Skip to content

Security Advisory 中(Moderate):muttのセキュリティアップデート

アップデートID:

RHSA-2007:0386-4

タイプ:Security Advisory
重大性:Moderate
発行日:2007年6月4日
最終更新日:2007年6月4日
影響のある製品: Red Hat Desktop (v. 3)
Red Hat Desktop (v. 4)
Red Hat Enterprise Linux (v. 5 server)
Red Hat Enterprise Linux AS (v. 3)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux Desktop (v. 5 client)
Red Hat Enterprise Linux ES (v. 3)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 3)
Red Hat Enterprise Linux WS (v. 4)
OVAL: https://rhn.redhat.com/errata/RHSA-2007-0386.html
CVEs (cve.mitre.org): CVE-2006-5297
CVE-2007-1558
CVE-2007-2683


詳細

複数のセキュリティのバグを修正したmuttのアップデートパッケージがRed Hat Enterprise Linux 3、4、および5で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中(Moderate)」のセキュリティ問題と評価されています。

muttは、テキストモードのメールユーザエージェントです。

MuttがNFSファイルシステムにおいてテンポラリファイルを使用する処理で欠陥が見つかりました。NFSプロトコルの実装に問題があったため、Muttで新しいファイルを排他的にオープンできませんでした。ローカルから時間依存の攻撃を実行され、電子メールの添付ファイルへアクセスされる可能性があります。(CVE-2006-5297)

Muttでの特定のAPOP認証要求の処理で欠陥が見つかりました。muttがAPOPサーバに対して認証を試みたときに特定の応答を送信し、ユーザの認証証明書の特定部分がリモートから取得されることがあります。(CVE-2007-1558)

gecosフィールド内の特定の文字に対するMuttの処理で、バッファオーバーフローにつながる可能性のある欠陥が見つかりました。gecosフィールドは、ユーザに関する一般的な情報の記録に使用されることが多い、パスワードデータベース内のエントリの1つです。巧妙に作成された「Real Name」を自分に付与することで、Muttが使用されて攻撃者のエイリアスが展開された場合に、ローカルから任意のコードを実行することが可能です。(CVE-2007-2683)

muttのすべてのユーザは、これらの問題を修正するバックポートパッチを含む上記アップデートパッケージにアップグレードしてください。


解決法

このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。


アップデートパッケージ

Red Hat Desktop (v. 3)
SRPMS:
mutt-1.4.1-5.el3.src.rpm     8384ce3449be51139647256577f84079
 
IA-32:
mutt-1.4.1-5.el3.i386.rpm     2491e70c876b4261c801f5d8f08bb392
 
x86_64:
mutt-1.4.1-5.el3.x86_64.rpm     0abea22f29179dd610cf494a5fd6323a
 
Red Hat Desktop (v. 4)
SRPMS:
mutt-1.4.1-12.0.3.el4.src.rpm     8b5b2979f71429bc79633117cbfea087
 
IA-32:
mutt-1.4.1-12.0.3.el4.i386.rpm     f5e48dd55303f02b11e0ad769e089f9a
 
x86_64:
mutt-1.4.1-12.0.3.el4.x86_64.rpm     eb57c8f98d7efd4bed436348b3ab0d1d
 
Red Hat Enterprise Linux (v. 5 server)
SRPMS:
mutt-1.4.2.2-3.0.2.el5.src.rpm     c7d486555a31e762e5c79f7691ba7f19
 
IA-32:
mutt-1.4.2.2-3.0.2.el5.i386.rpm     1a6a3d9926ff827a50d7fefd3ab005a6
 
IA-64:
mutt-1.4.2.2-3.0.2.el5.ia64.rpm     2b8b495900de249098a271b4636744f9
 
PPC:
mutt-1.4.2.2-3.0.2.el5.ppc.rpm     de51bdae7b7e88051b090fb70bdcc1d1
 
s390x:
mutt-1.4.2.2-3.0.2.el5.s390x.rpm     5d67045d1f2c21dfb113daed38e6f14c
 
x86_64:
mutt-1.4.2.2-3.0.2.el5.x86_64.rpm     49a78928ccb308daadf1d125a0fabd55
 
Red Hat Enterprise Linux AS (v. 3)
SRPMS:
mutt-1.4.1-5.el3.src.rpm     8384ce3449be51139647256577f84079
 
