Skip to content

サポート   >  セキュリティー&アップデート/ERRATA

中（Moderate）：perlのセキュリティアップデート

アドバイスID:	RHSA-2005:881-8
最終更新日:	2005-12-20
影響のあるプロダクト:	Red Hat Desktop (v. 3) Red Hat Enterprise Linux AS (v. 3) Red Hat Enterprise Linux ES (v. 3) Red Hat Enterprise Linux WS (v. 3)
CVEs (cve.mitre.org):	CVE-2004-0976 CVE-2005-0448 CVE-2005-3962

  セキュリティ・アドバイス

概要:

セキュリティ問題とバグを修正したPerlのアップデートパッケージがRed Hat Enterprise Linux 3で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中（Moderate）」のセキュリティ問題と評価されています。

Perlは、システム管理ユーティリティやWebプログラミングに広く使用されている高度なプログラミング言語です。

Perlのフォーマット文字列プロセッサで整数オーバーフローのバグが見つかりました。攻撃者が悪意のあるフォーマット文字列を処理できる場合、perlをクラッシュさせたり、任意のコードを実行したりすることが可能です。この問題を悪用できるのは、信頼性のない任意の文字列をフォーマット文字列プロセッサに渡すようなスクリプトを使用した場合だけです。「Common Vulnerabilities and Exposures」プロジェクトにより、この問題はCVE-2005-3962と命名されています。

PerlのFile::Path::rmtreeモジュールがディレクトリツリーを削除する処理にバグがあることをPaul Szabo氏が発見しました。ローカルユーザがFile::Path::rmtreeによって削除されるツリー内のサブディレクトリへの書き込みパーミッションを持っている場合、setuidバイナリファイルを作成することが可能です。（CVE-2005-0448）

Solar Designer氏がさまざまなPerlモジュールで複数のテンポラリーファイルのバグを発見しました。ローカル攻撃者が、脆弱なモジュールを使用するPerlスクリプトを実行しているユーザとして、ファイルを上書きしたり、作成したりする可能性があります。（CVE-2004-0976）

Perlのユーザは、これらの問題を修正するバックポートパッチと複数のバグの修正を含む上記アップデートパッケージにアップグレードしてください。

アップデート・パッケージ:

