セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2601-1 gnupg, gnupg2

Debian セキュリティ勧告

DSA-2601-1 gnupg, gnupg2 -- 入力サニタイズ処理の欠落

報告日時:

2013-01-06

影響を受けるパッケージ:

gnupg, gnupg2

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 697108, バグ 697251.
Mitre の CVE 辞書: CVE-2012-6085.

詳細:

KB Sriram さんが、GNU Privacy Guard GnuPG が公開鍵をインポートする際にサニタイズを十分に行っていないことを発見しました。 メモリおよびキーリングの破損につながる可能性があります。

この問題は「gnupg」パッケージのバージョン 1、「gnupg2」パッケージのバージョン 2 の両方に影響します。

安定版 (stable) ディストリビューション (squeeze) では、この問題は gnupg のバージョン 1.4.10-4+squeeze1 および gnupg2 のバージョン 2.0.14-2+squeeze1 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) および不安定版 (unstable) ディストリビューション (sid) では、この問題は gnupg のバージョン 1.4.12-7 および gnupg2 のバージョン 2.0.19-2 で修正されています。

直ちに gnupg や gnupg2 パッケージをアップグレードすることを勧めます。