[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[ORCA-ANNOUNCE:01353] セキュリティ情報◆[OSA 2008-021] ruby1.8

To: <orca-announce@xxxxxxxxxxxxxx>
Subject: [ORCA-ANNOUNCE:01353] セキュリティ情報◆[OSA 2008-021] ruby1.8
From: orca-announce@xxxxxxxxxxxxxx
Date: Tue, 4 Nov 2008 11:34:46 +0900

ORCAサポートセンタです。いつもお世話になっています。

sarge向けセキュリティアップデートパッケージを提供します。

---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2008-021 security _at_ orca.med.or.jp
http://www.orca.med.or.jp/orca/security/                      2008/11/04
---------------------------------------------------------------------------

Package         : ruby1.8
Vulnerability   : 複数の脆弱性
Problem type    : (ローカル) リモート
Debian-specific : いいえ

CVE ID : CVE-2008-3655 CVE-2008-3656 CVE-2008-3657 CVE-2008-3790CVE-2008-3905


Ruby 言語のインタープリタに、複数の問題が発見されました。これらの欠陥を攻撃
することにより、サービス拒否攻撃や他のセキュリティ問題が発生します。
The Common Vulnerabilities and Exposures project は以下の問題を認識していま
す。

CVE-2008-3655

 Keita Yamaguchi さんにより、セーフレベルの制限の適用が不十分であるこ
 とが発見されました。

CVE-2008-3656

 Christian Neukirchen さんにより、WebRick モジュールが HTTP ヘッダ分割
 の際に非効率なアルゴリズムを用いているため、リソース消費によるサービ
 ス拒否攻撃が可能であることが発見されました。

CVE-2008-3657

 dl モジュールが taint チェックを行っていないことが発見されました。

CVE-2008-3790

 Luka Treiber さんと Mitja Kolsek さんにより、再帰ネストされた XML エ
 ンティティにより、rexml でリソース消費によるサービス拒否攻撃が可能で
 あることが発見されました。

CVE-2008-3905

 田中 哲さんにより、resolv モジュールが DNS クエリ時にシーケンシャルな
 トランザクション ID と、固定ソースポートを用いているため、DNS スプー
 フィング攻撃が可能であることが発見されました。


ディストリビューション(sarge)では、この問題はバージョン  1.8.2-7sarge.orca10 で修正されています。

直ぐにパッケージをアップグレードすることを勧めます。

アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。

  deb http://ftp.orca.med.or.jp/pub/sarge-updates sarge main contrib non-free

  apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に加えて、

  apt-get update
          を実行して内部データベースを更新し、
  apt-get upgrade
    によって修正されたパッケージをインストールしてください。

Debian GNU/Linux 3.1 alias sarge
---------------------------------
 ソースアーカイブ:

   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/ruby1.8_1.8.2-7sarge.orca10.dsc
      Size/MD5 checksum: 776 7a09ae41afaa7ad9a8f759b86b2d10d3
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/ruby1.8_1.8.2.orig.tar.gz
      Size/MD5 checksum: 3623780 4bc5254bec262d18cf1ceef03aae8bdf
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/ruby1.8_1.8.2-7sarge.orca10.diff.gz
      Size/MD5 checksum: 557952 69e55921d952318803979d4bd565107b

アーキテクチャ非依存コンポーネント:

   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/ruby1.8-examples_1.8.2-7sarge.orca10_all.deb
      Size/MD5 checksum: 217750 6d88af26e1d8c6c3fc9cef8d2dc0d578
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/ruby1.8-elisp_1.8.2-7sarge.orca10_all.deb
      Size/MD5 checksum: 143880 a974803aa3fc0e26aa306f6bdf707e47
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/ri1.8_1.8.2-7sarge.orca10_all.deb
      Size/MD5 checksum: 705916 ff40a9ff881c3bb9f2180f63514dfdef
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/rdoc1.8_1.8.2-7sarge.orca10_all.deb
      Size/MD5 checksum: 235534 309c2ebfe6a3590205f31f4f2ecdcb25
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/irb1.8_1.8.2-7sarge.orca10_all.deb
      Size/MD5 checksum: 167608 3cff76080f2d8283fba3b823b8ed1345

Intel IA-32 アーキテクチャ:

   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/ruby1.8_1.8.2-7sarge.orca10_i386.deb
      Size/MD5 checksum: 152674 3b2bb890ac2c0231e9a85485de8316a8
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/libruby1.8_1.8.2-7sarge.orca10_i386.deb
      Size/MD5 checksum: 1351488 f900286991126e62e9b40a935629b836
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/libruby1.8-dbg_1.8.2-7sarge.orca10_i386.deb
      Size/MD5 checksum: 759742 20bf43698cb45a3c33c4dff448645fa6
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/ruby1.8-dev_1.8.2-7sarge.orca10_i386.deb
      Size/MD5 checksum: 623900 9130b01fa06ab68c3ef837363e70ed86
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/libdbm-ruby1.8_1.8.2-7sarge.orca10_i386.deb
      Size/MD5 checksum: 136208 6ac73a0cccd3cc823e59ee00b132c5b3
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/libgdbm-ruby1.8_1.8.2-7sarge.orca10_i386.deb
      Size/MD5 checksum: 137382 e831b889f39e249caa9898dfe8089518
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/libreadline-ruby1.8_1.8.2-7sarge.orca10_i386.deb
      Size/MD5 checksum: 133104 fe4f862ea234d6e1d32b797ad3187e94
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/libtcltk-ruby1.8_1.8.2-7sarge.orca10_i386.deb
      Size/MD5 checksum: 1441192 8ce6959945c48d3996d21742a463dcf8
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/r/ruby1.8/libopenssl-ruby1.8_1.8.2-7sarge.orca10_i386.deb
      Size/MD5 checksum: 226150 1d2754cad726346ec9f2a1de7b937a90

--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
T: 03-5319-4605 D-FAX: 020-4623-1358

Prev by Date: [ORCA-ANNOUNCE:01352] 地域公費更新◆日医標準レセプトソフト更新情報(福岡)
Next by Date: [ORCA-ANNOUNCE:01354] セキュリティ情報◆[OSA 2008-022] cupsys
Previous by thread: [ORCA-ANNOUNCE:01352] 地域公費更新◆日医標準レセプトソフト更新情報(福岡)
Next by thread: [ORCA-ANNOUNCE:01354] セキュリティ情報◆[OSA 2008-022] cupsys
Index(es):
- Date
- Thread