Red Hat Desktop (v. 3)
SRPMS:
perl-5.8.0-90.4.src.rpm	732162aa9a88b4779706cc1cc06344f9
IA-32:
perl-5.8.0-90.4.i386.rpm	78177ebde77064068ebf925cc15b1d67
perl-CGI-2.89-90.4.i386.rpm	69441cfee13c7e04766f9e714b051a4b
perl-CPAN-1.61-90.4.i386.rpm	92ac8571485d4e56c12b835483728737
perl-DB_File-1.806-90.4.i386.rpm	e629b861b7fcd2f917c421c79706682d
perl-suidperl-5.8.0-90.4.i386.rpm	b113523d560d3c27923a09994c5b54e2
x86_64:
perl-5.8.0-90.4.x86_64.rpm	e39a68b1ba815a6bb23c5bcb879c225e
perl-CGI-2.89-90.4.x86_64.rpm	b1bf852ffa7a2957f6c11da02cc64952
perl-CPAN-1.61-90.4.x86_64.rpm	328cd2fe7d8280c2dea5fbccdcfb3686
perl-DB_File-1.806-90.4.x86_64.rpm	8ece4d9db534e25c98afdaa02b73aa1c
perl-suidperl-5.8.0-90.4.x86_64.rpm	dabc256c1e23aeb09d88b74b90150f98
Red Hat Enterprise Linux AS (v. 3)
SRPMS:
perl-5.8.0-90.4.src.rpm	732162aa9a88b4779706cc1cc06344f9
IA-32:
perl-5.8.0-90.4.i386.rpm	78177ebde77064068ebf925cc15b1d67
perl-CGI-2.89-90.4.i386.rpm	69441cfee13c7e04766f9e714b051a4b
perl-CPAN-1.61-90.4.i386.rpm	92ac8571485d4e56c12b835483728737
perl-DB_File-1.806-90.4.i386.rpm	e629b861b7fcd2f917c421c79706682d
perl-suidperl-5.8.0-90.4.i386.rpm	b113523d560d3c27923a09994c5b54e2
IA-64:
perl-5.8.0-90.4.ia64.rpm	f3493073826f80edbfee6d980af7cc6a
perl-CGI-2.89-90.4.ia64.rpm	c6dd319875d4b081955919c9f8b3eeba
perl-CPAN-1.61-90.4.ia64.rpm	69b76323d8bc7f3f5b40763d4260c476
perl-DB_File-1.806-90.4.ia64.rpm	4031db198bf03d9410400124ef185dff
perl-suidperl-5.8.0-90.4.ia64.rpm	7d14344fa92c85506b713c4b3551f19f
PPC:
perl-5.8.0-90.4.ppc.rpm	20663b13234fad4e533a042c2ea2e078
perl-CGI-2.89-90.4.ppc.rpm	2a16d5691e90218ac70a810a436274e1
perl-CPAN-1.61-90.4.ppc.rpm	61992925635d3b993bd303076b692e0e
perl-DB_File-1.806-90.4.ppc.rpm	4c8895c132b00d975df57ae618a8fd4a
perl-suidperl-5.8.0-90.4.ppc.rpm	12c9bb78fa07b099d0bfc20900479c0a
s390:
perl-5.8.0-90.4.s390.rpm	b59b220721d5a0824d67b4e7647ea735
perl-CGI-2.89-90.4.s390.rpm	6b6d19548c4c078dc64cf5060421109e
perl-CPAN-1.61-90.4.s390.rpm	b51489ce07d5061c77f4ff14e872062b
perl-DB_File-1.806-90.4.s390.rpm	185358bca8789230b8ab17cb2f591092
perl-suidperl-5.8.0-90.4.s390.rpm	c733e89e94050bd25aef942c388ecfab
s390x:
perl-5.8.0-90.4.s390x.rpm	22004167b7eb049df997b40db9d0166a
perl-CGI-2.89-90.4.s390x.rpm	bbc8d4d03248abb40557624e43ed3d3a
perl-CPAN-1.61-90.4.s390x.rpm	99bdc9bbeb27e4c346afd02302723164
perl-DB_File-1.806-90.4.s390x.rpm	a9a0b5d9ff574a410c02caeac367df2c
perl-suidperl-5.8.0-90.4.s390x.rpm	70b6d64902faeec8f6c14ecb50acc2e7
x86_64:
perl-5.8.0-90.4.x86_64.rpm	e39a68b1ba815a6bb23c5bcb879c225e
perl-CGI-2.89-90.4.x86_64.rpm	b1bf852ffa7a2957f6c11da02cc64952
perl-CPAN-1.61-90.4.x86_64.rpm	328cd2fe7d8280c2dea5fbccdcfb3686
perl-DB_File-1.806-90.4.x86_64.rpm	8ece4d9db534e25c98afdaa02b73aa1c
perl-suidperl-5.8.0-90.4.x86_64.rpm	dabc256c1e23aeb09d88b74b90150f98
Red Hat Enterprise Linux ES (v. 3)
SRPMS:
perl-5.8.0-90.4.src.rpm	732162aa9a88b4779706cc1cc06344f9
IA-32:
perl-5.8.0-90.4.i386.rpm	78177ebde77064068ebf925cc15b1d67
perl-CGI-2.89-90.4.i386.rpm	69441cfee13c7e04766f9e714b051a4b
perl-CPAN-1.61-90.4.i386.rpm	92ac8571485d4e56c12b835483728737
perl-DB_File-1.806-90.4.i386.rpm	e629b861b7fcd2f917c421c79706682d
perl-suidperl-5.8.0-90.4.i386.rpm	b113523d560d3c27923a09994c5b54e2
IA-64:
