Skip to content

サポート   >  セキュリティー&アップデート/ERRATA

重要(Important):gnupgのセキュリティアップデート

アドバイスID: RHSA-2007:0106-2
最終更新日: 2007-03-06
影響のあるプロダクト: Red Hat Desktop (v. 3)
Red Hat Desktop (v. 4)
Red Hat Enterprise Linux AS (v. 2.1)
Red Hat Enterprise Linux AS (v. 3)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux ES (v. 2.1)
Red Hat Enterprise Linux ES (v. 3)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 2.1)
Red Hat Enterprise Linux WS (v. 3)
Red Hat Enterprise Linux WS (v. 4)
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
OVAL: https://rhn.redhat.com/errata/RHSA-2007-0106.html
CVEs (cve.mitre.org): CVE-2007-1263

Security Advisory   セキュリティ・アドバイス

概要:

セキュリティ問題を修正したGnuPGのアップデートパッケージが利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「重要(Important)」のセキュリティ問題と評価されています。

GnuPGは、データの暗号化とデジタル署名の作成に使用されるユーティリティです。

Gerardo Richarte氏が、GnuPGを利用する多数のアプリケーションにおいて、不正確な署名確認と暗号化を伴う脆弱性が生じやすいことを発見しました。攻撃者が署名付きのメッセージに任意のコンテンツを追加する可能性があります。この場合、メッセージの受信者は、正しく署名された部分と偽造された署名のない部分を区別できません。(CVE-2007-1263)

これはGnuPG自体の脆弱性ではありませんが、GnuPGチームは、複数のプレーンテキストパケットを持つメッセージから保護するためのパッチを作成しました。ユーザは、この問題に対するバックポートパッチを含む上記エラータパッケージにアップデートしてください。

レッドハットは、この問題の報告についてCore Security Technologies社に感謝します。

アップデート・パッケージ:

Red Hat Desktop (v. 3)
SRPMS:
gnupg-1.2.1-20.src.rpm     b58f2218e4869dd8b945f86b739d51f2
 
IA-32:
gnupg-1.2.1-20.i386.rpm     7567e3eeca9c11a2b0c33bf2e1c052f3
 
x86_64:
gnupg-1.2.1-20.x86_64.rpm     ca2ba72abdb891c81a8e0afcc489771d
 
Red Hat Desktop (v. 4)
SRPMS:
gnupg-1.2.6-9.src.rpm     66d7a97de1bf7d07f5bc403afb08b5a1
 
IA-32:
gnupg-1.2.6-9.i386.rpm     ff1fcc16803666fa6bb3778b8c765024
 
x86_64:
gnupg-1.2.6-9.x86_64.rpm     4f0348791dde513a605037eab21b0989
 
Red Hat Enterprise Linux AS (v. 2.1)
SRPMS:
gnupg-1.0.7-21.src.rpm     f2de74bb383030835808bf772b778d03
 
IA-32:
gnupg-1.0.7-21.i386.rpm     bdefd567317e73068bc7d8548eef9b62
 
IA-64:
gnupg-1.0.7-21.ia64.rpm     7d9c9f00a769a8bc3ad6cb7d9c873405
 
Red Hat Enterprise Linux AS (v. 3)
SRPMS:
gnupg-1.2.1-20.src.rpm     b58f2218e4869dd8b945f86b739d51f2
 
IA-32:
gnupg-1.2.1-20.i386.rpm     7567e3eeca9c11a2b0c33bf2e1c052f3
 
IA-64:
gnupg-1.2.1-20.ia64.rpm     9a74ed7d363226b9b314500427a9639e
 
PPC:
gnupg-1.2.1-20.ppc.rpm     93c308be7bc7625938b63e350d697be0
 
s390:
gnupg-1.2.1-20.s390.rpm     993e706b31617cf75c0a574c1a16f130
 
s390x:
gnupg-1.2.1-20.s390x.rpm     bb4efa201f02ada7389c237fedea3499
 
x86_64:
gnupg-1.2.1-20.x86_64.rpm     ca2ba72abdb891c81a8e0afcc489771d
 
Red Hat Enterprise Linux AS (v. 4)
SRPMS:
gnupg-1.2.6-9.src.rpm     66d7a97de1bf7d07f5bc403afb08b5a1
 
