[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[ORCA-ANNOUNCE:02349] セキュリティ情報◆[OSA 2011-016] curl
- To: "orca-announce@xxxxxxxxxxxxxx" <orca-announce@xxxxxxxxxxxxxx>
- Subject: [ORCA-ANNOUNCE:02349] セキュリティ情報◆[OSA 2011-016] curl
- From: ORCAプロジェクトからのお知らせ <orca-announce@xxxxxxxxxxxxxx>
- Date: Fri, 12 Aug 2011 11:00:43 +0900
ORCAサポートセンタです。いつもお世話になっています。
本日、下記、セキュリティアップデートパッケージを提供しました。
---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2011-016 security _at_ orca.med.or.jp
http://www.orca.med.or.jp/orca/security/ 2011/08/12
---------------------------------------------------------------------------
Package : curl
Vulnerability : クライアント信任証明の不適切な委嘱処理
Problem type : リモート
Debian-specific : いいえ
CVE ID : CVE-2011-2192
Richard Silverman さんにより、GSSAPI 認証実行時に libcurl が信任証明
の委嘱を無条件に行っていることが発見されました。これにより、クライア
ントのセキュリティ信任証明の写しがサーバに渡されるため、サーバが同じ
GSSAPI メカニズムを使った処理でのなりすましを行うことができてしまい
ます。
これはあきらかに極めて機微な処理であり、ユーザの明示的な指示が内限り
行うべきではありません。
ディストリビューション(etch)では、この問題はバージョン 7.15.5-1orca.etch5
で修正されています。Ubuntu 8.10(hardy)ではUSN-1158-1で対応されていま
す。
直ぐにパッケージをアップグレードすることを勧めます。
アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。
deb http://ftp.orca.med.or.jp/pub/etch-updates etch main contrib non-free
apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に加えて、
apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。
Debian GNU/Linux 4.0 alias etch
---------------------------------
ソースアーカイブ:
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/curl_7.15.5-1orca.etch5.dsc
Size/MD5 checksum: 721 6fc9700be29f071cd86b2ff68e11829b
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/curl_7.15.5.orig.tar.gz
Size/MD5 checksum: 1897973 61997c0d852d38c3a85b445f4fc02892
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/curl_7.15.5-1orca.etch5.diff.gz
Size/MD5 checksum: 23433 ae26ec740f406c23472bc4f1ec9ab774
アーキテクチャ非依存コンポーネント:
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/libcurl3-dev_7.15.5-1orca.etch5_all.deb
Size/MD5 checksum: 22504 f754650a1ab7ad107af37aa2fa31315d
Intel IA-32 アーキテクチャ:
http://ftp.orca.---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2011-016 security _at_ orca.med.or.jp
http://www.orca.med.or.jp/orca/security/ 2011/08/12
---------------------------------------------------------------------------
Package : curl
Vulnerability : クライアント信任証明の不適切な委嘱処理
Problem type : リモート
Debian-specific : いいえ
CVE ID : CVE-2011-2192
Richard Silverman さんにより、GSSAPI 認証実行時に libcurl が信任証明
の委嘱を無条件に行っていることが発見されました。これにより、クライア
ントのセキュリティ信任証明の写しがサーバに渡されるため、サーバが同じ
GSSAPI メカニズムを使った処理でのなりすましを行うことができてしまい
ます。
これはあきらかに極めて機微な処理であり、ユーザの明示的な指示が内限り
行うべきではありません。
ディストリビューション(etch)では、この問題はバージョン 7.15.5-1orca.etch5
で修正されています。
直ぐにパッケージをアップグレードすることを勧めます。
アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。
deb http://ftp.orca.med.or.jp/pub/etch-updates etch main contrib non-free
apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に加えて、
apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。
Debian GNU/Linux 4.0 alias etch
---------------------------------
ソースアーカイブ:
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/curl_7.15.5-1orca.etch5.dsc
Size/MD5 checksum: 721 6fc9700be29f071cd86b2ff68e11829b
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/curl_7.15.5.orig.tar.gz
Size/MD5 checksum: 1897973 61997c0d852d38c3a85b445f4fc02892
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/curl_7.15.5-1orca.etch5.diff.gz
Size/MD5 checksum: 23433 ae26ec740f406c23472bc4f1ec9ab774
アーキテクチャ非依存コンポーネント:
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/libcurl3-dev_7.15.5-1orca.etch5_all.deb
Size/MD5 checksum: 22504 f754650a1ab7ad107af37aa2fa31315d
Intel IA-32 アーキテクチャ:
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/curl_7.15.5-1orca.etch5_i386.deb
Size/MD5 checksum: 163004 605b92f6f85810200287ade274096b84
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/libcurl3_7.15.5-1orca.etch5_i386.deb
Size/MD5 checksum: 169218 b0f695ccc0525c804b46a22fd52ce475
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/libcurl3-gnutls_7.15.5-1orca.etch5_i386.deb
Size/MD5 checksum: 163510 41c39043cc77e86d4470b8d94809da78
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/libcurl3-openssl-dev_7.15.5-1orca.etch5_i386.deb
Size/MD5 checksum: 765738 c6d328fb8605ef7521bbcac25c5070d1
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/libcurl3-gnutls-dev_7.15.5-1orca.etch5_i386.deb
Size/MD5 checksum: 759564 14135b86f3479922a8a60649814d34af
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/libcurl3-dbg_7.15.5-1orca.etch5_i386.deb
Size/MD5 checksum: 802588 a6b5eef6a8bb8a13774bf5ec47b1642f
これらのファイルは次のアップデートがリリースされると削除されます。
---
ORCA Projectmed.or.jp/pub/etch-updates/pool/main/c/curl/curl_7.15.5-1orca.etch5_i386.deb
Size/MD5 checksum: 163004 605b92f6f85810200287ade274096b84
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/libcurl3_7.15.5-1orca.etch5_i386.deb
Size/MD5 checksum: 169218 b0f695ccc0525c804b46a22fd52ce475
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/libcurl3-gnutls_7.15.5-1orca.etch5_i386.deb
Size/MD5 checksum: 163510 41c39043cc77e86d4470b8d94809da78
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/libcurl3-openssl-dev_7.15.5-1orca.etch5_i386.deb
Size/MD5 checksum: 765738 c6d328fb8605ef7521bbcac25c5070d1
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/libcurl3-gnutls-dev_7.15.5-1orca.etch5_i386.deb
Size/MD5 checksum: 759564 14135b86f3479922a8a60649814d34af
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/c/curl/libcurl3-dbg_7.15.5-1orca.etch5_i386.deb
Size/MD5 checksum: 802588 a6b5eef6a8bb8a13774bf5ec47b1642f
これらのファイルは次のアップデートがリリースされると削除されます。
--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
T: 03-5319-4605 D-FAX: 020-4623-1358