Skip to content

サポート   >  セキュリティー&アップデート/ERRATA

セキュリティ問題を修正したzipのアップデートパッケージ

アドバイスID: RHSA-2004:634-08
最終更新日: 2004-12-16
影響のあるプロダクト: Red Hat Desktop (v. 3)
Red Hat Enterprise Linux AS (v. 2.1)
Red Hat Enterprise Linux AS (v. 3)
Red Hat Enterprise Linux ES (v. 2.1)
Red Hat Enterprise Linux ES (v. 3)
Red Hat Enterprise Linux WS (v. 2.1)
Red Hat Enterprise Linux WS (v. 3)
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
CVEs (cve.mitre.org): CAN-2004-1010

Security Advisory   セキュリティ・アドバイス

概要:

バッファオーバーフロー脆弱性を修正したzipのアップデートパッケージが利用可能になりました。

[Updated 24 May 2005]
Multilib packages have been added to this advisory

zipプログラムは、ZIP互換アーカイブを作成することができるアーカイブユーティリティです。

長いログファイル名を処理する場合のバッファオーバーフローのバグがzipで発見されました。攻撃者が巧妙に作成したパスを利用し、zipをクラッシュさせたり、zipに任意の命令を実行させたりすることが可能です。「Common Vulnerabilities and Exposures」プロジェクト(cve.mitre.org)により、この問題はCAN-2004-1010と命名されています。

zipのユーザは、この問題に対する脆弱性のないバックポートパッチを含んだ上記アップデートパッケージにアップグレードしてください。

アップデート・パッケージ:

Red Hat Desktop (v. 3)
SRPMS:
gd-1.8.4-12.3.1.src.rpm     6a074a9b46c1c433fb6379ddd7ffa39c
 
IA-32:
gd-1.8.4-12.3.1.i386.rpm     0277cba330cefb9ab1ebea7f15fa32c8
gd-devel-1.8.4-12.3.1.i386.rpm     d5b6b426e2e06f02a3d0e5f3180cf33c
gd-progs-1.8.4-12.3.1.i386.rpm     a8f4b292b1ef66452790e4dd2648c7a2
 
x86_64:
gd-1.8.4-12.3.1.i386.rpm     0277cba330cefb9ab1ebea7f15fa32c8
gd-1.8.4-12.3.1.x86_64.rpm     7cbaf334f370e69a009cc3e173bd43b2
gd-devel-1.8.4-12.3.1.x86_64.rpm     6e28767d002c70958e5f1f38a5420d0a
gd-progs-1.8.4-12.3.1.x86_64.rpm     003ce60cef5006f3c495aff9e767f4e2
 
Red Hat Enterprise Linux AS (v. 2.1)
SRPMS:
gd-1.8.4-4.21.1.src.rpm     0398a5a807dee5b9e50305be0e41c46f
 
IA-32:
gd-1.8.4-4.21.1.i386.rpm     32f90ee0ee49fbaa0e9d83c32d773d44
gd-devel-1.8.4-4.21.1.i386.rpm     ba50f74a3c45ceb6c6994fd16dd97846
gd-progs-1.8.4-4.21.1.i386.rpm     e6cd529cd117dc14073f011a7cf35631
 
IA-64:
gd-1.8.4-4.21.1.ia64.rpm     f3415f854fcc70689d9487386c5f5497
gd-devel-1.8.4-4.21.1.ia64.rpm     3db197bc13dfc65b6debfc4e14eed791
gd-progs-1.8.4-4.21.1.ia64.rpm     a4f021b229c4b4d9710888b06fa0b57c
 
Red Hat Enterprise Linux AS (v. 3)
SRPMS:
gd-1.8.4-12.3.1.src.rpm     6a074a9b46c1c433fb6379ddd7ffa39c
 
