JVNDB-2005-000031
|
GNU Midnight Commander の未割り当てメモリ領域の解放によるサービス運用妨害 (DoS) の脆弱性
|
|
------------
本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。
------------
GNU Midnight Commander (mc) は、UNIX 系システムで広く利用されているファイルマネージャ風のビジュアルシェルです。
Mc 4.5.55 以前には、以下の複数のセキュリティ上の問題が存在します。
・複数のフォーマットストリングの問題 (CAN-2004-1004)
・複数のバッファオーバーフローの問題 (CAN-2004-1005)
・無限ループによりサービス不能状態に陥る問題 (CAN-2004-1009)
・セクションヘッダの処理に不備が存在するため、サービス不能状態に陥る問題
(CAN-2004-1090)
・NULL ポインタがデリファレンスされ、サービス不能状態に陥る問題
(CAN-2004-1091)
・未割り当てのメモリ領域の解放により、サービス不能状態に陥る問題
(CAN-2004-1092)
・解放済みメモリ領域の使用により、サービス不能状態に陥る問題
(CAN-2004-1093)
・存在しないファイルの処理の不備のため、サービス不能状態に陥る問題
(CAN-2004-1174)
・fish.c の不備のため、不正なファイル名を処理した場合に、任意のコードが実行される問題 (CAN-2004-1175)
・extfs.c にバッファオーバーフローが発生する問題が存在するため、サービス不能状態に陥る問題 (CAN-2004-1176)
現時点において多くの問題は詳細が不明ですが、これらの問題を利用するリモートの攻撃者は、mc をサービス不能状態に陥らせる、あるいは mc を実行するユーザの権限で任意のコードを実行できる可能性があります。
尚、CAN-2004-1176 の問題に関しては、mc 4.6.0 においても影響を受ける可能性があります。
|
|
CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 部分的
|
|
|
サイバートラスト株式会社
- Asianux Server 2.0
- Asianux Server 2.1
ターボリナックス
- Turbolinux Server 7
- Turbolinux Server 8
レッドハット
- Red Hat Enterprise Linux 2.1 (as)
- Red Hat Enterprise Linux 2.1 (ws)
|
|
|
本脆弱性に伴う影響については、「概要」をご参照ください。
|
|
ベンダ情報及び参考情報を参照して適切な対策を実施してください。
|
|
サイバートラスト株式会社
- ミラクル・リナックス株式会社 : Top Page (2007/01/04 現在 本脆弱性に関する情報は確認できませんでした)
ターボリナックス
レッドハット
|
|
- その他(CWE-Other) [NVD評価]
|
|
- CVE-2004-1092
|
|
- National Vulnerability Database (NVD) : CVE-2004-1092
- Secunia Advisory : SA13859
- SecurityFocus : 12263
|
|
|
