Debian セキュリティ勧告

DLA-39-1 gpgme1.0 -- LTS セキュリティ更新

報告日時:
2014-08-20
影響を受けるパッケージ:
gpgme1.0
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 756651.
Mitre の CVE 辞書: CVE-2014-3564.
詳細:

Tomáš Trnka さんが、アプリケーション向けに GnuPG にアクセスしやすくするように設計されたライブラリである GPGME の gpgsm 状態ハンドラにヒープベースのバッファオーバーフローを発見しました。 攻撃者がこの問題を悪用して GPGME を利用しているアプリケーションのクラッシュ (サービス拒否) や潜在的には任意のコードを実行することが可能です。

Debian 6Squeezeでは、この問題は gpgme1.0 バージョン 1.2.0-1.2+deb6u1 で修正されています。