IA-32:
mutt-1.4.1-5.el3.i386.rpm     2491e70c876b4261c801f5d8f08bb392
 
IA-64:
mutt-1.4.1-5.el3.ia64.rpm     c62127857df26687f905249b271b27d6
 
PPC:
mutt-1.4.1-5.el3.ppc.rpm     57497e15115caf7d52e7d91ac3e2f554
 
s390:
mutt-1.4.1-5.el3.s390.rpm     84e28ce45290142edb5c79c8673a94ee
 
s390x:
mutt-1.4.1-5.el3.s390x.rpm     ae6de5d72918b2e786cc8b716ee394e2
 
x86_64:
mutt-1.4.1-5.el3.x86_64.rpm     0abea22f29179dd610cf494a5fd6323a
 
Red Hat Enterprise Linux AS (v. 4)
SRPMS:
mutt-1.4.1-12.0.3.el4.src.rpm     8b5b2979f71429bc79633117cbfea087
 
IA-32:
mutt-1.4.1-12.0.3.el4.i386.rpm     f5e48dd55303f02b11e0ad769e089f9a
 
IA-64:
mutt-1.4.1-12.0.3.el4.ia64.rpm     b68fe87f13d4d4349c2fe1227633d96c
 
PPC:
mutt-1.4.1-12.0.3.el4.ppc.rpm     483f45a70c44269805327a0b388627a8
 
s390:
mutt-1.4.1-12.0.3.el4.s390.rpm     4ea9d9bca972ee5bde1a032438390f9d
 
s390x:
mutt-1.4.1-12.0.3.el4.s390x.rpm     f9ac874d0337bad04384342c1a97e3ba
 
x86_64:
mutt-1.4.1-12.0.3.el4.x86_64.rpm     eb57c8f98d7efd4bed436348b3ab0d1d
 
Red Hat Enterprise Linux Desktop (v. 5 client)
SRPMS:
mutt-1.4.2.2-3.0.2.el5.src.rpm     c7d486555a31e762e5c79f7691ba7f19
 
IA-32:
mutt-1.4.2.2-3.0.2.el5.i386.rpm     1a6a3d9926ff827a50d7fefd3ab005a6
 
x86_64:
mutt-1.4.2.2-3.0.2.el5.x86_64.rpm     49a78928ccb308daadf1d125a0fabd55
 
Red Hat Enterprise Linux ES (v. 3)
SRPMS:
mutt-1.4.1-5.el3.src.rpm     8384ce3449be51139647256577f84079
 
IA-32:
mutt-1.4.1-5.el3.i386.rpm     2491e70c876b4261c801f5d8f08bb392
 
IA-64:
mutt-1.4.1-5.el3.ia64.rpm     c62127857df26687f905249b271b27d6
 
x86_64:
mutt-1.4.1-5.el3.x86_64.rpm     0abea22f29179dd610cf494a5fd6323a
 
Red Hat Enterprise Linux ES (v. 4)
SRPMS:
mutt-1.4.1-12.0.3.el4.src.rpm     8b5b2979f71429bc79633117cbfea087
 
IA-32:
mutt-1.4.1-12.0.3.el4.i386.rpm     f5e48dd55303f02b11e0ad769e089f9a
 
IA-64:
mutt-1.4.1-12.0.3.el4.ia64.rpm     b68fe87f13d4d4349c2fe1227633d96c
 
x86_64:
mutt-1.4.1-12.0.3.el4.x86_64.rpm     eb57c8f98d7efd4bed436348b3ab0d1d
 
Red Hat Enterprise Linux WS (v. 3)
SRPMS:
mutt-1.4.1-5.el3.src.rpm     8384ce3449be51139647256577f84079
 
IA-32:
mutt-1.4.1-5.el3.i386.rpm     2491e70c876b4261c801f5d8f08bb392
 
IA-64:
mutt-1.4.1-5.el3.ia64.rpm     c62127857df26687f905249b271b27d6
 
x86_64:
mutt-1.4.1-5.el3.x86_64.rpm     0abea22f29179dd610cf494a5fd6323a
 
Red Hat Enterprise Linux WS (v. 4)
SRPMS:
mutt-1.4.1-12.0.3.el4.src.rpm     8b5b2979f71429bc79633117cbfea087
 
IA-32:
mutt-1.4.1-12.0.3.el4.i386.rpm     f5e48dd55303f02b11e0ad769e089f9a
 
IA-64:
mutt-1.4.1-12.0.3.el4.ia64.rpm     b68fe87f13d4d4349c2fe1227633d96c
 
x86_64:
mutt-1.4.1-12.0.3.el4.x86_64.rpm     eb57c8f98d7efd4bed436348b3ab0d1d
 
(The unlinked packages above are only available from the Red Hat Network)


バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

211085 - CVE-2006-5297 Multiple mutt tempfile race conditions
239890 - CVE-2007-2683 Buffer overflow in mutt's gecos structure handling
241191 - CVE-2007-1558 fetchmail, mutt: APOP vulnerability


参照


http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5297
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1558
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2683
http://www.redhat.com/security/updates/classification/#moderate

キーワード


/tmp, APOP, buffer, gecos, NFS, overflow, O_EXCL, race

ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/