Skip to content

Security Advisory 重要(Important):libvorbisのセキュリティアップデート

アップデートID:

RHSA-2007:0912-3

タイプ:Security Advisory
重大性:重要/Important
発行日:2007年10月11日
最終更新日:2007年10月11日
影響のある製品: Red Hat Enterprise Linux AS (v. 2.1)
Red Hat Enterprise Linux ES (v. 2.1)
Red Hat Enterprise Linux WS (v. 2.1)
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
OVAL: https://rhn.redhat.com/errata/RHSA-2007-0912.html
CVEs (cve.mitre.org): CVE-2007-3106
CVE-2007-4029
CVE-2007-4065
CVE-2007-4066


詳細

複数のセキュリティ問題を修正したlibvorbisのアップデートパッケージがRed Hat Enterprise Linux 2.1で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「重要(Important)」のセキュリティ問題と評価されています。

libvorbisパッケージには、Ogg Voribsをサポートするプログラムで使用するためのランタイムライブラリが含まれています。Ogg Vorbisは、完全にオープンな汎用の圧縮音声フォーマットです。これは非プロプライエタリであり、特許で保護されたり、使用料を請求されたりすることはありません。

libvorbisでの音声データの処理で複数の欠陥が見つかりました。攻撃者が巧妙に作成されたOGG音声ファイルを利用して、そのファイルが開かれたときにlibvorbisにリンクされたアプリケーションをクラッシュさせたり、任意のコードを実行したりする可能性があります。(CVE-2007-3106、CVE-2007-4029、CVE-2007-4065、CVE-2007-4066)

libvorbisのユーザは、これらの問題を解決するバックポートパッチを含む上記アップデートパッケージにアップグレードしてください。


解決法


このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。


アップデートパッケージ

Red Hat Enterprise Linux AS (v. 2.1)
SRPMS:
libvorbis-1.0rc2-7.el2.src.rpm     b454698b9ea8aa9c498a907e2b86c4a1
 
IA-32:
libvorbis-1.0rc2-7.el2.i386.rpm     1fcc426b0d1ef1ded097ac5bfcc9be0f
libvorbis-devel-1.0rc2-7.el2.i386.rpm     9db24d689a071de98362e3ed34c39bec
 
IA-64:
libvorbis-1.0rc2-7.el2.ia64.rpm     fcbdccf22526dab1b2bec43cc184a502
libvorbis-devel-1.0rc2-7.el2.ia64.rpm     a1ae14c49922e0c91e5d2912dcd1d6a3
 
Red Hat Enterprise Linux ES (v. 2.1)
SRPMS:
libvorbis-1.0rc2-7.el2.src.rpm     b454698b9ea8aa9c498a907e2b86c4a1
 
IA-32:
libvorbis-1.0rc2-7.el2.i386.rpm     1fcc426b0d1ef1ded097ac5bfcc9be0f
libvorbis-devel-1.0rc2-7.el2.i386.rpm     9db24d689a071de98362e3ed34c39bec
 
Red Hat Enterprise Linux WS (v. 2.1)
SRPMS:
libvorbis-1.0rc2-7.el2.src.rpm     b454698b9ea8aa9c498a907e2b86c4a1
 
IA-32:
libvorbis-1.0rc2-7.el2.i386.rpm     1fcc426b0d1ef1ded097ac5bfcc9be0f
libvorbis-devel-1.0rc2-7.el2.i386.rpm     9db24d689a071de98362e3ed34c39bec
 
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
SRPMS:
libvorbis-1.0rc2-7.el2.src.rpm     b454698b9ea8aa9c498a907e2b86c4a1
 
IA-64:
libvorbis-1.0rc2-7.el2.ia64.rpm     fcbdccf22526dab1b2bec43cc184a502
libvorbis-devel-1.0rc2-7.el2.ia64.rpm     a1ae14c49922e0c91e5d2912dcd1d6a3
 
(The unlinked packages above are only available from the Red Hat Network)


バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

245991 - CVE-2007-3106 libvorbis array boundary condition
249780 - CVE-2007-4065 Multiple libvorbis flaws (CVE-2007-4066, CVE-2007-4029)


参照


http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3106
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4029
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4065
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4066
http://www.redhat.com/security/updates/classification/#important


ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/