セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-3078-1 libksba

Debian セキュリティ勧告

DSA-3078-1 libksba -- セキュリティ更新

報告日時:

2014-11-27

影響を受けるパッケージ:

libksba

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 770972.
Mitre の CVE 辞書: CVE-2014-9087.

詳細:

X.509 及び CMS (PKCS#7) ライブラリ libksba の ksba_oid_to_str() 関数に整数アンダーフローの欠陥が見つかりました。特別に細工した S/MIME メッセージや ECC ベースの OpenPGP データを使うことでヒープベースのバッファオーバーフローにつながります。 バッファオーバーフローを発生させることで libksba を利用しているアプリケーションのクラッシュ (サービス拒否) を引き起こすことが可能で、潜在的には任意のコードの実行につながる可能性があります。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.2.0-2+deb7u1 で修正されています。

次期安定版 (stable) ディストリビューション (jessie) では、この問題はバージョン 1.3.2-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.3.2-1 で修正されています。

直ちに libksba パッケージをアップグレードすることを勧めます。