セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-3005-1 gpgme1.0

Debian セキュリティ勧告

DSA-3005-1 gpgme1.0 -- セキュリティ更新

報告日時:

2014-08-14

影響を受けるパッケージ:

gpgme1.0

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 756651.
Mitre の CVE 辞書: CVE-2014-3564.

詳細:

Tomáš Trnka さんが、アプリケーション向けに GnuPG にアクセスしやすくするように設計されたライブラリである GPGME の gpgsm 状態ハンドラにヒープベースのバッファオーバーフローを発見しました。 攻撃者がこの問題を悪用して GPGME を利用しているアプリケーションのクラッシュ (サービス拒否) や潜在的には任意のコードを実行することが可能です。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.2.0-1.4+deb7u1 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 1.5.1-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.5.1-1 で修正されています。

直ちに gpgme1.0 パッケージをアップグレードすることを勧めます。