gnupg2-2.0.22-5.el7
エラータID: AXSA:2018-3256:01
リリース日:
2018/07/12 Thursday - 04:52
題名:
gnupg2-2.0.22-5.el7
影響のあるチャネル:
Asianux Server 7 for x86_64
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- GnuPG の mainproc.c には,復号化と検証の動作中に本来のファイル名を
誤って処理し,リモートの攻撃者が GnuPG が標準エラー出力を
"--status-fd 2" オプションを用いる他のプログラムへ送る出力を偽り,
Open PGP データが GOODSIG あるいは VALIDSIG ステータスコードととも
にラインフィード文字を含むファイル名を表示する可能性のある脆弱性が
あります。(CVE-2018-12020)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2018-12020
mainproc.c in GnuPG before 2.2.8 mishandles the original filename during decryption and verification actions, which allows remote attackers to spoof the output that GnuPG sends on file descriptor 2 to other programs that use the "--status-fd 2" option. For example, the OpenPGP data might represent an original filename that contains line feed characters in conjunction with GOODSIG or VALIDSIG status codes.
mainproc.c in GnuPG before 2.2.8 mishandles the original filename during decryption and verification actions, which allows remote attackers to spoof the output that GnuPG sends on file descriptor 2 to other programs that use the "--status-fd 2" option. For example, the OpenPGP data might represent an original filename that contains line feed characters in conjunction with GOODSIG or VALIDSIG status codes.
追加情報:
N/A
ダウンロード:
SRPMS
- gnupg2-2.0.22-5.el7.src.rpm
MD5: f2557d074713883a39aa516245266cb0
SHA-256: 3486498d18f084e56193d11560ad90275af20c90998e5f4e2750f000e2044947
Size: 4.10 MB
Asianux Server 7 for x86_64
- gnupg2-2.0.22-5.el7.x86_64.rpm
MD5: 43a7fb6f23383f28724c6715c9ea480b
SHA-256: b83c99df5d641ae7a5e1f4585775ae0606797a56d968a68886602830f3aae8e1
Size: 1.49 MB