JVNDB-2008-002304
|
複数のアーカイブ形式に対する脆弱性
|
|
Oulu 大学セキュアプログラミンググループ(OUSPG)から、複数のアーカイブ形式に対するテストデータが公開されました。すでにいくつかの製品において脆弱性が発見され、修正がなされています。
Oulu 大学セキュアプログラミンググループ(OUSPG)では、複数のアーカイブ形式に対するテストデータ PROTOS Genome Test Suite c10-archive を作成・公開しました。
これらのテストデータを使うことで、アプリケーションプログラムが適切にエラー処理を行っているかどうかを調査することができます。すでにいくつかの製品において脆弱性が発見され、修正がなされています。
JPCERT/CC では本件の公開に先立ち、OUSPG から提供されたテストデータについて、日本国内の製品開発者への展開・調整を行ないました。
|
|
|
|
|
(複数のベンダ)
|
以下のアーカイブ形式のファイルを扱う製品が影響を受ける可能性があります:
* ACE,ARJ,BZ2,CAB,GZ,LHA,RAR,TAR,ZIP,ZOO
詳しくは各ベンダが提供する情報をご確認ください。
|
|
想定される影響は各アプリケーションプログラムにより異なりますが、適切なエラー処理を行うことができない場合、サービス運用妨害(DoS)や任意のコード実行などの影響を受ける可能性があります。
|
|
各アプリケーションプログラムの配布元が提供する情報を参照してください。
|
|
|
|
|
|
|
|
- JVN : CPNI-072928
- CERT Advisory : CERT-FI and CPNI Joint Vulnerability Advisory on Archive Formats
- CPNI Vulnerability Advisory : CPNI-072928
|
|
|
