Skip to content

Security Advisory 重要(Important):pcreのセキュリティアップデート

アップデートID:

RHSA-2007:1059-9

タイプ:Security Advisory
重大性:重要/Important
発行日:2007年11月29日
最終更新日:2007年11月29日
影響のある製品: RHEL Desktop Workstation (v. 5 client)
Red Hat Enterprise Linux (v. 5 server)
Red Hat Enterprise Linux Desktop (v. 5 client)
OVAL: https://rhn.redhat.com/errata/RHSA-2007-1059.html
CVEs (cve.mitre.org): CVE-2006-7225
CVE-2006-7226
CVE-2006-7228
CVE-2006-7230


詳細

複数のセキュリティ問題を解決したpcreのアップデートパッケージがRed Hat Enterprise Linux 5で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「重要(Important)」のセキュリティ問題と評価されています。

PCREはPerl互換の正規表現ライブラリです。

PCREでの特定の不正な正規表現の処理で欠陥が発見されました。PCREにリンクされたアプリケーション(Konquerorなど)が不正な正規表現を解析した場合、そのアプリケーションを実行しているユーザとして任意のコードが実行される可能性があります。(CVE-2006-7225、CVE-2006-7226、CVE-2006-7228、CVE-2006-7230)

PCREのユーザは、これらの問題を修正するバックポートパッチを含む上記アップデートパッケージにアップグレードしてください。

レッドハットは、この問題の報告についてLudwig Nussel氏に感謝します。


解決法


このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。


アップデートパッケージ

RHEL Desktop Workstation (v. 5 client)
IA-32:
pcre-devel-6.6-2.el5_1.7.i386.rpm     a28a9ee687328bc25eb01588c8738784
 
x86_64:
pcre-devel-6.6-2.el5_1.7.i386.rpm     a28a9ee687328bc25eb01588c8738784
pcre-devel-6.6-2.el5_1.7.x86_64.rpm     b9f543c695ad7d8141a5c2fd80692981
 
Red Hat Enterprise Linux (v. 5 server)
SRPMS:
pcre-6.6-2.el5_1.7.src.rpm     7cc3f071a95e8dabeae35ea9bb35bf44
 
IA-32:
pcre-6.6-2.el5_1.7.i386.rpm     d201068ae3b6af398aad8e3fedd2875e
pcre-devel-6.6-2.el5_1.7.i386.rpm     a28a9ee687328bc25eb01588c8738784
 
IA-64:
pcre-6.6-2.el5_1.7.ia64.rpm     7d60719573aecd2222867ddbe66bbe6c
pcre-devel-6.6-2.el5_1.7.ia64.rpm     df733a18eee9d49b391b21e048eee94f
 
PPC:
pcre-6.6-2.el5_1.7.ppc.rpm     12d9ca99b5c09e31a4945526dc22e881
pcre-6.6-2.el5_1.7.ppc64.rpm     955028fb20133c35e15d4ca6036ba226
pcre-devel-6.6-2.el5_1.7.ppc.rpm     6858d1c5a378e8957e1dba0d2d18850c
pcre-devel-6.6-2.el5_1.7.ppc64.rpm     72331b7d69a6f8ae26dff73b3529bc71
 
s390x:
pcre-6.6-2.el5_1.7.s390.rpm     4d7d135ce1ad2cb90de046aa30091e13
pcre-6.6-2.el5_1.7.s390x.rpm     b0c3c10df3700779b4196686e6724b54
pcre-devel-6.6-2.el5_1.7.s390.rpm     6e24bad9004f1803d75c7de2de5d5512
pcre-devel-6.6-2.el5_1.7.s390x.rpm     8f07ac7aee4d20b28aa8ebe5e0203d55
 
x86_64:
pcre-6.6-2.el5_1.7.i386.rpm     d201068ae3b6af398aad8e3fedd2875e
pcre-6.6-2.el5_1.7.x86_64.rpm     408ac25d3001d6df1e1a1373b70efe74
pcre-devel-6.6-2.el5_1.7.i386.rpm     a28a9ee687328bc25eb01588c8738784
pcre-devel-6.6-2.el5_1.7.x86_64.rpm     b9f543c695ad7d8141a5c2fd80692981
 
Red Hat Enterprise Linux Desktop (v. 5 client)
SRPMS:
pcre-6.6-2.el5_1.7.src.rpm     7cc3f071a95e8dabeae35ea9bb35bf44
 
IA-32:
pcre-6.6-2.el5_1.7.i386.rpm     d201068ae3b6af398aad8e3fedd2875e
 
x86_64:
pcre-6.6-2.el5_1.7.i386.rpm     d201068ae3b6af398aad8e3fedd2875e
pcre-6.6-2.el5_1.7.x86_64.rpm     408ac25d3001d6df1e1a1373b70efe74
 
(The unlinked packages above are only available from the Red Hat Network)


バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

383371 - CVE-2006-7228 pcre integer overflow
384761 - CVE-2006-7225 pcre miscalculation of memory requirements for malformed Posix character class
384781 - CVE-2006-7226 pcre miscalculation of memory requirements for repeated subpattern containing a named recursion or subroutine reference
384801 - CVE-2006-7230 pcre miscalculation of memory requirements if options are changed during pattern compilation


参照


http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-7225
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-7226
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-7228
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-7230
http://www.redhat.com/security/updates/classification/#important


ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/