patch-2.7.1-10.el7

エラータID: AXSA:2018-2972:01

リリース日: 
2018/04/24 Tuesday - 00:47
題名: 
patch-2.7.1-10.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- GNU Patch には patch ファイルを処理中に,入力の検証に問題があり,
patch コマンドによって patch ファイルを処理することで
具体的に言うと,(ed を指定した時) EDITOR_PROGRAM の呼び出しで
コードの実行が行われる脆弱性があります。(CVE-2018-1000156)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2018-1000156
GNU Patch version 2.7.6 contains an input validation vulnerability when processing patch files, specifically the EDITOR_PROGRAM invocation (using ed) can result in code execution. This attack appear to be exploitable via a patch file processed via the patch utility. This is similar to FreeBSD's CVE-2015-1418 however although they share a common ancestry the code bases have diverged over time.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. patch-2.7.1-10.el7.src.rpm
    MD5: 29e5bc8e26cb15c01d8bf1be0d3e2df3
    SHA-256: 9ca121be3cb4265bbfeaa96cea144299b48c85f4eefbca1e81c3eab56d561802
    Size: 683.17 kB

Asianux Server 7 for x86_64
  1. patch-2.7.1-10.el7.x86_64.rpm
    MD5: 0555b7026b0e15f13a44d33d30357ea5
    SHA-256: 2eaaf38e24bd9770ed8029e915ac507434f1e76d2aa34ba93c448d2a2d21dfe4
    Size: 109.21 kB