Skip to content

サポート   >  セキュリティー&アップデート/ERRATA

中(Moderate):tarのセキュリティアップデート

アドバイスID: RHSA-2006:0749-2
最終更新日: 2006-12-19
影響のあるプロダクト: Red Hat Desktop (v. 3)
Red Hat Desktop (v. 4)
Red Hat Enterprise Linux AS (v. 2.1)
Red Hat Enterprise Linux AS (v. 3)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux ES (v. 2.1)
Red Hat Enterprise Linux ES (v. 3)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 2.1)
Red Hat Enterprise Linux WS (v. 3)
Red Hat Enterprise Linux WS (v. 4)
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
OVAL: https://rhn.redhat.com/errata/RHSA-2006-0749.html
CVEs (cve.mitre.org): CVE-2006-6097

Security Advisory   セキュリティ・アドバイス

概要:

パス横断の欠陥を修正したtarのアップデートパッケージが利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中(Moderate)」のセキュリティ問題と評価されています。

GNU tarプログラムは多くのファイルを1つのアーカイブとして保存し、そのアーカイブから個々のファイル(またはすべてのファイル)を復元できます。

GNU tarがアーカイブを抽出する処理で、Teemu Salmela氏がパス横断の欠陥を発見しました。悪意のあるユーザが、GNU tarを実行するユーザが書き込みアクセス権を持っている任意のファイルに対して書き込みを行うtarアーカイブを作成できます。(CVE-2006-6097)

tarのユーザは、この問題を修正する交換バックポートパッチを含む上記アップデートパッケージにアップグレードしてください。

アップデート・パッケージ:

Red Hat Desktop (v. 3)
SRPMS:
tar-1.13.25-15.RHEL3.src.rpm     48b87b75152449ec8fac039fce6c481f
 
IA-32:
tar-1.13.25-15.RHEL3.i386.rpm     2f78f39c91f8674ecf30ab82cc6577ad
 
x86_64:
tar-1.13.25-15.RHEL3.x86_64.rpm     7df94215917d5d5cb8870801fcf43bd2
 
Red Hat Desktop (v. 4)
SRPMS:
tar-1.14-12.RHEL4.src.rpm     915d5fef3750a417683d3ad52aaf0158
 
IA-32:
tar-1.14-12.RHEL4.i386.rpm     94e0f0511e8357b7f4538edfa35e88e6
 
x86_64:
tar-1.14-12.RHEL4.x86_64.rpm     817bae24d9975f961434839605c668e2
 
Red Hat Enterprise Linux AS (v. 2.1)
SRPMS:
tar-1.13.25-6.AS21.1.src.rpm     9cb62366b2c0328cd799f4f1d01b4f85
 
IA-32:
tar-1.13.25-6.AS21.1.i386.rpm     82e737e4a7932200e3760d8bb8db96d7
 
IA-64:
tar-1.13.25-6.AS21.1.ia64.rpm     dbbd437b5ee88e65bf4c7731b48ea8e5
 
Red Hat Enterprise Linux AS (v. 3)
SRPMS:
tar-1.13.25-15.RHEL3.src.rpm     48b87b75152449ec8fac039fce6c481f
 
IA-32:
tar-1.13.25-15.RHEL3.i386.rpm     2f78f39c91f8674ecf30ab82cc6577ad
 
IA-64:
tar-1.13.25-15.RHEL3.ia64.rpm     e6c05756ca0754ca7470434e284a5509
 
PPC:
tar-1.13.25-15.RHEL3.ppc.rpm     ec3903c1c8424a68d66c033aee38ef3d
 
s390:
tar-1.13.25-15.RHEL3.s390.rpm     d748e97d9288a1529eccff07be2ea647
 
s390x:
tar-1.13.25-15.RHEL3.s390x.rpm     4137e79c7202881ae6c26b7220060c7b
 
x86_64:
tar-1.13.25-15.RHEL3.x86_64.rpm     7df94215917d5d5cb8870801fcf43bd2
 
Red Hat Enterprise Linux AS (v. 4)
SRPMS:
tar-1.14-12.RHEL4.src.rpm     915d5fef3750a417683d3ad52aaf0158
 
