Skip to content

Security Advisory 中(Moderate): tkのセキュリティアップデート

アップデートID:

RHSA-2008:0135-2

タイプ:Security Advisory
重大性:Moderate
発行日:2008年2月21日
最終更新日:2008年2月21日
影響のある製品: Red Hat Desktop (v. 4)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 4)
OVAL: https://rhn.redhat.com/errata/RHSA-2008-0135.html
CVEs (cve.mitre.org): CVE-2007-5378
CVE-2008-0553


詳細

1つのセキュリティ問題を修正したtkのアップデートパッケージがRed Hat Enterprise Linux 4で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中(Moderate)」のセキュリティ問題と評価されています。

[ 2008年2月22日アップデート ]
このエラータに含まれていたパッケージは、当初誤ったRed Hat Networkチャネルに送られていたため、全てのユーザから利用できる状態にありませんでした。チャネルを修正し、エラータをアップデートしました。

TkはTclスクリプト言語向けのグラフィカルツールキットです。

TkのGIF画像を取り扱う処理の中の入力値の検証で、問題が1つ発見されました。GIF画像から読み込まれたコードサイズ値が利用前に適切に検証されておらず、バッファ・オーバーフローを誘発してしまいます。巧妙に作成された画像を用いてクラッシュを誘発したり、Tkグラフィカルツールキットを利用しているアプリケーションの権限でコードを実行できてしまいます。(CVE-2008-0553)

TkのアニメーションGIF画像を取り扱う処理の中で、バッファ・オーバーフローの問題が1つ発見されました。初期画像がそれに続く画像よりも小さいアニメーションGIF画像はクラッシュを誘発したり、Tkライブラリを利用しているアプリケーションの権限でコードを実行できてしまいます。(CVE-2007-5378)

全てのユーザは、この問題を解決するバックポートパッチが含まれている上記アップデートパッケージにアップグレードしてください。


解決法

このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。

このアップデートを適用するためにRed Hat Networkをどのように利用するかの詳細は、次のFAQリンクを参照してください。http://kbase.redhat.com/faq/FAQ_58_10188


解決法


このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。


アップデートパッケージ

Red Hat Desktop (v. 4)
SRPMS:
tk-8.4.7-3.el4_6.1.src.rpm     4781080278dd2ad29ecd3c40f8eeca9c
 
IA-32:
tk-8.4.7-3.el4_6.1.i386.rpm     06267d42a3b0e115cbedd3963cb7c51c
tk-devel-8.4.7-3.el4_6.1.i386.rpm     aaa9db9c3a86c1312b5cc4d83bcd9da0
 
x86_64:
tk-8.4.7-3.el4_6.1.i386.rpm     06267d42a3b0e115cbedd3963cb7c51c
tk-8.4.7-3.el4_6.1.x86_64.rpm     ad7748f1aa63684e895329a8f00da25f
tk-devel-8.4.7-3.el4_6.1.x86_64.rpm     724cb04896b527d7efe3eb92b5bd5f14
 
Red Hat Enterprise Linux AS (v. 4)
SRPMS:
tk-8.4.7-3.el4_6.1.src.rpm     4781080278dd2ad29ecd3c40f8eeca9c
 
IA-32:
tk-8.4.7-3.el4_6.1.i386.rpm     06267d42a3b0e115cbedd3963cb7c51c
tk-devel-8.4.7-3.el4_6.1.i386.rpm     aaa9db9c3a86c1312b5cc4d83bcd9da0
 
IA-64:
tk-8.4.7-3.el4_6.1.i386.rpm     06267d42a3b0e115cbedd3963cb7c51c
tk-8.4.7-3.el4_6.1.ia64.rpm     f8a7819691ee3f7053d7750039f3e1a8
tk-devel-8.4.7-3.el4_6.1.ia64.rpm     b4ed37b7ad38684803c30a4cb572a98b
 