IA-32:
gd-1.8.4-12.3.1.i386.rpm     0277cba330cefb9ab1ebea7f15fa32c8
gd-devel-1.8.4-12.3.1.i386.rpm     d5b6b426e2e06f02a3d0e5f3180cf33c
gd-progs-1.8.4-12.3.1.i386.rpm     a8f4b292b1ef66452790e4dd2648c7a2
 
IA-64:
gd-1.8.4-12.3.1.i386.rpm     0277cba330cefb9ab1ebea7f15fa32c8
gd-1.8.4-12.3.1.ia64.rpm     ca3b5794089578356666c672355ad71f
gd-devel-1.8.4-12.3.1.ia64.rpm     839ca9fd43bd92ec9bcbd324954f71e5
gd-progs-1.8.4-12.3.1.ia64.rpm     7c0174f34dbe662e8852e1ffe25d8372
 
PPC:
gd-1.8.4-12.3.1.ppc.rpm     11c259e294f22220dad62674e7a54210
gd-1.8.4-12.3.1.ppc64.rpm     14428761748a25bd003674b116def010
gd-devel-1.8.4-12.3.1.ppc.rpm     67456fab43a1b9d601c62a54a446be27
gd-progs-1.8.4-12.3.1.ppc.rpm     2f900edcde2c6771bd82ce414133717b
 
s390:
gd-1.8.4-12.3.1.s390.rpm     568eaf1ea4294befde060da07c4812c7
gd-devel-1.8.4-12.3.1.s390.rpm     4873cab38494fc574740b645d5673e33
gd-progs-1.8.4-12.3.1.s390.rpm     336923033fdc04176a0279d9127570a3
 
s390x:
gd-1.8.4-12.3.1.s390.rpm     568eaf1ea4294befde060da07c4812c7
gd-1.8.4-12.3.1.s390x.rpm     adc06b68372a7d7bf375bbd88867b9af
gd-devel-1.8.4-12.3.1.s390x.rpm     cd195ca8593ec6404d01c82be4db5c47
gd-progs-1.8.4-12.3.1.s390x.rpm     83f844555bdeb93f28c30e00fe2cf90d
 
x86_64:
gd-1.8.4-12.3.1.i386.rpm     0277cba330cefb9ab1ebea7f15fa32c8
gd-1.8.4-12.3.1.x86_64.rpm     7cbaf334f370e69a009cc3e173bd43b2
gd-devel-1.8.4-12.3.1.x86_64.rpm     6e28767d002c70958e5f1f38a5420d0a
gd-progs-1.8.4-12.3.1.x86_64.rpm     003ce60cef5006f3c495aff9e767f4e2
 
Red Hat Enterprise Linux ES (v. 2.1)
SRPMS:
gd-1.8.4-4.21.1.src.rpm     0398a5a807dee5b9e50305be0e41c46f
 
IA-32:
gd-1.8.4-4.21.1.i386.rpm     32f90ee0ee49fbaa0e9d83c32d773d44
gd-devel-1.8.4-4.21.1.i386.rpm     ba50f74a3c45ceb6c6994fd16dd97846
gd-progs-1.8.4-4.21.1.i386.rpm     e6cd529cd117dc14073f011a7cf35631
 
Red Hat Enterprise Linux ES (v. 3)
SRPMS:
gd-1.8.4-12.3.1.src.rpm     6a074a9b46c1c433fb6379ddd7ffa39c
 
IA-32:
gd-1.8.4-12.3.1.i386.rpm     0277cba330cefb9ab1ebea7f15fa32c8
gd-devel-1.8.4-12.3.1.i386.rpm     d5b6b426e2e06f02a3d0e5f3180cf33c
gd-progs-1.8.4-12.3.1.i386.rpm     a8f4b292b1ef66452790e4dd2648c7a2
 
