Skip to content

サポート   >  セキュリティー&アップデート/ERRATA

セキュリティ脆弱性を修正したlibxmlのアップデートパッケージ

アドバイスID: RHSA-2004:650-03
最終更新日: 2004-12-16
影響のあるプロダクト: Red Hat Desktop (v. 3)
Red Hat Enterprise Linux AS (v. 2.1)
Red Hat Enterprise Linux AS (v. 3)
Red Hat Enterprise Linux ES (v. 2.1)
Red Hat Enterprise Linux ES (v. 3)
Red Hat Enterprise Linux WS (v. 2.1)
Red Hat Enterprise Linux WS (v. 3)
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
CVEs (cve.mitre.org): CAN-2004-0110
CAN-2004-0989

Security Advisory   セキュリティ・アドバイス

概要:

複数のバッファオーバーフローを修正したlibxmlのアップデートパッケージが利用可能になりました。

libxmlパッケージは、XMLファイルを操作するためのライブラリを含んでいます。

2.6.14よりも前のバージョンのlibxmlで複数のバッファオーバーフローバグが見つかりました。攻撃者により巧妙に作成されたFTP URLまたはFTPプロキシURLが libxmlの脆弱性のある関数を使用するアプリケーションに渡されると、任意のコードが実行される可能性があります。また、攻撃者が巧妙に作成したDNSリクエストをlibxmlに返すことができる場合、任意のコードが実行される可能性があります。「Common Vulnerabilities and Exposures」プロジェクト(cve.mitre.org)により、この問題はCAN-2004-0989と命名されています。

2.6.6よりも前のバージョンのlibxmlの欠陥をYuuichi Teranishi氏が発見しました。FTPまたはHTTPを介してリモートのリソースを取得するときに、libxmlは特別な解析ルーチンを使用します。そのURLが非常に長い場合、これらのルーチンがバッファをオーバーフローさせる可能性があります。リモートのリソースを解析するlibxmlを使用するアプリケーションを攻撃者が見つけ、またリソースが URLに影響を与えると、この欠陥を利用して任意のコードを実行することが可能です。「Common Vulnerabilities and Exposures」プロジェクト(cve.mitre.org)により、この問題はCAN-2004-0110と命名されています。

すべてのユーザは、この問題に対する脆弱性のないバックポートパッチを含んだ上記アップデートパッケージにアップグレードしてください。

アップデート・パッケージ:

Red Hat Desktop (v. 3)
SRPMS:
libxml-1.8.17-9.2.src.rpm     0d8ee723cc5bfb46adedf334be96dcbe
 
IA-32:
libxml-1.8.17-9.2.i386.rpm     1fa0e7d164a4d3d5432732060c67f985
libxml-devel-1.8.17-9.2.i386.rpm     6747de74e075db51e9a40c02ea0905fa
 
x86_64:
libxml-1.8.17-9.2.x86_64.rpm     140e93f6366ba860a6301629bfe71c08
libxml-devel-1.8.17-9.2.x86_64.rpm     c3e4b6e36068b0a2ecfbe75491f2b967
 
Red Hat Enterprise Linux AS (v. 2.1)
SRPMS:
libxml-1.8.14-3.src.rpm     8d1802bcdd2a7085e7158a7ca68ab523
 
IA-32:
libxml-1.8.14-3.i386.rpm     e2ee01c57caf52c62b1ac9a229fc58f0
libxml-devel-1.8.14-3.i386.rpm     fd04239db40f4c2d9de4cf76791c409e
 
IA-64:
libxml-1.8.14-3.ia64.rpm     907f1c8f10e96b6c785d4cb5b7f7c399
libxml-devel-1.8.14-3.ia64.rpm     a9ca532078e6b35f2d01584453a3a6fe
 
Red Hat Enterprise Linux AS (v. 3)
SRPMS:
libxml-1.8.17-9.2.src.rpm     0d8ee723cc5bfb46adedf334be96dcbe
 
IA-32:
libxml-1.8.17-9.2.i386.rpm     1fa0e7d164a4d3d5432732060c67f985
libxml-devel-1.8.17-9.2.i386.rpm     6747de74e075db51e9a40c02ea0905fa
 
IA-64:
libxml-1.8.17-9.2.ia64.rpm     6e7730063c22539fb40658cc763a2bd3
libxml-devel-1.8.17-9.2.ia64.rpm     594c3955d725c7aad2c3ad89194d0f4b
 
