gnupg2-2.0.14-6.AXS4
エラータID: AXSA:2014-005:01
リリース日:
2014/03/04 Tuesday - 12:35
題名:
gnupg2-2.0.14-6.AXS4
影響のあるチャネル:
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- GnuPG の g10/import.c の read_block 関数はキーをインポートする際に,OpenPGP パケットの巧妙に細工された長さのフィールドによって,リモートの攻撃者がパブリックキーリングデータベースを破壊したり,あるいはサービス拒否 (アプリケーションのクラッシュ) を引き起こす脆弱性があります。(CVE-2012-6085)
- GnuPG はあたかもすべてのビットがクリアされた (すべて使用禁止) キーフラッグサブパケットをまるですべてのビットがセットされている (すべての使用許可) ように扱い,サブキーを使用することによって,リモートの攻撃者が暗号保護メカニズムを迂回する脆弱性があります。(CVE-2013-4351)
- GnuPG には リモートの攻撃者が巧妙に細工された OpenPGP メッセージによって,サービス拒否 (無限再帰) を引き起こす脆弱性があります。 (CVE-2013-4402)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2012-6085
The read_block function in g10/import.c in GnuPG 1.4.x before 1.4.13 and 2.0.x through 2.0.19, when importing a key, allows remote attackers to corrupt the public keyring database or cause a denial of service (application crash) via a crafted length field of an OpenPGP packet.
The read_block function in g10/import.c in GnuPG 1.4.x before 1.4.13 and 2.0.x through 2.0.19, when importing a key, allows remote attackers to corrupt the public keyring database or cause a denial of service (application crash) via a crafted length field of an OpenPGP packet.
CVE-2013-4351
GnuPG 1.4.x, 2.0.x, and 2.1.x treats a key flags subpacket with all bits cleared (no usage permitted) as if it has all bits set (all usage permitted), which might allow remote attackers to bypass intended cryptographic protection mechanisms by leveraging the subkey.
GnuPG 1.4.x, 2.0.x, and 2.1.x treats a key flags subpacket with all bits cleared (no usage permitted) as if it has all bits set (all usage permitted), which might allow remote attackers to bypass intended cryptographic protection mechanisms by leveraging the subkey.
CVE-2013-4402
The compressed packet parser in GnuPG 1.4.x before 1.4.15 and 2.0.x before 2.0.22 allows remote attackers to cause a denial of service (infinite recursion) via a crafted OpenPGP message.
The compressed packet parser in GnuPG 1.4.x before 1.4.15 and 2.0.x before 2.0.22 allows remote attackers to cause a denial of service (infinite recursion) via a crafted OpenPGP message.
追加情報:
N/A
ダウンロード:
SRPMS
- gnupg2-2.0.14-6.AXS4.src.rpm
MD5: 758ce39b7ddf087e1b88f6971a9452b4
SHA-256: e1203c4894d7aba5c4dc8e5d9468d165f0f6a23fa2860fc92746c7970a118cd0
Size: 3.82 MB
Asianux Server 4 for x86
- gnupg2-2.0.14-6.AXS4.i686.rpm
MD5: a1f16dc7c581e4660cb816c7acbf0975
SHA-256: 9d1d649477cd67c2a90441a64ed8f5502307f42393682ef7886cdd15ad853d9e
Size: 1.56 MB
Asianux Server 4 for x86_64
- gnupg2-2.0.14-6.AXS4.x86_64.rpm
MD5: a996bf0b05b4a913740b261eb5360474
SHA-256: 939da25d69668bd6f1404ff7a9e47c8b1d96585fef24e23ce524873d4b42cef8
Size: 1.58 MB