[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[ORCA-ANNOUNCE:00660] セキュリティ情報◆[OSA 2006-012] New gnupg packages fix arbitrary code execution



ORCAサポートセンタです。いつもお世話になっています。

Woody向けセキュリティアップデートパッケージの提供します。

---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2006-012         security@xxxxxxxxxxxxxx
http://www.orca.med.or.jp/orca/security/                         2006/12/13
---------------------------------------------------------------------------

Package         : gnupg
Vulnerability   : 複数の脆弱性
Problem type    : ローカル(リモート)
Debian-specific : いいえ
CVE ID          : CVE-2006-6169 CVE-2006-6235

フリーな PGP 代替の GNU プライバシーガード gnupg に、複数の、リモートから
攻撃可能な問題が発見されました。The Common Vulnerabilities and Exposures
project は以下の問題を認識しています。

CVE-2006-6169

    Werner Koch さんにより、サニタイズ関数にバッファオーバフローが発見され
    ました。gnupg を対話的に実行している場合に、任意のコードを実行される可
    能性があります。

CVE-2006-6235

    Tavis Ormandy さんにより、注意深く作成された OpenPGP パケットを解釈す
    る際に任意のコード実行の可能性があることが発見されました。これは、内部
    構造体中の関数ポインタが、暗号解読処理で制御される可能性があるためです。

ディストリビューション(woody)では、この問題はバージョン 1.0.6-5orca.woody3
で修正されています。

直ぐにパッケージをアップグレードすることを勧めます。

アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。

  deb ftp://ftp.orca.med.or.jp/pub/woody-updates woody/updates main contrib
non-free

apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に
加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

Debian GNU/Linux 3.0 alias woody
---------------------------------
  ソースアーカイブ:


http://ftp.orca.med.or.jp/pub/woody-updates/dists/oldstable-security/main/source/utils/gnupg_1.0.6-5orca.woody3.dsc
      Size/MD5 checksum:          356 ac975299f68d19601dea7d9fdd3445e3

http://ftp.orca.med.or.jp/pub/woody-updates/dists/oldstable-security/main/source/utils/gnupg_1.0.6-5orca.woody3.diff.gz
      Size/MD5 checksum:        22736 3936a20c31be560070d46ea21552cdaa

http://ftp.orca.med.or.jp/pub/woody-updates/dists/oldstable-security/main/source/utils/gnupg_1.0.6.orig.tar.gz
      Size/MD5 checksum:      1941676 7c319a9e5e70ad9bc3bf0d7b5008a508

  Intel IA-32 アーキテクチャ:


http://ftp.orca.med.or.jp/pub/woody-updates/dists/oldstable-security/main/binary-i386/utils/gnupg_1.0.6-5orca.woody3_i386.deb
      Size/MD5 checksum:       967640  0264aea5f784f9d8b966419033ccb448

--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
一般事業所およびエンドユーザ: 03-5319-4605
D-FAX: 020-4623-1358