[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:48173] [Translate] [SECURITY] [DSA 1266-1] New gnupg packages fix signature forgery

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- --------------------------------------------------------------------------
Debian Security Advisory DSA 1266-1                    security@debian.org
http://www.debian.org/security/                         Moritz Muehlenhoff
March 13th, 2007                        http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package        : gnupg
Vulnerability  : 複数
Problem-Type   : ローカル (リモート)
Debian-specific: いいえ
CVE ID         : CVE-2007-1263
Debian Bug     : 413922 414170

Gerardo Richarte さんにより、フリーな PGP 代替プログラム GnuPG が、署名さ
れた部分と署名されていない部分の混在した OpenPGP メッセージに対して、ユー
ザに必要な判断を求めていないことが発見されました。この欠陥により、署名済み
のメッセージ中にテキストセグメントを挿入して、署名されたメッセージのように
ユーザに見せかけることが可能となります。この更新ではそのような攻撃を防止し
ます。以前のように振る舞わせることも、--allow-multiple-messages オプション
をつけることで可能です。

安定版  (stable) ディストリビューション (sarge) では、これらの問題はバージ
ョン 1.4.1-1.sarge7 で修正されています。

次期安定版 (etch) ディストリビューションでは、これらの問題はバージョン
1.4.6-2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー
ジョン 1.4.6-2 で修正されています。

直ぐに gnupg パッケージをアップグレードすることを勧めます。


アップグレード手順
------------------

wget url
        	でファイルを取得できます。
dpkg -i file.deb
                で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。



Debian GNU/Linux 3.1 愛称 sarge
- --------------------------------

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7.dsc
      Size/MD5 checksum:      680 7f02659abf22fc4d8cd5537d3cd88d64
    http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7.diff.gz
      Size/MD5 checksum:    24290 3baa58f381c8508e8826b11625e4719d
    http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1.orig.tar.gz
      Size/MD5 checksum:  4059170 1cc77c6943baaa711222e954bbd785e5

  Alpha architecture:

    http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_alpha.deb
      Size/MD5 checksum:  2156494 f6a5a926159e22ff1b915b578aee79e9

  AMD64 architecture:

    http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_amd64.deb
      Size/MD5 checksum:  1963978 071d87e7ca69d520cbf0993e90a26b0c

  ARM architecture:

    http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_arm.deb
      Size/MD5 checksum:  1900000 607cd3b74c53945b6345594490ae09e7

  HP Precision architecture:

    http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_hppa.deb
      Size/MD5 checksum:  2004634 f3d85ad41dc35f203d655962f2f19f0f

  Intel IA-32 architecture:

    http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_i386.deb
      Size/MD5 checksum:  1909476 fe9933fd968ae8242f26094e1314ce1b

  Intel IA-64 architecture:

    http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_ia64.deb
      Size/MD5 checksum:  2326178 e082e9a2b0ec22089a9a2e37a7d49b55

  Motorola 680x0 architecture:

    http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_m68k.deb
      Size/MD5 checksum:  1811574 a778d48de1b914fbaf9132d707f3980e

  Big endian MIPS architecture:

    http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_mips.deb
      Size/MD5 checksum:  2001516 b3894d73eaa453aa16cce7963a94d169

  Little endian MIPS architecture:

    http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_mipsel.deb
      Size/MD5 checksum:  2008140 30692827e1d8b0877d73dcf555b56d57

  PowerPC architecture:

    http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_powerpc.deb
      Size/MD5 checksum:  1958420 8ccf53ca0a1b4afeffedd6df10067ddc

  IBM S/390 architecture:

    http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_s390.deb
      Size/MD5 checksum:  1967612 6baf699e3108a6a97bdb8ffb26e67bae

  Sun Sparc architecture:

    http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_sparc.deb
      Size/MD5 checksum:  1897992 2b92e27ded545d9e1d89a7b2e89b5459

  これらのファイルは次の版の安定版リリース時そちらに移されます。


- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------