IA-32:
tar-1.14-12.RHEL4.i386.rpm     94e0f0511e8357b7f4538edfa35e88e6
 
IA-64:
tar-1.14-12.RHEL4.ia64.rpm     4fdf307c4fbbb324a45f459056a9f5dc
 
PPC:
tar-1.14-12.RHEL4.ppc.rpm     7daef3e5491853a369775887103f8858
 
s390:
tar-1.14-12.RHEL4.s390.rpm     0fda5b626b7fc9eb0324dc22a4075d75
 
s390x:
tar-1.14-12.RHEL4.s390x.rpm     91682d1f8c79e64a1aa5b7f3dfb514d4
 
x86_64:
tar-1.14-12.RHEL4.x86_64.rpm     817bae24d9975f961434839605c668e2
 
Red Hat Enterprise Linux ES (v. 2.1)
SRPMS:
tar-1.13.25-6.AS21.1.src.rpm     9cb62366b2c0328cd799f4f1d01b4f85
 
IA-32:
tar-1.13.25-6.AS21.1.i386.rpm     82e737e4a7932200e3760d8bb8db96d7
 
Red Hat Enterprise Linux ES (v. 3)
SRPMS:
tar-1.13.25-15.RHEL3.src.rpm     48b87b75152449ec8fac039fce6c481f
 
IA-32:
tar-1.13.25-15.RHEL3.i386.rpm     2f78f39c91f8674ecf30ab82cc6577ad
 
IA-64:
tar-1.13.25-15.RHEL3.ia64.rpm     e6c05756ca0754ca7470434e284a5509
 
x86_64:
tar-1.13.25-15.RHEL3.x86_64.rpm     7df94215917d5d5cb8870801fcf43bd2
 
Red Hat Enterprise Linux ES (v. 4)
SRPMS:
tar-1.14-12.RHEL4.src.rpm     915d5fef3750a417683d3ad52aaf0158
 
IA-32:
tar-1.14-12.RHEL4.i386.rpm     94e0f0511e8357b7f4538edfa35e88e6
 
IA-64:
tar-1.14-12.RHEL4.ia64.rpm     4fdf307c4fbbb324a45f459056a9f5dc
 
x86_64:
tar-1.14-12.RHEL4.x86_64.rpm     817bae24d9975f961434839605c668e2
 
Red Hat Enterprise Linux WS (v. 2.1)
SRPMS:
tar-1.13.25-6.AS21.1.src.rpm     9cb62366b2c0328cd799f4f1d01b4f85
 
IA-32:
tar-1.13.25-6.AS21.1.i386.rpm     82e737e4a7932200e3760d8bb8db96d7
 
Red Hat Enterprise Linux WS (v. 3)
SRPMS:
tar-1.13.25-15.RHEL3.src.rpm     48b87b75152449ec8fac039fce6c481f
 
IA-32:
tar-1.13.25-15.RHEL3.i386.rpm     2f78f39c91f8674ecf30ab82cc6577ad
 
IA-64:
tar-1.13.25-15.RHEL3.ia64.rpm     e6c05756ca0754ca7470434e284a5509
 
x86_64:
tar-1.13.25-15.RHEL3.x86_64.rpm     7df94215917d5d5cb8870801fcf43bd2
 
Red Hat Enterprise Linux WS (v. 4)
SRPMS:
tar-1.14-12.RHEL4.src.rpm     915d5fef3750a417683d3ad52aaf0158
 
IA-32:
tar-1.14-12.RHEL4.i386.rpm     94e0f0511e8357b7f4538edfa35e88e6
 
IA-64:
tar-1.14-12.RHEL4.ia64.rpm     4fdf307c4fbbb324a45f459056a9f5dc
 
x86_64:
tar-1.14-12.RHEL4.x86_64.rpm     817bae24d9975f961434839605c668e2
 
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
SRPMS:
tar-1.13.25-6.AS21.1.src.rpm     9cb62366b2c0328cd799f4f1d01b4f85
 
IA-64:
tar-1.13.25-6.AS21.1.ia64.rpm     dbbd437b5ee88e65bf4c7731b48ea8e5
 
(The unlinked packages above are only available from the Red Hat Network)

解決法:

このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。
それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください:

rpm -Fvh [filename]

[filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。

up2date

このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。

バグジラ:  (詳細は、こちらbugzilla[英語]を御覧ください。)

216937 - CVE-2006-6097 GNU tar directory traversal

参照:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6097
http://www.redhat.com/security/updates/classification/#moderate

キーワード:

GNUTYPE_NAMES, path, traversal

ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html

各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。