【活用ガイド】

[English]

JVNDB-2006-000614

Winny におけるバッファオーバーフローの脆弱性

概要

P2P ファイル共有(交換)ソフトウェアである Winny にはバッファオーバーフローの脆弱性が存在します。

2006/05/25 現在、本脆弱性を使用した攻撃手法に関する情報が一般に公開されています。現在のところ、本脆弱性を使用した攻撃活動は観測されていませんが、本ソフトウェアを利用しないことで、本脆弱性を使用した攻撃の影響を未然に回避することが可能です。

CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 7.5 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


金子 勇
  • Winny 2.0 b7.1 およびそれ以前

想定される影響

巧妙に細工されたパケットを送信されることにより、ソフトウェアが異常終了する可能性があります。
また、ソフトウェアの異常終了だけでなく、ログインしているユーザの権限で任意のコードを実行される可能性があるとの情報が、一般に公開されています。なお、製品開発者からの提供情報が JVN#74294680 にて公開されています。
対策

開発者による修正方法は公表されていません。回避方法は「Winny利用の中止」となります。
ベンダ情報

CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2006-2007
参考情報

  1. JVN : JVN#74294680
  2. National Vulnerability Database (NVD) : CVE-2006-2007
  3. US-CERT Vulnerability Note : VU#167033
  4. IPA セキュリティセンター : JVN_74294680
  5. Secunia Advisory : SA1979
  6. SecurityFocus : 17666
  7. FrSIRT Advisories : FrSIRT/ADV-2006-1486
  8. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 24883
更新履歴

  • [2007年04月01日]
      掲載

公表日2006/04/21
登録日2007/04/01
最終更新日2007/04/01