PPC:
libxml-1.8.17-9.2.ppc.rpm     e04cb28f14a0381a7d92aa9b57b3b43a
libxml-devel-1.8.17-9.2.ppc.rpm     b52b8e7f667842bbcb319e0c5cb9132e
 
s390:
libxml-1.8.17-9.2.s390.rpm     f8cb54901760145e5123832d27bf7334
libxml-devel-1.8.17-9.2.s390.rpm     88ace5024d54b0f7a104bb6310974fd6
 
s390x:
libxml-1.8.17-9.2.s390x.rpm     7d268017ddac87e213b1b9e0d22be27b
libxml-devel-1.8.17-9.2.s390x.rpm     eda80205b0afd05ca6aafce032a1072f
 
x86_64:
libxml-1.8.17-9.2.x86_64.rpm     140e93f6366ba860a6301629bfe71c08
libxml-devel-1.8.17-9.2.x86_64.rpm     c3e4b6e36068b0a2ecfbe75491f2b967
 
Red Hat Enterprise Linux ES (v. 2.1)
SRPMS:
libxml-1.8.14-3.src.rpm     8d1802bcdd2a7085e7158a7ca68ab523
 
IA-32:
libxml-1.8.14-3.i386.rpm     e2ee01c57caf52c62b1ac9a229fc58f0
libxml-devel-1.8.14-3.i386.rpm     fd04239db40f4c2d9de4cf76791c409e
 
Red Hat Enterprise Linux ES (v. 3)
SRPMS:
libxml-1.8.17-9.2.src.rpm     0d8ee723cc5bfb46adedf334be96dcbe
 
IA-32:
libxml-1.8.17-9.2.i386.rpm     1fa0e7d164a4d3d5432732060c67f985
libxml-devel-1.8.17-9.2.i386.rpm     6747de74e075db51e9a40c02ea0905fa
 
IA-64:
libxml-1.8.17-9.2.ia64.rpm     6e7730063c22539fb40658cc763a2bd3
libxml-devel-1.8.17-9.2.ia64.rpm     594c3955d725c7aad2c3ad89194d0f4b
 
x86_64:
libxml-1.8.17-9.2.x86_64.rpm     140e93f6366ba860a6301629bfe71c08
libxml-devel-1.8.17-9.2.x86_64.rpm     c3e4b6e36068b0a2ecfbe75491f2b967
 
Red Hat Enterprise Linux WS (v. 2.1)
SRPMS:
libxml-1.8.14-3.src.rpm     8d1802bcdd2a7085e7158a7ca68ab523
 
IA-32:
libxml-1.8.14-3.i386.rpm     e2ee01c57caf52c62b1ac9a229fc58f0
libxml-devel-1.8.14-3.i386.rpm     fd04239db40f4c2d9de4cf76791c409e
 
Red Hat Enterprise Linux WS (v. 3)
SRPMS:
libxml-1.8.17-9.2.src.rpm     0d8ee723cc5bfb46adedf334be96dcbe
 
IA-32:
libxml-1.8.17-9.2.i386.rpm     1fa0e7d164a4d3d5432732060c67f985
libxml-devel-1.8.17-9.2.i386.rpm     6747de74e075db51e9a40c02ea0905fa
 
IA-64:
libxml-1.8.17-9.2.ia64.rpm     6e7730063c22539fb40658cc763a2bd3
libxml-devel-1.8.17-9.2.ia64.rpm     594c3955d725c7aad2c3ad89194d0f4b
 
x86_64:
libxml-1.8.17-9.2.x86_64.rpm     140e93f6366ba860a6301629bfe71c08
libxml-devel-1.8.17-9.2.x86_64.rpm     c3e4b6e36068b0a2ecfbe75491f2b967
 
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
SRPMS:
libxml-1.8.14-3.src.rpm     8d1802bcdd2a7085e7158a7ca68ab523
 
IA-64:
libxml-1.8.14-3.ia64.rpm     907f1c8f10e96b6c785d4cb5b7f7c399
libxml-devel-1.8.14-3.ia64.rpm     a9ca532078e6b35f2d01584453a3a6fe
 
(The unlinked packages above are only available from the Red Hat Network)

解決法:

このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。
それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください:

rpm -Fvh [filename]

[filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。

up2date

このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。

バグジラ:  (詳細は、こちらbugzilla[英語]を御覧ください。)

139090 - CAN-2004-0110 multiple buffer overflows (CAN-2004-0989)

参照:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0110
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0989


ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html

各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。