[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[ORCA-ANNOUNCE:02847] セキュリティ情報◆[OSA 2013-004] glibc(etch)



ORCAサポートセンタです。いつもお世話になっています。

本日、下記、セキュリティアップデートパッケージを提供しました。

---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2013-004    security _at_ orca.med.or.jp
http://www.orca.med.or.jp/receipt/update/security/               2013/01/10
---------------------------------------------------------------------------

Package         : glibc
Distribution    : Debian GNU/Linux 4.0(etch)
Vulnerability   : 複数の脆弱性
Problem type    : (ローカル) リモート
Debian-specific : いいえ
CVE ID          : CVE-2008-1391 CVE-2009-4880 CVE-2009-4881 CVE-2010-0296
                  CVE-2010-0830 CVE-2012-3406 CVE-2012-3480

CVE-2008-1391, CVE-2009-4880, CVE-2009-4881
  Maksymilian Arciemowicz さんにより、GNU C ライブラリが strfmon 関連の一連の関
  数で適切に整数オーバフローを処理していないことが発見されました。ユーザまたは自
  動システムが細工されたフォーマット文字列の処理をし向けられた場合、アプリケーシ
  ョンのクラッシュによるサービス拒否攻撃を実行可能です。

CVE-2010-0296
  Jeff Layton さんと Dan Rosenberg さんにより、GNU C ライブラリが mntext 関連の
  一連の関数で適切に改行コードを処理していないことが発見されました。ローカルの攻
  撃者がマウントエントリに改行コードを挿入できた場合、システムを混乱させ管理者権
  限の取得ができる可能性があります。

CVE-2010-0830
  Dan Rosenberg さんにより、GNU C ライブラリがある種の ELF プログラムヘッダを適
  切に処理していないことが発見されました。ユーザまたは自動システムが細工された
  ELF プログラムの検証をし向けられた場合、リモートの攻撃者がユーザ権限で任意のコ
  ードの実行を行える可能性があります。

CVE-2012-3406
  printf()ファミリーの関数に任意のコードを実行できる潜在的なスタックベースバッフ
  オーバーフローが見つかりました。

CVE-2012-3480
  strtod()、strtof()、strtold()に複数の整数オーバーフローが見つかりました。攻撃
  者はこれを利用することで任意のコードを実行できるかもしれません。

ディストリビューション(etch)では、この問題はバージョン  2.3.6.ds1-14orca.etch10
で修正されています。

直ぐにパッケージをアップグレードすることを勧めます。

 アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。

   deb http://ftp.orca.med.or.jp/pub/etch-updates etch main contrib non-free

   apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に加えて、

   apt-get update
           を実行して内部データベースを更新し、
   apt-get upgrade
     によって修正されたパッケージをインストールしてください。

Debian GNU/Linux 4.0 alias etch
---------------------------------
 ソースアーカイブ:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/g/glibc/glibc_2.3.6.ds1-14orca.etch10.dsc
       Size/MD5 checksum: 1967 eae6e6040c5891d65dce8fd408b8cea3
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/g/glibc/glibc_2.3.6.ds1.orig.tar.gz
       Size/MD5 checksum: 13307585 d5e6ffe51e49ab29d513e600fb87cf54
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/g/glibc/glibc_2.3.6.ds1-14orca.etch10.diff.gz
       Size/MD5 checksum: 929020 11ae00b6f746c6db7c156f0986e00385

 アーキテクチャ非依存コンポーネント:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/g/glibc/glibc-doc_2.3.6.ds1-14orca.etch10_all.deb
       Size/MD5 checksum: 1482292 894b9d81048223f7f50957c9a580f686
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/g/glibc/locales_2.3.6.ds1-14orca.etch10_all.deb
       Size/MD5 checksum: 4009950 741ac492fa6bfff7d356159d0f810662

  Intel IA-32 アーキテクチャ:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/g/glibc/libc6_2.3.6.ds1-14orca.etch10_i386.deb
       Size/MD5 checksum: 4855774 bf4100207b1a36122dffd9c5575588f8
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/g/glibc/libc6-dev_2.3.6.ds1-14orca.etch10_i386.deb
       Size/MD5 checksum: 2752458 b4912e9b90f840686785030871d89c98
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/g/glibc/libc6-prof_2.3.6.ds1-14orca.etch10_i386.deb
       Size/MD5 checksum: 1310250 cfb906858922e4c9863d5a97ccc5bcb6
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/g/glibc/libc6-pic_2.3.6.ds1-14orca.etch10_i386.deb
       Size/MD5 checksum: 1072414 ab6155e05f98c71115e4dac7cddc46d0
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/g/glibc/locales-all_2.3.6.ds1-14orca.etch10_i386.deb
       Size/MD5 checksum: 6222982 e8eacdfe85ce064f552fbb97c7add797
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/g/glibc/libc6-i686_2.3.6.ds1-14orca.etch10_i386.deb
       Size/MD5 checksum: 1122568 30d5b138abbc08d851f4bf91a557ccc8
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/g/glibc/libc6-xen_2.3.6.ds1-14orca.etch10_i386.deb
       Size/MD5 checksum: 1127466 3950a031d4f297002fc14206cfeb226e
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/g/glibc/libc6-amd64_2.3.6.ds1-14orca.etch10_i386.deb
       Size/MD5 checksum: 3397242 5fdac3cc29ddff75e7678ca05818914f
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/g/glibc/libc6-dev-amd64_2.3.6.ds1-14orca.etch10_i386.deb
       Size/MD5 checksum: 2038486 4175d2397cee45e4217b3ef2addc1850
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/g/glibc/nscd_2.3.6.ds1-14orca.etch10_i386.deb
       Size/MD5 checksum: 142814 3facebf7b4b1cc444a6f626cb8c8d051
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/g/glibc/libc6-dbg_2.3.6.ds1-14orca.etch10_i386.deb
       Size/MD5 checksum: 5465804 b074282e31c06fe5edb6fdaaa07219e1

 これらのファイルは次のアップデートがリリースされると削除されます。

--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
T: 03-5319-4605 D-FAX: 020-4623-1358