IA-32:
gnupg-1.2.6-9.i386.rpm     ff1fcc16803666fa6bb3778b8c765024
 
IA-64:
gnupg-1.2.6-9.ia64.rpm     b86560b6a5ba00907fbc78bef4f0da72
 
PPC:
gnupg-1.2.6-9.ppc.rpm     5a0664072856b2ac8afc817848b0d4c7
 
s390:
gnupg-1.2.6-9.s390.rpm     8f0f1c9e231b2010f7c48dd4efe74c39
 
s390x:
gnupg-1.2.6-9.s390x.rpm     930d4d567445b86111e21109f14635f1
 
x86_64:
gnupg-1.2.6-9.x86_64.rpm     4f0348791dde513a605037eab21b0989
 
Red Hat Enterprise Linux ES (v. 2.1)
SRPMS:
gnupg-1.0.7-21.src.rpm     f2de74bb383030835808bf772b778d03
 
IA-32:
gnupg-1.0.7-21.i386.rpm     bdefd567317e73068bc7d8548eef9b62
 
Red Hat Enterprise Linux ES (v. 3)
SRPMS:
gnupg-1.2.1-20.src.rpm     b58f2218e4869dd8b945f86b739d51f2
 
IA-32:
gnupg-1.2.1-20.i386.rpm     7567e3eeca9c11a2b0c33bf2e1c052f3
 
IA-64:
gnupg-1.2.1-20.ia64.rpm     9a74ed7d363226b9b314500427a9639e
 
x86_64:
gnupg-1.2.1-20.x86_64.rpm     ca2ba72abdb891c81a8e0afcc489771d
 
Red Hat Enterprise Linux ES (v. 4)
SRPMS:
gnupg-1.2.6-9.src.rpm     66d7a97de1bf7d07f5bc403afb08b5a1
 
IA-32:
gnupg-1.2.6-9.i386.rpm     ff1fcc16803666fa6bb3778b8c765024
 
IA-64:
gnupg-1.2.6-9.ia64.rpm     b86560b6a5ba00907fbc78bef4f0da72
 
x86_64:
gnupg-1.2.6-9.x86_64.rpm     4f0348791dde513a605037eab21b0989
 
Red Hat Enterprise Linux WS (v. 2.1)
SRPMS:
gnupg-1.0.7-21.src.rpm     f2de74bb383030835808bf772b778d03
 
IA-32:
gnupg-1.0.7-21.i386.rpm     bdefd567317e73068bc7d8548eef9b62
 
Red Hat Enterprise Linux WS (v. 3)
SRPMS:
gnupg-1.2.1-20.src.rpm     b58f2218e4869dd8b945f86b739d51f2
 
IA-32:
gnupg-1.2.1-20.i386.rpm     7567e3eeca9c11a2b0c33bf2e1c052f3
 
IA-64:
gnupg-1.2.1-20.ia64.rpm     9a74ed7d363226b9b314500427a9639e
 
x86_64:
gnupg-1.2.1-20.x86_64.rpm     ca2ba72abdb891c81a8e0afcc489771d
 
Red Hat Enterprise Linux WS (v. 4)
SRPMS:
gnupg-1.2.6-9.src.rpm     66d7a97de1bf7d07f5bc403afb08b5a1
 
IA-32:
gnupg-1.2.6-9.i386.rpm     ff1fcc16803666fa6bb3778b8c765024
 
IA-64:
gnupg-1.2.6-9.ia64.rpm     b86560b6a5ba00907fbc78bef4f0da72
 
x86_64:
gnupg-1.2.6-9.x86_64.rpm     4f0348791dde513a605037eab21b0989
 
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
SRPMS:
gnupg-1.0.7-21.src.rpm     f2de74bb383030835808bf772b778d03
 
IA-64:
gnupg-1.0.7-21.ia64.rpm     7d9c9f00a769a8bc3ad6cb7d9c873405
 
(The unlinked packages above are only available from the Red Hat Network)

解決法:

このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。
それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください:

rpm -Fvh [filename]

[filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。

up2date

このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。

バグジラ:  (詳細は、こちらbugzilla[英語]を御覧ください。)

230456 - CVE-2007-1263 gnupg signed message spoofing

参照:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1263
http://www.redhat.com/security/updates/classification/#important

ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html

各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。