公開日:2006/09/20 最終更新日:2015/10/21

JVNVU#933712
gzip の huft_build() における NULL ポインタ参照の脆弱性

概要


gzip (GNU zip) は圧縮・解凍する機能を提供するプログラムです。この gzip には、null ポインタ参照の脆弱性が存在します。

影響を受けるシステム


詳しくはベンダが提供する情報をご参照ください

詳細情報

想定される影響


遠隔の第三者によって任意のコードを実行されたり、DoS攻撃を受ける可能性があります。

対策方法


2006/09/20 現在、回避策として、信頼ができない gzip ファイルを開かない、システム管理者の権限で gzip を実行しない、自動実行されているプログラムにて gzip が使用されている場合もあるので、そのようなプログラムを無効にするもしくは root 権限でも実行を不可にするなどの方法があります。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
Soft3304 該当製品無し 2015/07/03
アライドテレシス株式会社 該当製品無し(調査中) 2006/10/24
富士通 該当製品あり 2007/01/18
富士通株式会社 該当製品あり 2015/10/13
日本電気 該当製品無し(調査中) 2006/09/25
日立 該当製品無し(調査中) 2006/09/22
松下電器産業 該当製品無し 2006/09/22
横河電機 該当製品無し(調査中) 2006/09/22

参考情報

  1. US-CERT Vulnerability Note VU#933712
    NULL dereference in huft_build()

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2006-4334
JVN iPedia

更新履歴

2006/09/20
富士通の JVNVU#933712への対応が更新されました。
2006/09/22
ベンダ情報:富士通の情報を追加しました。<br>ベンダ情報:松下電器産業の情報を追加しました。<br>ベンダ情報:横河電機の情報を追加しました。<br>ベンダ情報:日立の情報を追加しました。
2006/09/22
横河電機の JVNVU#933712への対応が更新されました。
2006/09/22
松下電器産業株式会社の JVNVU#933712への対応が更新されました。
2006/09/22
松下電器産業株式会社の JVNVU#933712への対応が更新されました。
2006/09/22
日立の JVNVU#933712への対応が更新されました。
2006/09/25
日本電気の JVNVU#933712への対応が更新されました。
2006/09/26
ベンダ情報:日本電気の情報を追加しました。
2006/10/24
アライドテレシス株式会社の JVNVU#933712への対応が更新されました。
2006/10/25
ベンダ情報:アライドテレシス株式会社の情報を追加しました。
2007/01/18
ベンダ情報:富士通の情報を更新しました。
2007/01/18
富士通の JVNVU#933712への対応が更新されました。
2015/07/03
Soft3304のベンダステータスが更新されました
2015/10/21
富士通株式会社のベンダステータスが更新されました