Skip to content

Security Advisory 重要(Important):nfs-utils-libのセキュリティアップデート

アップデートID:

RHSA-2007:0951-2

タイプ:Security Advisory
重大性:重要/Important
発行日:2007年10月2日
最終更新日:2007年10月2日
影響のある製品: RHEL Desktop Workstation (v. 5 client)
Red Hat Enterprise Linux (v. 5 server)
Red Hat Enterprise Linux Desktop (v. 5 client)
OVAL: https://rhn.redhat.com/errata/RHSA-2007-0951.html
CVEs (cve.mitre.org): CVE-2007-3999
CVE-2007-4135

詳細

2つのセキュリティ欠陥を修正したnfs-utils-libのアップデートパッケージがRed Hat Enterprise Linux 5で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「重要(Important)」のセキュリティ問題と評価されています。

nfs-utils-libパッケージには、nfs-utilsパッケージのコマンドやデーモンで必要とされるサポートライブラリが含まれています。

このアップデートされたnfs-utilsパッケージでは、次の脆弱性が修正されています。

Tenable Network Securityが、nfs-utils-libにより使用されるRPCライブラリでスタックバッファオーバーフローの欠陥を発見しました。nfs-utils-libにリンクされたアプリケーションにアクセスできる未認証のリモート攻撃者が、この欠陥を悪用してそのアプリケーションをクラッシュさせることが可能です。Red Hat Enterprise Linux 5では、FORTIFY_SOURCEによってオーバーフローがブロックされるため、この欠陥を悪用して任意のコードを実行することはできません。(CVE-2007-3999)

SGIのTony Ernst氏が、nfsidmapでのNFSv4の未知のuidをマッピングする処理で欠陥を発見しました。NFSv4でマウントされたファイルシステムで未知のユーザIDが検出された場合、ファイルがデフォルトで「nobody」ではなく「root」により所有されます。(CVE-2007-4135)

nfs-utils-libのユーザは、これらの問題を解決するバックポートパッチを含む上記アップデートパッケージにアップグレードしてください。


解決法


このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。


アップデートパッケージ

RHEL Desktop Workstation (v. 5 client)
IA-32:
nfs-utils-lib-devel-1.0.8-7.2.z2.i386.rpm     c890d8f2e7e6b5fa0bb0878936f343ad
 
x86_64:
nfs-utils-lib-devel-1.0.8-7.2.z2.i386.rpm     c890d8f2e7e6b5fa0bb0878936f343ad
nfs-utils-lib-devel-1.0.8-7.2.z2.x86_64.rpm     33fe924d3a325d426858b6aad70f1fe6
 
Red Hat Enterprise Linux (v. 5 server)
SRPMS:
nfs-utils-lib-1.0.8-7.2.z2.src.rpm     80a7bf1fdfb74b567f0b98882b5de084
 
IA-32:
nfs-utils-lib-1.0.8-7.2.z2.i386.rpm     4a7766d840a3b84ba568a283a3acf1d3
nfs-utils-lib-devel-1.0.8-7.2.z2.i386.rpm     c890d8f2e7e6b5fa0bb0878936f343ad
 
IA-64:
nfs-utils-lib-1.0.8-7.2.z2.ia64.rpm     b49bcc58f42fe1a3c1fb01aa86f40749
nfs-utils-lib-devel-1.0.8-7.2.z2.ia64.rpm     981f9c4878a63f59d23c1b56e88a4488
 
PPC:
nfs-utils-lib-1.0.8-7.2.z2.ppc.rpm     f9b8f236a9cd1e0af83e75c6328034ef
nfs-utils-lib-1.0.8-7.2.z2.ppc64.rpm     15f30c10412135fe3c72c3810fbff021
nfs-utils-lib-devel-1.0.8-7.2.z2.ppc.rpm     e9010a2a7b9051ef213535caf3720c82
nfs-utils-lib-devel-1.0.8-7.2.z2.ppc64.rpm     6d0ff75429edca9126c9eb3c03a61060
 
s390x:
nfs-utils-lib-1.0.8-7.2.z2.s390.rpm     45ec57215f2edd048a6fbf06bcc0fefe
nfs-utils-lib-1.0.8-7.2.z2.s390x.rpm     ba87ae35fc6b3fefd91bf158d0c77d5d
nfs-utils-lib-devel-1.0.8-7.2.z2.s390.rpm     f0cc242918a225377f7b05302a82d5a7
nfs-utils-lib-devel-1.0.8-7.2.z2.s390x.rpm     dea17a87ca13c7859fdac6607cd489d1
 
x86_64:
nfs-utils-lib-1.0.8-7.2.z2.i386.rpm     4a7766d840a3b84ba568a283a3acf1d3
nfs-utils-lib-1.0.8-7.2.z2.x86_64.rpm     0319d4618fd0cfc2ae148f91cb37eb2e
nfs-utils-lib-devel-1.0.8-7.2.z2.i386.rpm     c890d8f2e7e6b5fa0bb0878936f343ad
nfs-utils-lib-devel-1.0.8-7.2.z2.x86_64.rpm     33fe924d3a325d426858b6aad70f1fe6
 
Red Hat Enterprise Linux Desktop (v. 5 client)
SRPMS:
nfs-utils-lib-1.0.8-7.2.z2.src.rpm     80a7bf1fdfb74b567f0b98882b5de084
 
IA-32:
nfs-utils-lib-1.0.8-7.2.z2.i386.rpm     4a7766d840a3b84ba568a283a3acf1d3
 
x86_64:
nfs-utils-lib-1.0.8-7.2.z2.i386.rpm     4a7766d840a3b84ba568a283a3acf1d3
nfs-utils-lib-1.0.8-7.2.z2.x86_64.rpm     0319d4618fd0cfc2ae148f91cb37eb2e
 
(The unlinked packages above are only available from the Red Hat Network)


バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

250973 - CVE-2007-3999 krb5 RPC library buffer overflow
254040 - CVE-2007-4135 nfs-utils-lib NFSv4 user id mapping flaw


参照


http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3999
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4135
http://www.redhat.com/security/updates/classification/#important


ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/