンライン
<マニュアルを /usr/X11R6/man にインストールするより前に、その別名を /tmp 上
<に一時ファイルとして生成する。

>この弱点を突いて攻撃を行うためには UIDを予測して、これらのファイルが削除さ
>れた後にファイル中のインストレーションスクリプトの作成と競合させる必要があ
>る。

<この弱点を突いて攻撃を行うためには UID の予測と、インストレーションスクリ
<プトによるこれらのファイルの削除およびその後の生成処理との競合を起こす必要
<がある。

>gccmakedep は /tmp をセキュアでないやり方で使用している。また、3.3.x 系
>では mktemp() をセキュアでないやり方で使用している。

<gccmakedep は /tmp をセキュアでないやり方で使用している。また、3.3.x 系
<では mktemp() を使用している。

>Linux の imake は tmpnam() を libc のバージョンを決定するためにセキュア
>でないやり方で使用している。また、4.0 バージョンでは、mktemp() を利用す
>る。これはファイル名を以後予測できるようにしてしまう。

<Linux の imake は libc のバージョンを決定する際、tmpnam() をセキュアでない
<やり方で使用している。また、4.0 バージョンでは、mktemp() を利用しているた
<め、ファイル名がさらに予測しやすくなっている。

>SILC (Secure Internet Live Conferencing) は、不安定なチャンネルの
>インターネットでの、セキュアなカンファレンスサービスを提供するプロ
>トコルです。

<SILC (Secure Internet Live Conferencing) は、セキュアでないチャン
<ネルの上のインターネットでセキュアなカンファレンスサービスを提供す
<るプロトコルです。

>SILC は、
>あらゆる方法で IRC を交換する意図があります。

<SILC には、IRC の置換えとなるというような意図はまったくありません。
--
稲村 雄 =JANE=