JVNDB-2015-002485

cURL および libcurl の fix_hostname 関数におけるサービス運用妨害 (DoS) の脆弱性

cURL および libcurl の fix_hostname 関数は、インデックスを適切に計算しないため、サービス運用妨害 (out-of-bounds read または write およびクラッシュ) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。

Debian

• Debian GNU/Linux 7.0

Haxx

• cURL 7.37.0 から 7.41.0
• libcurl 7.37.0 から 7.41.0

アップル

• Apple Mac OS X 10.10 から 10.10.4

オラクル

• MySQL Enterprise Monitor 2.3.20 およびそれ以前
• MySQL Enterprise Monitor 3.0.22 およびそれ以前

第三者により、ゼロ長のホスト名を介して、サービス運用妨害 (out-of-bounds read または write およびクラッシュ) 状態にされるなど、不特定の影響を受ける可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Debian

• Debian Security Advisory : DSA-3232

Haxx

• Security Advisory : host name out of boundary memory access

アップル

• Apple Mailing Lists : APPLE-SA-2015-08-13-2 OS X Yosemite v10.10.5 and Security Update 2015-006
• Apple Security Updates : HT205031
• Apple セキュリティアップデート : HT205031

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - October 2015
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices
• SECURITY BLOG : October 2015 Critical Patch Update Released

1. バッファエラー(CWE-119) [NVD評価]

1. CVE-2015-3144

1. National Vulnerability Database (NVD) : CVE-2015-3144

• [2015年04月28日]
    掲載
  [2015年08月31日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：アップル (APPLE-SA-2015-08-13-2 OS X Yosemite v10.10.5 and Security Update 2015-006) を追加
    ベンダ情報：アップル (HT205031) を追加
  [2015年10月23日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (October 2015 Critical Patch Update Released) を追加
  [2015年11月11日]
    CVSS による深刻度：内容を更新