Skip to content

サポート   >  セキュリティー&アップデート/ERRATA

重要(Important):gnupgのセキュリティアップデート

アドバイスID: RHSA-2006:0754-2
最終更新日: 2006-12-12
影響のあるプロダクト: Red Hat Desktop (v. 3)
Red Hat Desktop (v. 4)
Red Hat Enterprise Linux AS (v. 2.1)
Red Hat Enterprise Linux AS (v. 3)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux ES (v. 2.1)
Red Hat Enterprise Linux ES (v. 3)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 2.1)
Red Hat Enterprise Linux WS (v. 3)
Red Hat Enterprise Linux WS (v. 4)
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
OVAL: https://rhn.redhat.com/errata/RHSA-2006-0754.html
CVEs (cve.mitre.org): CVE-2006-6169
CVE-2006-6235

Security Advisory   セキュリティ・アドバイス

概要:

2つのセキュリティ問題を修正したGnuPGのアップデートパッケージが利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「重要(Important)」のセキュリティ問題と評価されています。

GnuPGは、データの暗号化とデジタル署名の作成に使用されるユーティリティです。

Tavis Ormandy氏がGnuPGのメッセージ復号化処理でスタック上書きの欠陥を発見しました。攻撃者が巧妙に作成されたメッセージを利用することにより、メッセージの復号化が試みられた場合に、GnuPGで任意のコードを実行することが可能です。(CVE-2006-6235)

GnuPGが対話式のセッション中にターミナルに書き込まれるメッセージを構築する処理で、ヒープベースのバッファオーバーフローの欠陥が見つかりました。攻撃者が巧妙に作成されたメッセージを利用することにより、ユーザとのやり取りを通じて、GnuPGを実行しているユーザの権限で、GnuPGにより任意のコードを実行することが可能です。(CVE-2006-6169)

GnuPGのすべてのユーザは、これらの問題を修正するバックポートパッチを含む上記アップデートパッケージにアップグレードしてください。

アップデート・パッケージ:

Red Hat Desktop (v. 3)
SRPMS:
gnupg-1.2.1-19.src.rpm     2006add6d6ece17f59f4a9397d621665
 
IA-32:
gnupg-1.2.1-19.i386.rpm     39045347836c30667687d601a58965a9
 
x86_64:
gnupg-1.2.1-19.x86_64.rpm     4cd47c1ff13aecfc4fb235e98b156e06
 
Red Hat Desktop (v. 4)
SRPMS:
gnupg-1.2.6-8.src.rpm     4d919fce07aa4051c6a8ec5f871430c8
 
IA-32:
gnupg-1.2.6-8.i386.rpm     640862942e412f7070f4633cef6a480e
 
x86_64:
gnupg-1.2.6-8.x86_64.rpm     800e7c982ba81ae0651b0091fdf61a63
 
Red Hat Enterprise Linux AS (v. 2.1)
SRPMS:
gnupg-1.0.7-20.src.rpm     55f3008c00505b9ed691a1621f9f679b
 
IA-32:
gnupg-1.0.7-20.i386.rpm     25113e54fca82c67a1adb0d14c536aa9
 
IA-64:
gnupg-1.0.7-20.ia64.rpm     6a3a3c6dc0e4b65fd5eddc75a422fead
 
Red Hat Enterprise Linux AS (v. 3)
SRPMS:
gnupg-1.2.1-19.src.rpm     2006add6d6ece17f59f4a9397d621665
 
IA-32:
gnupg-1.2.1-19.i386.rpm     39045347836c30667687d601a58965a9
 
IA-64:
gnupg-1.2.1-19.ia64.rpm     978ff04512ff5e7706d505e0fa46e0eb
 
PPC:
gnupg-1.2.1-19.ppc.rpm     7f21902fb2f508d735bbc430a01765f4
 
s390:
gnupg-1.2.1-19.s390.rpm     d9fefbd2ef988552d9b1b3b0a890acef
 
s390x:
gnupg-1.2.1-19.s390x.rpm     5fe40389e0aeb86ab0b9b1d413e899d1
 
x86_64:
gnupg-1.2.1-19.x86_64.rpm     4cd47c1ff13aecfc4fb235e98b156e06
 
Red Hat Enterprise Linux AS (v. 4)
SRPMS:
gnupg-1.2.6-8.src.rpm     4d919fce07aa4051c6a8ec5f871430c8
 
