JVNDB-2006-000950

FastJar および GNU GCC におけるディレクトリトラバーサルの脆弱性

FastJar には、ファイル名に "../" を含む jar ファイルを処理した際に、ディレクトリトラバーサルの脆弱性が存在します。FastJar は GNU GCC 4.1.x 以前に含まれているため、GCC にも影響があります。

FastJar

• FastJar 0.93 (その他バージョンも影響を受ける可能性があります)

GNU Project

• GNU GCC 3.x
• GNU GCC 4.0.x、4.1.x

サイバートラスト株式会社

• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 
• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 3.0 

第三者が細工した jar ファイルを解凍処理することで、任意のファイルを上書きされる可能性があります。

ベンダ情報及び参考情報を参照して適切な対策を実施してください。

FastJar

• FastJar : Top Page

GNU Project

• GCC Bugzilla : Bugzilla Bug 28359
• GCC, the GNU Compiler Collection : Top Page

サイバートラスト株式会社

• MIRACLE LINUX アップデート情報 : gcc (V4.0)
• MIRACLE LINUX アップデート情報 : gcc (V3.0)

レッドハット

• Red Hat Security Advisory : RHSA-2007:0220
• Red Hat Security Advisory : RHSA-2007:0473
• レッドハット セキュリティーアップデート : RHSA-2007:0220

1. その他(CWE-Other) [NVD評価]

1. CVE-2006-3619

1. National Vulnerability Database (NVD) : CVE-2006-3619
2. Secunia Advisory : SA21100
3. Secunia Advisory : SA17839
4. SecurityFocus : 15669
5. ISS X-Force Database : 27806
6. SecurityTracker : 1017987
7. FrSIRT Advisories : FrSIRT/ADV-2006-2866
8. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 21337

• [2007年05月22日]
    掲載
  [2007年06月15日]
    影響を受けるシステムを更新しました。
    ベンダ情報: レッドハットの情報を追加しました。
  [2007年06月22日]
    影響を受けるシステムを更新しました。
    ベンダ情報: ミラクル・リナックスの情報を追加しました。