Debian セキュリティ勧告

DSA-1455-1 libarchive -- サービス拒否攻撃

報告日時:
2008-01-08
影響を受けるパッケージ:
libarchive1
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 432924.
Mitre の CVE 辞書: CVE-2007-3641, CVE-2007-3644, CVE-2007-3645.
詳細:

一つのライブラリで tar, cpio, pax, zip, iso9660 の各形式を読み書きできる libarchive1 に複数のローカル及びリモートから攻撃可能な欠陥が発見されまし た。 The Common Vulnerabilities and Exposures project は以下の問題を認識 しています。

  • CVE-2007-3641

    libarchive1 がバッファ長を誤計算するため、バッファオーバフローが発生す ることが発見されました。この欠陥は Pax 拡張ヘッダ中にさらに不正な値が ある場合に発現します。

  • CVE-2007-3644

    アーカイブが pax 拡張ヘッダ中で途中終了した場合、libarchive1 が無限ル ープにはいることがあります。

  • CVE-2007-3645

    アーカイブ中で tar ヘッダ中で中途終了し、その直後に pax 拡張ヘッダが続 く場合、libarchive1 が NULL ポインタ参照を起こすことがあります。

旧安定版 (sarge) にはこのパッケージは収録されていません。

安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 1.2.53-2etch1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 2.2.4-1 で修正されています。

直ぐに libarchive パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 4.0 (etch)

ソース:
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive_1.2.53-2etch1.diff.gz
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive_1.2.53.orig.tar.gz
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive_1.2.53-2etch1.dsc
Alpha:
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_alpha.deb
http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_alpha.deb
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_amd64.deb
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_amd64.deb
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_arm.deb
http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_arm.deb
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_hppa.deb
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_hppa.deb
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_i386.deb
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_i386.deb
http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_ia64.deb
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_ia64.deb
http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_mips.deb
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_mips.deb
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_mipsel.deb
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_mipsel.deb
http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_powerpc.deb
http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_powerpc.deb
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_s390.deb
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_s390.deb
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_sparc.deb
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_sparc.deb
http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。