JVNDB-2016-002445
|
libarchive の入力値検証不備に起因するバッファオーバーフローの脆弱性
|
|
細工した ZIP ファイルを libarchive に解凍させることで、ユーザ権限で任意のコードを実行させることが可能です。
不適切な入力検査 (CWE-20) - CVE-2016-1541
圧縮後のサイズを細工した ZIP ファイルを libarchive に処理させることにより、ヒープ領域に任意のコードを配置し、libarchive を実行しているユーザの権限で、そのコードを実行することが可能です。
CWE-20: Improper Input Validation
http://cwe.mitre.org/data/definitions/20.html
|
|
CVSS v3 による深刻度
基本値: 6.3 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 低
- 完全性への影響(I): 低
- 可用性への影響(A): 低
CVSS v2 による深刻度
基本値: 6.8 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
libarchive
- libarchive version 3.2.0 より前のバージョン
|
|
|
細工された ZIP ファイルを解凍することで、ユーザの権限で任意のコードを実行される可能性があります。
|
|
[アップデートする]
本脆弱性を修正した libarchive 3.2.0 がリリースされています。
開発者が提供する情報をもとに、最新版へアップデートしてください。
|
|
libarchive
|
|
- 不適切な入力確認(CWE-20) [IPA評価]
|
|
- CVE-2016-1541
|
|
- JVN : JVNVU#93657776
- National Vulnerability Database (NVD) : CVE-2016-1541
- US-CERT Vulnerability Note : VU#862384
|
|
|
