[[CentOS 4 パッケージ更新・エラータ・セキュリティ情報]]
#contents
----
* Errata [#xd50f09f]
CentOS エラータ、および Security Advisory 2006:0735
CentOS 4 i386 向けの Thunderbird セキュリティ・アップデート:&br;
https://rhn.redhat.com/errata/RHSA-2006-0735.html
上記の問題に対処する更新ファイル群は既にアップロードされています。&br;
各 CentOS ミラーサイトよりダウンロードすることができます:
i386:
thunderbird-1.5.0.8-0.1.el4.centos4.i386.rpm
src:
thunderbird-1.5.0.8-0.1.el4.centos4.src.rpm
パッケージの更新は yum を使って行うことも出来ます。次のコマンドを入力します:
yum update thunderbird
----
- [CentOS-announce] CESA-2006:0735 Critical CentOS 4 i386 thunderbird - security update
--http://lists.centos.org/pipermail/centos-announce/2006-November/013383.html
* Errata 日本語概要 (Red Hat 社公開文章参考) [#vcbff47f]
** Red Hat 社の勧告 [#x08bf0b7]
- Advisory: RHSA-2006:0735-4
- 種別:セキュリティに対する助言
- 危険度:高い
- 日時:2006-11-08
** 詳細について [#m54196ff]
Thunderbird のバグに起因するセキュリティ問題に対処した thunderbird パッケージを公開しました。
Red Hat セキュリティ対策チームはセキュリティ上、非常に重要な問題であると判断しました。よって、パッケージの更新を強く推奨するものです。
Mozilla Thunderbird は独立したメール(メーラー)・ニューズグループ(NewsGroup)リーダーです。
Thunderbird における特定の JavaScript を用いた内部処理に於いて問題となるコードを実行してしまう危険性が見つかりました。悪意のあるウェブ・ページが Thunderbird を Thunderbird の実行ユーザ権限で任意のコードを実行させたりクラッシュさせるか、あるいは同様のことが JavaScript 経由でも実行できる危険性があります。(CVE-2006-5463, CVE-2006-5747, CVE-2006-5748)
Thunderbird がウェブ・ページを表示する際のレンダリング処理の欠陥も見つかりました。悪意のあるウェブ・ページが Thunderbird を Thunderbird の実行ユーザ権限で任意のコードを実行させたりクラッシュさせる可能性があります。(CVE-2006-5464)
Thunderbird の RSA 署名の暗号化された処理の認証に関わる欠陥も見つかりました。RSA 認証に使用する中間認証鍵が第三者によってライブラリが偽装され、それが認証されてしまう事があり得ます。同様に中間証明機関を偽ることも可能です。攻撃者が綿密に SSL 認証用の証明書を作成することが出来れば、SSL 認証サイトの訪問者が偽装された SSL サイトに関わらず正しく認証された SSL サイトとして見えてしまいます。この問題は Ulrich Kuehn 氏により Thunderbird バージョン 1.5.0.7 によって修正された(CVE-2006-5462)と思われていましたが、まだ不完全なものでした。
もし、Thunderbird バージョン 1.5.0.8 よりも低いバージョンを使用しているのであれば、速やかにバージョンアップを行うことを推奨します。
- https://rhn.redhat.com/errata/RHSA-2006-0735.html
----
※免責:翻訳については原文との完全な同一性を保証するものではありません。
![[Pocketstudio.jp Linux Wiki]](image/icon.gif "[Pocketstudio.jp Linux Wiki]"){kind=icon}
