[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[ORCA-ANNOUNCE:02701] セキュリティ情報◆[OSA 2012-011] evince(etch)



ORCAサポートセンタです。いつもお世話になっています。

本日、下記、セキュリティアップデートパッケージを提供しました。

---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2012-011    security _at_ orca.med.or.jp
http://www.orca.med.or.jp/receipt/update/security/               2012/08/21
---------------------------------------------------------------------------

Package         : evince
Distribution    : Debian GNU/Linux 4.0(etch)
Vulnerability   : 複数の脆弱性
Problem type    : ローカル/リモート
Debian-specific : いいえ
CVE ID          : CVE-2010-2640 CVE-2010-2641 CVE-2010-2642 CVE-2010-2643
                  CVE-2011-0433

evince 文書ビューアに複数の欠陥が発見されました。

CVE-2010-2640

 PK フォントパーザで配列の添字チェックが不十分なため、関数ポインタの上書きによる
 任意のコードの実行に繋がります。

CVE-2010-2641

 PK フォントパーザで配列の添字チェックが不十分なため、関数ポインタの上書きによる
 任意のコードの実行に繋がります。

CVE-2010-2642

 AFM フォントパーザで、ヒープに取ったメモリバッファへのデータの書き込みの際に配
 列の添字チェックが不十分なため、任意のメモリの上書きや任意のコードの実行に繋が
 ります。

CVE-2010-2643

 メモリ割り当てサイズとして用いている整数のチェックが不十分であり、割り当てた範
 囲外のメモリの上書きが行えるため、任意のコードの実行に繋がります。

CVE-2011-0433

 AFM フォントパーザに、細工されたファイルを開くことでプログラムをクラッシュさせ
 るヒープベースオーバーフローが存在しました。

ディストリビューション(etch)では、この問題はバージョン  0.4.0-orca.etch6
で修正されています。

直ぐにパッケージをアップグレードすることを勧めます。

アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。

   deb http://ftp.orca.med.or.jp/pub/etch-updates etch main contrib non-free

   apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に加えて、

   apt-get update
           を実行して内部データベースを更新し、
   apt-get upgrade
     によって修正されたパッケージをインストールしてください。

Debian GNU/Linux 4.0 alias etch
---------------------------------
 ソースアーカイブ:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/evince/evince_0.4.0-orca.etch6.dsc
       Size/MD5 checksum: 1510 54f7bb331d929510e32028f8b0e0885d
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/evince/evince_0.4.0.orig.tar.gz
       Size/MD5 checksum: 1172276 9c1009e3dae55bcda1bc5204f021ad1b
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/evince/evince_0.4.0-orca.etch6.diff.gz
       Size/MD5 checksum: 8976 0a10096d5dadd4b4f216669388ccb5e6

 アーキテクチャ非依存コンポーネント:


 Intel IA-32 アーキテクチャ:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/evince/evince_0.4.0-orca.etch6_i386.deb
       Size/MD5 checksum: 819300 02e01b8b0e4adf460817f4beebe7d78e

 これらのファイルは次のアップデートがリリースされると削除されます。

--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
T: 03-5319-4605 D-FAX: 020-4623-1358