PPC:
tk-8.4.7-3.el4_6.1.ppc.rpm     c4d7406405cc875dc7d6cdc087877265
tk-8.4.7-3.el4_6.1.ppc64.rpm     6093f43d9c26673f0453015edb93ef46
tk-devel-8.4.7-3.el4_6.1.ppc.rpm     293c00ccc35175a26d710938b8f46f3c
 
s390:
tk-8.4.7-3.el4_6.1.s390.rpm     ed8624fa464081ea1b625cceaf002f5a
tk-devel-8.4.7-3.el4_6.1.s390.rpm     7cc110fa1a3d7874daf4a19c8281613a
 
s390x:
tk-8.4.7-3.el4_6.1.s390.rpm     ed8624fa464081ea1b625cceaf002f5a
tk-8.4.7-3.el4_6.1.s390x.rpm     c27905fba09b2627c8fab35700fcaf22
tk-devel-8.4.7-3.el4_6.1.s390x.rpm     4268b8a2cb3c194f2a04676689ba366d
 
x86_64:
tk-8.4.7-3.el4_6.1.i386.rpm     06267d42a3b0e115cbedd3963cb7c51c
tk-8.4.7-3.el4_6.1.x86_64.rpm     ad7748f1aa63684e895329a8f00da25f
tk-devel-8.4.7-3.el4_6.1.x86_64.rpm     724cb04896b527d7efe3eb92b5bd5f14
 
Red Hat Enterprise Linux ES (v. 4)
SRPMS:
tk-8.4.7-3.el4_6.1.src.rpm     4781080278dd2ad29ecd3c40f8eeca9c
 
IA-32:
tk-8.4.7-3.el4_6.1.i386.rpm     06267d42a3b0e115cbedd3963cb7c51c
tk-devel-8.4.7-3.el4_6.1.i386.rpm     aaa9db9c3a86c1312b5cc4d83bcd9da0
 
IA-64:
tk-8.4.7-3.el4_6.1.i386.rpm     06267d42a3b0e115cbedd3963cb7c51c
tk-8.4.7-3.el4_6.1.ia64.rpm     f8a7819691ee3f7053d7750039f3e1a8
tk-devel-8.4.7-3.el4_6.1.ia64.rpm     b4ed37b7ad38684803c30a4cb572a98b
 
x86_64:
tk-8.4.7-3.el4_6.1.i386.rpm     06267d42a3b0e115cbedd3963cb7c51c
tk-8.4.7-3.el4_6.1.x86_64.rpm     ad7748f1aa63684e895329a8f00da25f
tk-devel-8.4.7-3.el4_6.1.x86_64.rpm     724cb04896b527d7efe3eb92b5bd5f14
 
Red Hat Enterprise Linux WS (v. 4)
SRPMS:
tk-8.4.7-3.el4_6.1.src.rpm     4781080278dd2ad29ecd3c40f8eeca9c
 
IA-32:
tk-8.4.7-3.el4_6.1.i386.rpm     06267d42a3b0e115cbedd3963cb7c51c
tk-devel-8.4.7-3.el4_6.1.i386.rpm     aaa9db9c3a86c1312b5cc4d83bcd9da0
 
IA-64:
tk-8.4.7-3.el4_6.1.i386.rpm     06267d42a3b0e115cbedd3963cb7c51c
tk-8.4.7-3.el4_6.1.ia64.rpm     f8a7819691ee3f7053d7750039f3e1a8
tk-devel-8.4.7-3.el4_6.1.ia64.rpm     b4ed37b7ad38684803c30a4cb572a98b
 
x86_64:
tk-8.4.7-3.el4_6.1.i386.rpm     06267d42a3b0e115cbedd3963cb7c51c
tk-8.4.7-3.el4_6.1.x86_64.rpm     ad7748f1aa63684e895329a8f00da25f
tk-devel-8.4.7-3.el4_6.1.x86_64.rpm     724cb04896b527d7efe3eb92b5bd5f14
 
(The unlinked packages above are only available from the Red Hat Network)


バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

332021 - CVE-2007-5378 Tk GIF processing buffer overflow
431518 - CVE-2008-0553 tk: GIF handling buffer overflow


参照


http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5378
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0553
http://www.redhat.com/security/updates/classification/#moderate


ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/