Security Advisory 重大(Critical):kdegraphicsのセキュリティアップデート

アップデートID:

RHSA-2009:1130-1

タイプ:Security Advisory
重大性:重大/Critical
発行日:2009年6月25日
最終更新日:2009年6月25日
影響のある製品: RHEL Desktop Workstation (v. 5 client)
RHEL Optional Productivity Applications (v. 5 server)
RHEL Optional Productivity Applications EUS (v. 5.3.z server)
Red Hat Enterprise Linux Desktop (v. 5 client)
OVAL: https://rhn.redhat.com/errata/RHSA-2009-1130.html
CVEs (cve.mitre.org): CVE-2009-0945
CVE-2009-1709


詳細

2つセキュリティ問題を修正したkdegraphicsのアップデートパッケージがRed Hat Enterprise Linux 5で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「重大(Critical)」のセキュリティ問題と評価されています。

kdegraphicsパッケージには、Kデスクトップ環境(KDE)用のアプリケーションが含まれています。Scalable Vector Graphics(SVG)は、ベクタ画像を記述するためのXMLベースの言語です。KSVGは最新のW3C SVG仕様の実装を目的としたフレームワークです。

KDEのKSVGで、アニメーション要素の実装に解放後使用(use-after-free)の欠陥が見つかりました。リモートの攻撃者が巧妙に細工したSVG画像を作成して、ユーザが疑わずに画像を開いたときにサービス拒否(Konquerorのクラッシュ)を引き起こしたり、潜在的に、Konquerorを実行しているユーザの権限で任意のコードを実行する可能性がありました。
(CVE-2009-1709)

KDEのKSVGで、SVGListインターフェイスの実装にNULLポインタデリファレンス欠陥が見つかりました。リモートの攻撃者が巧妙に細工したSVG画像を作成して、ユーザが疑わずに画像を開いたときにメモリ破壊を引き起こし、サービス拒否(Konquerorのクラッシュ)につながる可能性がありました。
(CVE-2009-0945)

すべてのkdegraphicsのユーザは、これらの問題を修正するバックポートパッチを含む上記アップデートパッケージにアップグレードしてくださいこのアップデートを有効にするには、デスクトップを再起動(ログアウト後に、再度ログイン)する必要があります。


解決法


このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。


アップデートパッケージ

RHEL Desktop Workstation (v. 5 client)

SRPMS:
kdegraphics-3.5.4-13.el5_3.src.rpm     b63cf2f7518885036b7cd0a1ee9aaf42
 
IA-32:
kdegraphics-devel-3.5.4-13.el5_3.i386.rpm     57c7cb75dd63720b0ac1d9c7a4df8b34
 
x86_64:
kdegraphics-devel-3.5.4-13.el5_3.i386.rpm     57c7cb75dd63720b0ac1d9c7a4df8b34
kdegraphics-devel-3.5.4-13.el5_3.x86_64.rpm     5dddf220b4581eb66233430ae53919b1
 
RHEL Optional Productivity Applications (v. 5 server)

SRPMS:
kdegraphics-3.5.4-13.el5_3.src.rpm     b63cf2f7518885036b7cd0a1ee9aaf42
 
IA-32:
kdegraphics-3.5.4-13.el5_3.i386.rpm     7f23474fbc07c52babf8f811b3ed57a3
kdegraphics-devel-3.5.4-13.el5_3.i386.rpm     57c7cb75dd63720b0ac1d9c7a4df8b34
 
x86_64:
kdegraphics-3.5.4-13.el5_3.x86_64.rpm     925bbf5f3c8c7c4acebff7890bbf6d5c
kdegraphics-devel-3.5.4-13.el5_3.i386.rpm     57c7cb75dd63720b0ac1d9c7a4df8b34
kdegraphics-devel-3.5.4-13.el5_3.x86_64.rpm     5dddf220b4581eb66233430ae53919b1
 
RHEL Optional Productivity Applications EUS (v. 5.3.z server)

SRPMS:
kdegraphics-3.5.4-13.el5_3.src.rpm     b63cf2f7518885036b7cd0a1ee9aaf42
 
IA-32:
kdegraphics-3.5.4-13.el5_3.i386.rpm     7f23474fbc07c52babf8f811b3ed57a3
kdegraphics-devel-3.5.4-13.el5_3.i386.rpm     57c7cb75dd63720b0ac1d9c7a4df8b34
 
x86_64:
kdegraphics-3.5.4-13.el5_3.x86_64.rpm     925bbf5f3c8c7c4acebff7890bbf6d5c
kdegraphics-devel-3.5.4-13.el5_3.i386.rpm     57c7cb75dd63720b0ac1d9c7a4df8b34
kdegraphics-devel-3.5.4-13.el5_3.x86_64.rpm     5dddf220b4581eb66233430ae53919b1
 
Red Hat Enterprise Linux Desktop (v. 5 client)

SRPMS:
kdegraphics-3.5.4-13.el5_3.src.rpm     b63cf2f7518885036b7cd0a1ee9aaf42
 
IA-32:
kdegraphics-3.5.4-13.el5_3.i386.rpm     7f23474fbc07c52babf8f811b3ed57a3
 
x86_64:
kdegraphics-3.5.4-13.el5_3.x86_64.rpm     925bbf5f3c8c7c4acebff7890bbf6d5c
 
(The unlinked packages above are only available from the Red Hat Network)


バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

506246 - CVE-2009-1709 kdegraphics: KSVG Pointer use-after-free error in the SVG animation element (DoS, ACE)
506703 - CVE-2009-0945 kdegraphics: KSVG NULL-pointer dereference in the SVGList interface implementation (ACE)


参照





ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/