公開日:2008/03/24 最終更新日:2010/05/21
CPNI-072928
複数のアーカイブ形式に対する脆弱性
Oulu 大学セキュアプログラミンググループ(OUSPG)から、複数のアーカイブ形式に対するテストデータが公開されました。
すでにいくつかの製品において脆弱性が発見され、修正がなされています。
以下のアーカイブ形式のファイルを扱う製品が影響を受ける可能性があります:
- ACE,ARJ,BZ2,CAB,GZ,LHA,RAR,TAR,ZIP,ZOO
詳しくは各ベンダが提供する情報をご確認ください。
Oulu 大学セキュアプログラミンググループ(OUSPG)では、複数のアーカイブ形式に対するテストデータ PROTOS Genome Test Suite c10-archive を作成・公開しました。
これらのテストデータを使うことで、アプリケーションプログラムが適切にエラー処理を行っているかどうかを調査することができます。すでにいくつかの製品において脆弱性が発見され、修正がなされています。
JPCERT/CC では本件の公開に先立ち、OUSPG から提供されたテストデータについて、日本国内の製品開発者への展開・調整を行ないました。
想定される影響は各アプリケーションプログラムにより異なりますが、適切なエラー処理を行うことができない場合、サービス運用妨害(DoS)や任意のコード実行などの影響を受ける可能性があります。
各アプリケーションプログラムの配布元が提供する情報を参照してください。
-
CERT-FI
CERT-FI and CPNI Joint Vulnerability Advisory on Archive Formats -
University of Oulu
PROTOS Genome Test Suite c10-archive
JPCERT 緊急報告 | |
JPCERT REPORT | |
CERT Advisory | |
CPNI Advisory | |
TRnotes | |
CVE | |
JVN iPedia |
JVNDB-2008-002304 |
- 2010/05/21
- 関連文書に JVN iPedia へのリンクを追加しました。