-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2016-12
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2016/04/14
 最終更新日   : 2016/04/14

 パッケージ名 : unzip
 
 タイトル : unzip に複数の脆弱性
 
 概要 : unzip ユーティリティは、zip アーカイブ内のファイルの一覧表示、テスト、
      または抽出に使用します。
 
      unzip に複数の脆弱性が存在します。
 
 影響 : unzip の TestExtraField 関数の不備で、zip ファイルの追加フィールドの
      CRC32 チェックサムの計算にバッファオーバーフローの脆弱性が存在します。
      第三者が細工した zip アーカイブを unzip の -t オプションでアーカイブの
      中身を確認する際、unzip がクラッシュする可能性があります(CVE-2014-8139)。
 
      test_compr_eb 関数の不備で、追加フィールドを展開する際に整数アンダー
      フローの脆弱性が存在します。
      第三者が細工した zip アーカイブを unzip の -t オプションでアーカイブの
      中身を確認する際、unzip がクラッシュする可能性があります(CVE-2014-8140)。
 
      test_compr_eb 関数の不備で、ヒープオーバーフローの脆弱性が存在します。
      第三者が圧縮前のフィールドサイズが zip アーカイブで圧縮されたフィールド
      サイズより小さい STORED メソッドの圧縮を通知する拡張フィールドを介する
      事で、unzip がクラッシュしたり任意のコードが実行される可能性があります
      (CVE-2014-9636)。

 影響製品 :

    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition (延長メンテナンス)
    - Turbolinux 11 Server (延長メンテナンス)
    - Turbolinux Appliance Server 2.0 (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u unzip
 ----------------------------------------


 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   unzip-5.52-6.src.rpm
      1155444 c6d734bee20251466808ea4246fec2f1

   Binary Packages
   Size: MD5

   unzip-5.52-6.x86_64.rpm
       327830 97a3fa0198009fcab7169676bcb226be

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   unzip-5.52-6.src.rpm
      1155444 c6d734bee20251466808ea4246fec2f1

   Binary Packages
   Size: MD5

   unzip-5.52-6.i686.rpm
       306893 ce69242968fe850aaaf769f04e378043

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/unzip-5.52-6.src.rpm
      1153442 47dc5f37df3045fee12a3051fc435997

   Binary Packages
   Size: MD5

   unzip-5.52-6.x86_64.rpm
       327830 97a3fa0198009fcab7169676bcb226be

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/unzip-5.52-6.src.rpm
      1155444 c6d734bee20251466808ea4246fec2f1

   Binary Packages
   Size: MD5

   unzip-5.52-6.i686.rpm
       306893 ce69242968fe850aaaf769f04e378043

 <Turbolinux Appliance Server 2.0>

   Source Packages
   Size: MD5

   unzip-5.50-13.src.rpm
      1119844 04ed7bb81e0e7091e4a2f807ee68d8ad

   Binary Packages
   Size: MD5

   unzip-5.50-13.i586.rpm
       221236 f80b4ab350d011f529c389c2cfb2836c


 関連文章 :

 CVE
   [CVE-2014-8139]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8139
   [CVE-2014-8140]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8140
   [CVE-2014-9636]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9636

 --------------------------------------------------------------------------
 更新履歴
   初版   2016/04/14
 --------------------------------------------------------------------------

 Copyright(C) 2016 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlcPcjgACgkQK0LzjOqIJMwGuACggCHdpRFPiaOlZJphos9Vvbsa
AnkAnivthL0EHBxvCSS2zqYE7kVbvXyO
=XUQG
-----END PGP SIGNATURE-----