公開日:2002/11/18 最終更新日:2002/11/18
JVNCA-2002-25
XDR ライブラリに整数オーバーフローの脆弱性
Sun RPC (Remote Procedure Call) の実装に用いられている xdr_array() 関数には、バッファオーバーフローの脆弱性があります。xdr_array() 関数は、各種 OS において libc などに標準で組み込まれ、数多くの RPC プログラムで使われていますので、脆弱な xdr_array() 関数を使用している PRC プログラムの実装にも影響を与えます。
脆弱性については、遠隔から任意のコードを実行される可能性があります。
遠隔から第三者が RPC プログラムなどを経由して、管理者権限を取得する可能性があります。
| ベンダ | リンク |
| Debian | openafs -- 整数オーバフロー |
| Debian | krb5 -- 整数オーバフロー |
| Debian | dietlibc -- 整数オーバーフロー |
| Debian | glibc -- 整数オーバーフロー |
| FreeBSD | Sun RPC XDR デコーダにおけるバッファオーバフロー |
| 富士通 | CA-2002-25に対する富士通の情報 |
| 富士通 | CA-2002-25に対するSolaris OEの情報 |
| Hewlett-Packard | XDRライブラリにおけるセキュリティ脆弱性 |
| Hewlett-Packard | glibc XDRデコーダにおけるセキュリティ脆弱性 |
| Hewlett-Packard | kbr5におけるセキュリティ脆弱性 |
| マイクロソフト | Services for Unix 3.0 に含まれる Interix SDK の問題によりコードが実行される (Q329209) (MS02-057) |
| OpenBSD | セキュリティのための修正: 2002 年 7 月 29 日 |
| Red Hat | glibcパッケージのアップデート |
| Red Hat | krb5パッケージのアップデート |
| サン・マイクロシステムズ | Security Vulnerability in the Network Services Library, libnsl(3LIB) |
| Turbolinux Japan | glibc: buffer overflowの問題 |
-
CERT Vulnerability Note VU#192995
Integer overflow in xdr_array() function when deserializing the XDR stream -
CIAC Bulletin M-111
Integer Overflow in External Data Representation (XDR) Library -
Internet Security Systems
Sun RPC におけるリモート バッファ オーバーフローの脆弱性 -
V-STAF: sunrpc-xdr-array-bo (9170)
Sun RPC xdr_arrayにバッファオーバフロー脆弱性 -
LAC
CERT Advisory CA-2002-25 Integer Overflow In XDR Library [翻訳版]
| JPCERT 緊急報告 | |
| JPCERT REPORT |
JPCERT-WR-2002-3001 JPCERT/CC REPORT 2002-08-07 |
|
JPCERT-WR-2002-3101 JPCERT/CC REPORT 2002-08-14 |
|
|
JPCERT-WR-2002-3201 JPCERT/CC REPORT 2002-08-21 |
|
| CERT Advisory |
CERT Advisory CA-2002-25 Integer Overflow In XDR Library |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2002-0391 VU#192995,XF9170 |
| JVN iPedia |
