zsh-5.0.2-31.el7

エラータID: AXSA:2018-3420:01

リリース日: 
2018/11/08 Thursday - 17:14
題名: 
zsh-5.0.2-31.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- zsh の exec.c には,">& fd" 構文中に長いファイルディスクリプタを
渡すことにより,バッファオーバーフローが生じる脆弱性があります。
(CVE-2014-10071)

- zsh の utils.c には,シンボリックリンクに対する非常に長いディレク
トリパスを走査する際に,バッファーオーバーフローが生じる脆弱性があり
ます。(CVE-2014-10072)

- zsh の builtin.c には,sh との互換性モードを使用している際に
HOME を設定しない状態で,引数なしの cd コマンドの処理中にヌルポインタ
デリファレンスが生じる脆弱性があります。(CVE-2017-18205)

- zsh の utils.c には,シンボリックリンクを展開する際にバッファオーバー
フローが生じる脆弱性があります。(CVE-2017-18206)

- zsh の exec.c:hashcmd() 関数には,ローカルの攻撃者がサービス拒否を
引き起こす,スタックベースのバッファオーバーフローの脆弱性があります。
(CVE-2018-1071)

- zsh には,シェルの自動補完の機能に問題があり,巧妙に細工されたディ
レクトリパスによって,ローカルの攻撃者がバッファオーバーフローを引き
起こし、また権限を持つユーザである場合は影響を受けると、権限昇格を引
き起こす脆弱性があります。(CVE-2018-1083)

- zsh の utils.c:checkmailpath 関数には,ローカルの攻撃者が他のユー
ザのコンテクストで任意のコードを実行するスタックベースのバッファオー
バーフローの脆弱性があります。(CVE-2018-1100)

- zsh の params.c には,空のハッシュテーブルのコピー中にクラッシュ
する脆弱性があります。(CVE-2018-7549)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. zsh-5.0.2-31.el7.src.rpm
    MD5: bf7eca5bfe6ba2fca56cfc0386808c73
    SHA-256: 815bf3b9fc5c0b43c297fd5336cb4d68edd51b158b0307c531611fc9cb14f2c8
    Size: 2.97 MB

Asianux Server 7 for x86_64
  1. zsh-5.0.2-31.el7.x86_64.rpm
    MD5: 9c5d4cd89a2ccc4ef0b83ad89fa3839b
    SHA-256: 33d6be670e7b7c11d7fe5353ebdc39d411280df6e04f5a6e4994fab6069a0595
    Size: 2.38 MB