重大(Critical):thunderbirdのセキュリティアップデート
| アドバイスID: | RHSA-2006:0677-5 |
| 最終更新日: | 2006-09-15 |
| 影響のあるプロダクト: |
Red Hat Desktop (v. 4) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux ES (v. 4) Red Hat Enterprise Linux WS (v. 4) |
| CVEs (cve.mitre.org): |
CVE-2006-4253 CVE-2006-4340 CVE-2006-4565 CVE-2006-4566 CVE-2006-4567 CVE-2006-4570 CVE-2006-4571 |
セキュリティ・アドバイス
概要:
複数のセキュリティのバグを修正したthunderbirdのアップデートパッケージがRed Hat Enterprise Linux 4で利用可能になりました。
このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「重大(Critical)」のセキュリティ問題と評価されています。
Mozilla Thunderbirdは、スタンドアロンのメールおよびニュースグループクライアントです。
Thunderbirdによる特定の正規表現の処理で2つの欠陥が見つかりました。悪意のあるHTML電子メールによって、クラッシュが引き起こされたり、Thunderbirdを実行しているユーザとして任意のコードが実行されたりする可能性があります。(CVE-2006-4565、CVE-2006-4566)
Thunderbirdの自動アップデート確認システムで欠陥が見つかりました。DNSを偽造できる攻撃者が、悪意のあるコードをFirefoxにダウンロードし、インストールする可能性があります。この問題を悪用するには、攻撃されるユーザが、確認できない証明書をあらかじめ承認していることも必要です。(CVE-2006-4567)
Javascriptの定時イベントの処理で欠陥が見つかりました。悪意のあるHTML電子メールによって、ブラウザがクラッシュしたり、Thunderbirdを実行しているユーザとして任意のコードが実行されたりする可能性があります。(CVE-2006-4253)
Daniel Bleichenbacher氏が最近、RSA署名の確認に実装エラーがあることを報告しました。指数3のRSA鍵について、攻撃者が署名を偽造し、NSSライブラリによって誤った確認が行われる可能性があります。(CVE-2006-4340)
HTMLメッセージがXBLスクリプトにリンクしたリモート画像を含む場合に起動されるThunderbirdの欠陥が見つかりました。攻撃者が巧妙に作成されたメッセージを利用することにより、受取人がその電子メールで特定のアクションを実行したときにJavascriptを実行することが可能です。この欠陥は、Javascriptが無効になっている場合でも悪用できます。(CVE-2006-4570)
Thunderbirdで多数の欠陥が見つかりました。悪意のあるHTML電子メールによって、クラッシュが引き起こされたり、Thunderbirdを実行しているユーザとして任意のコードが実行されたりする可能性があります。(CVE-2006-4571)
Thunderbirdのユーザは、これらの問題を修正するThunderbirdバージョン1.5.0.7を含む上記アップデートにアップグレードしてください。
アップデート・パッケージ:
| Red Hat Desktop (v. 4) | |
| SRPMS: | |
| thunderbird-1.5.0.7-0.1.el4.src.rpm | 2413151b4e16ade1fe176d40bd522c76 |
| IA-32: | |
| thunderbird-1.5.0.7-0.1.el4.i386.rpm | 6896ae3f5494f4c115635e80844da407 |
| x86_64: | |
| thunderbird-1.5.0.7-0.1.el4.x86_64.rpm | a043f3f87a513b2a50005b72893d9ef5 |
| Red Hat Enterprise Linux AS (v. 4) | |
| SRPMS: | |
| thunderbird-1.5.0.7-0.1.el4.src.rpm | 2413151b4e16ade1fe176d40bd522c76 |
| IA-32: | |
| thunderbird-1.5.0.7-0.1.el4.i386.rpm | 6896ae3f5494f4c115635e80844da407 |
| IA-64: | |
| thunderbird-1.5.0.7-0.1.el4.ia64.rpm | 4c0dc94ad855e68f21540e77f0eeff7d |
| PPC: | |
| thunderbird-1.5.0.7-0.1.el4.ppc.rpm | b890e674e915ae5c9d6c1c41e09c1097 |
| s390: | |
| thunderbird-1.5.0.7-0.1.el4.s390.rpm | 02b2dcbad7a3bb844beb78345c613bd2 |
| s390x: | |
| thunderbird-1.5.0.7-0.1.el4.s390x.rpm | c6873a707ab9d1849342722f0e050ff9 |
| x86_64: | |
| thunderbird-1.5.0.7-0.1.el4.x86_64.rpm | a043f3f87a513b2a50005b72893d9ef5 |
| Red Hat Enterprise Linux ES (v. 4) | |
| SRPMS: | |
| thunderbird-1.5.0.7-0.1.el4.src.rpm | 2413151b4e16ade1fe176d40bd522c76 |
| IA-32: | |
| thunderbird-1.5.0.7-0.1.el4.i386.rpm | 6896ae3f5494f4c115635e80844da407 |
| IA-64: | |
| thunderbird-1.5.0.7-0.1.el4.ia64.rpm | 4c0dc94ad855e68f21540e77f0eeff7d |
| x86_64: | |
| thunderbird-1.5.0.7-0.1.el4.x86_64.rpm | a043f3f87a513b2a50005b72893d9ef5 |
| Red Hat Enterprise Linux WS (v. 4) | |
| SRPMS: | |
| thunderbird-1.5.0.7-0.1.el4.src.rpm | 2413151b4e16ade1fe176d40bd522c76 |
| IA-32: | |
| thunderbird-1.5.0.7-0.1.el4.i386.rpm | 6896ae3f5494f4c115635e80844da407 |
| IA-64: | |
| thunderbird-1.5.0.7-0.1.el4.ia64.rpm | 4c0dc94ad855e68f21540e77f0eeff7d |
| x86_64: | |
| thunderbird-1.5.0.7-0.1.el4.x86_64.rpm | a043f3f87a513b2a50005b72893d9ef5 |
| (The unlinked packages above are only available from the Red Hat Network) | |
解決法:
このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください: rpm -Fvh [filename] [filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。 up2date このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。
バグジラ: (詳細は、こちらbugzilla[英語]を御覧ください。)
206433 - CVE-2006-4340 Various Thunderbird security issues (CVE-2006-4253 CVE-2006-4565 CVE-2006-4566 CVE-2006-4567 CVE-2006-4570 CVE-2006-4571)
参照:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4253http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4340
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4565
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4566
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4567
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4570
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4571
http://www.redhat.com/security/updates/classification/#critical
ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html
各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。
Copyright © 2008 Red Hat, Inc. All rights reserved.
プライバシー ステートメント :
リーガル ステートメント/利用条件 :
特許に関する見解と約束 :
各種お問い合わせ