[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[ORCA-ANNOUNCE:01191] セキュリティ情報◆[OSA 2008-008] gnutls11
- To: <orca-announce@xxxxxxxxxxxxxx>
- Subject: [ORCA-ANNOUNCE:01191] セキュリティ情報◆[OSA 2008-008] gnutls11
- From: orca-announce@xxxxxxxxxxxxxx
- Date: Wed, 18 Jun 2008 14:57:36 +0900
ORCAサポートセンタです。いつもお世話になっています。
sarge向けセキュリティアップデートパッケージを提供します。
---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2008-008 security _at_ orca.med.or.jp
http://www.orca.med.or.jp/orca/security/ 2008/06/18
---------------------------------------------------------------------------
Package : gnutls11
Vulnerability : 複数の脆弱性
Problem type : リモート
Debian-specific : いいえ
CVE ID : CVE-2008-1948, CVE-2008-1949, CVE-2008-1950
SSL/TLS プロトコル群の実装 GNUTLS に、リモートから攻撃可能な複数の問題が
発見されました。
注記:GNUTLS ライブラリを提供する libgnutls11 には、影響を受けるサービス
を自動的に再起動する処理は含まれていません。従って、関連するサービス (主
に Exim で /etc/init.d/exim4 restart を実行ください) を更新の適用後、更新
の効果を有効にするため手動で再起動してください。システムを再起動しても問
題ありません。
以下の欠陥が把握されています。
サイズ超過のセッション再試行などで、認証前のヒープオーバフローがあり、任
意のコードが実行可能です (CVE-2008-1948)。
Client hello を繰り返すことにより、ヌルポインタ参照を引き起こすことができ
るため、認証前のサービス拒否攻撃が可能です (CVE-2008-1949)。
暗号復号化処理でレコード長が不正な場合、GNUTLS が受信レコードの末尾を超え
てメモリを読み出す可能性があるため、認証前のサービス拒否攻撃が可能です
(CVE-2008-1949)。認証前のサービス拒否攻撃が可能です (CVE-2008-1950)。
ディストリビューション(sarge)では、この問題はバージョン 1.0.16-13.2sarge.orca3
で修正されています。
直ぐにパッケージをアップグレードすることを勧めます。
アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。
deb http://ftp.orca.med.or.jp/pub/sarge-updates sarge main contrib non-free
apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に加えて、
apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。
Debian GNU/Linux 3.1 alias sarge
---------------------------------
ソースアーカイブ:
http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/g/gnutls11/gnutls11_1.0.16-13.2sarge.orca3.dsc
Size/MD5 checksum: 595 a6bc81a1740fcb7946b7155d76dace39
http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/g/gnutls11/gnutls11_1.0.16.orig.tar.gz
Size/MD5 checksum: 1504638 7b410fa3c563c7988e434a8c8671b3cd
http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/g/gnutls11/gnutls11_1.0.16-13.2sarge.orca3.diff.gz
Size/MD5 checksum: 348055 b11356cc4b160be9a8e4390a01e56251
Intel IA-32 アーキテクチャ:
http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/g/gnutls11/libgnutls11-dev_1.0.16-13.2sarge.orca3_i386.deb
Size/MD5 checksum: 371040 bd837b3df7f18b90dd348979777d4f9f
http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/g/gnutls11/libgnutls11_1.0.16-13.2sarge.orca3_i386.deb
Size/MD5 checksum: 302376 7f61dadb60a39a33c3a7992f75e10be6
http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/g/gnutls11/libgnutls11-dbg_1.0.16-13.2sarge.orca3_i386.deb
Size/MD5 checksum: 558866 8d38101ba64287c701351371c59b18d2
http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/g/gnutls11/gnutls-bin_1.0.16-13.2sarge.orca3_i386.deb
Size/MD5 checksum: 207002 355b20c7a00622e66823b9d69e0fe200
--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
T: 03-5319-4605 D-FAX: 020-4623-1358