IA-64:
gd-1.8.4-12.3.1.i386.rpm     0277cba330cefb9ab1ebea7f15fa32c8
gd-1.8.4-12.3.1.ia64.rpm     ca3b5794089578356666c672355ad71f
gd-devel-1.8.4-12.3.1.ia64.rpm     839ca9fd43bd92ec9bcbd324954f71e5
gd-progs-1.8.4-12.3.1.ia64.rpm     7c0174f34dbe662e8852e1ffe25d8372
 
x86_64:
gd-1.8.4-12.3.1.i386.rpm     0277cba330cefb9ab1ebea7f15fa32c8
gd-1.8.4-12.3.1.x86_64.rpm     7cbaf334f370e69a009cc3e173bd43b2
gd-devel-1.8.4-12.3.1.x86_64.rpm     6e28767d002c70958e5f1f38a5420d0a
gd-progs-1.8.4-12.3.1.x86_64.rpm     003ce60cef5006f3c495aff9e767f4e2
 
Red Hat Enterprise Linux WS (v. 2.1)
SRPMS:
gd-1.8.4-4.21.1.src.rpm     0398a5a807dee5b9e50305be0e41c46f
 
IA-32:
gd-1.8.4-4.21.1.i386.rpm     32f90ee0ee49fbaa0e9d83c32d773d44
gd-devel-1.8.4-4.21.1.i386.rpm     ba50f74a3c45ceb6c6994fd16dd97846
gd-progs-1.8.4-4.21.1.i386.rpm     e6cd529cd117dc14073f011a7cf35631
 
Red Hat Enterprise Linux WS (v. 3)
SRPMS:
gd-1.8.4-12.3.1.src.rpm     6a074a9b46c1c433fb6379ddd7ffa39c
 
IA-32:
gd-1.8.4-12.3.1.i386.rpm     0277cba330cefb9ab1ebea7f15fa32c8
gd-devel-1.8.4-12.3.1.i386.rpm     d5b6b426e2e06f02a3d0e5f3180cf33c
gd-progs-1.8.4-12.3.1.i386.rpm     a8f4b292b1ef66452790e4dd2648c7a2
 
IA-64:
gd-1.8.4-12.3.1.i386.rpm     0277cba330cefb9ab1ebea7f15fa32c8
gd-1.8.4-12.3.1.ia64.rpm     ca3b5794089578356666c672355ad71f
gd-devel-1.8.4-12.3.1.ia64.rpm     839ca9fd43bd92ec9bcbd324954f71e5
gd-progs-1.8.4-12.3.1.ia64.rpm     7c0174f34dbe662e8852e1ffe25d8372
 
x86_64:
gd-1.8.4-12.3.1.i386.rpm     0277cba330cefb9ab1ebea7f15fa32c8
gd-1.8.4-12.3.1.x86_64.rpm     7cbaf334f370e69a009cc3e173bd43b2
gd-devel-1.8.4-12.3.1.x86_64.rpm     6e28767d002c70958e5f1f38a5420d0a
gd-progs-1.8.4-12.3.1.x86_64.rpm     003ce60cef5006f3c495aff9e767f4e2
 
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
SRPMS:
gd-1.8.4-4.21.1.src.rpm     0398a5a807dee5b9e50305be0e41c46f
 
IA-64:
gd-1.8.4-4.21.1.ia64.rpm     f3415f854fcc70689d9487386c5f5497
gd-devel-1.8.4-4.21.1.ia64.rpm     3db197bc13dfc65b6debfc4e14eed791
gd-progs-1.8.4-4.21.1.ia64.rpm     a4f021b229c4b4d9710888b06fa0b57c
 
(The unlinked packages above are only available from the Red Hat Network)

解決法:

このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。
それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください:

rpm -Fvh [filename]

[filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。

up2date

このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。

バグジラ:  (詳細は、こちらbugzilla[英語]を御覧ください。)

138228 - CAN-2004-1010 buffer overflow when creating archive containing very long filenames.

参照:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1010
http://lists.netsys.com/pipermail/full-disclosure/2004-November/028379.html


ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html

各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。