[[CentOS 4 パッケージ更新・エラータ・セキュリティ情報]] #contents ---- * Errata [#xd50f09f] CentOS エラータ、および Security Advisory CESA-2007:0018 CentOS 4 i386 向けの fetchmail セキュリティ・アップデート:&br; https://rhn.redhat.com/errata/RHSA-2007-0018.html 上記の問題に対処する更新ファイル群は既にアップロードされています。&br; 各 CentOS ミラーサイトよりダウンロードすることができます: i386: fetchmail-6.2.5-6.el4.5.i386.rpm src: fetchmail-6.2.5-6.el4.5.src.rpm ---- - [CentOS-announce] CESA-2007:0018 Moderate CentOS 4 i386 fetchmail - security update --http://lists.centos.org/pipermail/centos-announce/2007-February/013498.html * Errata 日本語概要 (Red Hat 社公開文章参考) [#vcbff47f] ** Red Hat 社の勧告 [#x08bf0b7] - Advisory: RHSA-2007:0018-10 - 種別:セキュリティに対する助言 - 重要度:中程度 - 日時:2007-01-31 ** 詳細について [#m54196ff] fetchmail が抱える2つのセキュリティ問題の修正が行われたパッケージ群を公開しました。 Red Hat セキュリティ対策チームはセキュリティ上、ある程度の問題を持っていると判断しました。 fetchmail はリモート・メール転送検索ユーティリティです。 multidrop モードで fetchmail が動作中に DoS フロー(サービス停止)に陥る可能性がありました。悪意のあるメールサーバはヘッダ情報が無い本文だけでも fetchmail をクラッシュさせる事ができました(CVE-2005-4348)。ただし、Red Hat Enterprise Linux 2.1 および 3 においては問題ありません。 もう1つの問題は fetchmail が TLS 暗号化通信を用いてリモート・ホストに接続する際の欠陥です。fetchmail で TLS 暗号化通信を用いようとしても、POP3 プロトコル接続時に正常な認証がなされない問題がありました(CVE-2006-5867)。この問題に対しては TLS 通信の "sslproto" 設定を "tls1" に設定する事でも対応可能です。ただし、fetchmail が"tls1" に設定された状態でも POP3 サーバが対応していなければ、通常のテキスト形式の認証と何ら変わらないので注意が必要です。 fetchmail を利用している全ユーザは、これら被害を受けにくくするためにパッチをあてて対応するかパッケージ群を更新して問題に対処する事を推奨します。 - https://rhn.redhat.com/errata/RHSA-2007-0018.html ---- ※免責:翻訳については原文との完全な同一性を保証するものではありません。