IA-32:
gnupg-1.2.6-8.i386.rpm     640862942e412f7070f4633cef6a480e
 
IA-64:
gnupg-1.2.6-8.ia64.rpm     0d1191dcf30c72a93282dfec862dbef6
 
PPC:
gnupg-1.2.6-8.ppc.rpm     1c64e01d7a0e6adbf2c069303f28c66b
 
s390:
gnupg-1.2.6-8.s390.rpm     6f007a82e0b769988ba97132db09053b
 
s390x:
gnupg-1.2.6-8.s390x.rpm     bbf9eab34a9282fd30698bc0d27ff11f
 
x86_64:
gnupg-1.2.6-8.x86_64.rpm     800e7c982ba81ae0651b0091fdf61a63
 
Red Hat Enterprise Linux ES (v. 2.1)
SRPMS:
gnupg-1.0.7-20.src.rpm     55f3008c00505b9ed691a1621f9f679b
 
IA-32:
gnupg-1.0.7-20.i386.rpm     25113e54fca82c67a1adb0d14c536aa9
 
Red Hat Enterprise Linux ES (v. 3)
SRPMS:
gnupg-1.2.1-19.src.rpm     2006add6d6ece17f59f4a9397d621665
 
IA-32:
gnupg-1.2.1-19.i386.rpm     39045347836c30667687d601a58965a9
 
IA-64:
gnupg-1.2.1-19.ia64.rpm     978ff04512ff5e7706d505e0fa46e0eb
 
x86_64:
gnupg-1.2.1-19.x86_64.rpm     4cd47c1ff13aecfc4fb235e98b156e06
 
Red Hat Enterprise Linux ES (v. 4)
SRPMS:
gnupg-1.2.6-8.src.rpm     4d919fce07aa4051c6a8ec5f871430c8
 
IA-32:
gnupg-1.2.6-8.i386.rpm     640862942e412f7070f4633cef6a480e
 
IA-64:
gnupg-1.2.6-8.ia64.rpm     0d1191dcf30c72a93282dfec862dbef6
 
x86_64:
gnupg-1.2.6-8.x86_64.rpm     800e7c982ba81ae0651b0091fdf61a63
 
Red Hat Enterprise Linux WS (v. 2.1)
SRPMS:
gnupg-1.0.7-20.src.rpm     55f3008c00505b9ed691a1621f9f679b
 
IA-32:
gnupg-1.0.7-20.i386.rpm     25113e54fca82c67a1adb0d14c536aa9
 
Red Hat Enterprise Linux WS (v. 3)
SRPMS:
gnupg-1.2.1-19.src.rpm     2006add6d6ece17f59f4a9397d621665
 
IA-32:
gnupg-1.2.1-19.i386.rpm     39045347836c30667687d601a58965a9
 
IA-64:
gnupg-1.2.1-19.ia64.rpm     978ff04512ff5e7706d505e0fa46e0eb
 
x86_64:
gnupg-1.2.1-19.x86_64.rpm     4cd47c1ff13aecfc4fb235e98b156e06
 
Red Hat Enterprise Linux WS (v. 4)
SRPMS:
gnupg-1.2.6-8.src.rpm     4d919fce07aa4051c6a8ec5f871430c8
 
IA-32:
gnupg-1.2.6-8.i386.rpm     640862942e412f7070f4633cef6a480e
 
IA-64:
gnupg-1.2.6-8.ia64.rpm     0d1191dcf30c72a93282dfec862dbef6
 
x86_64:
gnupg-1.2.6-8.x86_64.rpm     800e7c982ba81ae0651b0091fdf61a63
 
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
SRPMS:
gnupg-1.0.7-20.src.rpm     55f3008c00505b9ed691a1621f9f679b
 
IA-64:
gnupg-1.0.7-20.ia64.rpm     6a3a3c6dc0e4b65fd5eddc75a422fead
 
(The unlinked packages above are only available from the Red Hat Network)

解決法:

このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。
それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください:

rpm -Fvh [filename]

[filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。

up2date

このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。

バグジラ:  (詳細は、こちらbugzilla[英語]を御覧ください。)

218480 - CVE-2006-6235 GnuPG references local variable after function returns
218505 - CVE-2006-6169 GnuPG heap overflow

参照:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6169
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6235
http://www.redhat.com/security/updates/classification/#important

キーワード:

decrypt, heap, overflow, printable, string

ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html

各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。