perl-5.8.0-90.4.ia64.rpm	f3493073826f80edbfee6d980af7cc6a
perl-CGI-2.89-90.4.ia64.rpm	c6dd319875d4b081955919c9f8b3eeba
perl-CPAN-1.61-90.4.ia64.rpm	69b76323d8bc7f3f5b40763d4260c476
perl-DB_File-1.806-90.4.ia64.rpm	4031db198bf03d9410400124ef185dff
perl-suidperl-5.8.0-90.4.ia64.rpm	7d14344fa92c85506b713c4b3551f19f
x86_64:
perl-5.8.0-90.4.x86_64.rpm	e39a68b1ba815a6bb23c5bcb879c225e
perl-CGI-2.89-90.4.x86_64.rpm	b1bf852ffa7a2957f6c11da02cc64952
perl-CPAN-1.61-90.4.x86_64.rpm	328cd2fe7d8280c2dea5fbccdcfb3686
perl-DB_File-1.806-90.4.x86_64.rpm	8ece4d9db534e25c98afdaa02b73aa1c
perl-suidperl-5.8.0-90.4.x86_64.rpm	dabc256c1e23aeb09d88b74b90150f98
Red Hat Enterprise Linux WS (v. 3)
SRPMS:
perl-5.8.0-90.4.src.rpm	732162aa9a88b4779706cc1cc06344f9
IA-32:
perl-5.8.0-90.4.i386.rpm	78177ebde77064068ebf925cc15b1d67
perl-CGI-2.89-90.4.i386.rpm	69441cfee13c7e04766f9e714b051a4b
perl-CPAN-1.61-90.4.i386.rpm	92ac8571485d4e56c12b835483728737
perl-DB_File-1.806-90.4.i386.rpm	e629b861b7fcd2f917c421c79706682d
perl-suidperl-5.8.0-90.4.i386.rpm	b113523d560d3c27923a09994c5b54e2
IA-64:
perl-5.8.0-90.4.ia64.rpm	f3493073826f80edbfee6d980af7cc6a
perl-CGI-2.89-90.4.ia64.rpm	c6dd319875d4b081955919c9f8b3eeba
perl-CPAN-1.61-90.4.ia64.rpm	69b76323d8bc7f3f5b40763d4260c476
perl-DB_File-1.806-90.4.ia64.rpm	4031db198bf03d9410400124ef185dff
perl-suidperl-5.8.0-90.4.ia64.rpm	7d14344fa92c85506b713c4b3551f19f
x86_64:
perl-5.8.0-90.4.x86_64.rpm	e39a68b1ba815a6bb23c5bcb879c225e
perl-CGI-2.89-90.4.x86_64.rpm	b1bf852ffa7a2957f6c11da02cc64952
perl-CPAN-1.61-90.4.x86_64.rpm	328cd2fe7d8280c2dea5fbccdcfb3686
perl-DB_File-1.806-90.4.x86_64.rpm	8ece4d9db534e25c98afdaa02b73aa1c
perl-suidperl-5.8.0-90.4.x86_64.rpm	dabc256c1e23aeb09d88b74b90150f98
(The unlinked packages above are only available from the Red Hat Network)

解決法:

このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。
それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください：

rpm -Fvh [filename]

[filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。

up2date

このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。

バグジラ:  (詳細は、こちらbugzilla[英語]を御覧ください。)

123176 - [RFE] Need new perl rpm release that fixes threaded memory leak
135975 - Perl's 'study' function breaks regexp matching
136325 - CVE-2004-0976 temporary file vulnerabilities in Perl
137075 - Apparent utf8 bug in Perl's join()
145215 - garbage after split()
147946 - Man::Pod does not return true
161053 - CVE-2005-0448 perl File::Path.pm rmtree race condition
165078 - Broken POSIX in perl-5.8.0
166732 - 'split'/'index' problem for utf8
172160 - perl bug # 22372: SIGSEGV in sv_chop()
172256 - bits/resource.ph has syntax errors
172317 - (libperl) could not run system-config-printer
174717 - CVE-2005-3962 Perl integer overflow issue
175135 - Cannot set undef timeout in perl 5.8.0 IO::Socket

参照:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0976
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-0448
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3962

---

ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html

各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。

Copyright © 2008 Red Hat, Inc. All rights reserved.  
プライバシー ステートメント :  リーガル ステートメント/利用条件 :  特許に関する見解と約束 :  各種お問い合わせ