JVNDB-2007-000706

libvorbis における複数のバッファオーバーフローの脆弱性

libvorbis には、OGG ファイルの取り扱いに不備があり、複数のバッファオーバーフローが発生する脆弱性が存在します。(trac Changesets 13162 および 13168, 13169, 13170, 13172, 13211, 13215)

Xiph.Org

• Libvorbis 1.2.0 未満のバージョン

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux 2.1 (as) 
• Red Hat Enterprise Linux 2.1 (es) 
• Red Hat Enterprise Linux 2.1 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Linux Advanced Workstation 2.1 
• RHEL Desktop Workstation 5 (client) 

第三者によって巧妙に細工された OCG ファイルを処理した際に、サービス運用妨害 (DoS) 状態となる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Xiph.Org

• Xiph.Org : libvorbis 1.2.0 (2007-07-25)
• Xiph.Org : Changeset 13215
• Xiph.Org : Changeset 13211
• Xiph.Org : Changeset 13172
• Xiph.Org : Changeset 13170
• Xiph.Org : Changeset 13169
• Xiph.Org : Changeset 13168
• Xiph.Org : Changeset 13162

ミラクル・リナックス

• Asianux Technical Support Network : libvorbis-1.1.2-3.el5.0

レッドハット

• Red Hat Security Advisory : RHSA-2007:0845
• Red Hat Security Advisory : RHSA-2007:0912
• レッドハット セキュリティーアップデート : RHSA-2007:0845
• レッドハット セキュリティーアップデート : RHSA-2007:0912

1. バッファエラー(CWE-119) [NVD評価]

1. CVE-2007-4066

1. National Vulnerability Database (NVD) : CVE-2007-4066
2. Secunia Advisory : SA26232
3. SecurityFocus : 25082
4. SecurityTracker : 1018712
5. FrSIRT Advisories : FrSIRT/ADV-2007-2698

• [2007年10月02日]
    掲載
  [2007年10月19日]
    影響を受けるシステム：レッドハット (RHSA-2007:0912) の情報追加。
    ベンダ情報: レッドハット (RHSA-2007:0912) 追加。
  [2007年11月29日]
    影響を受けるシステム：ミラクル・リナックス (libvorbis-1.1.2-3.el5.0) の情報追加。
    ベンダ情報: ミラクル・リナックス (libvorbis-1.1.2-3.el5.0) 追加。