FreeBSD Daily Topics

2010年9月22日 bzip2のライブラリにツールクラッシュの脆弱性

この記事を読むのに必要な時間:およそ 0.5 分

security-advisory

FreeBSD-SA-10:08.bzip2

2010年9月20日(協定世界時)⁠最新のセキュリティアドバイザリであるFreeBSD-SA-10:08.bzip2が公開されました。6系,7系,8系などリリースされているすべてのサポート対象FreeBSDが影響を受けます。

FreeBSDのベースシステムにはbzip2(1)およびbunzip2(1)圧縮/展開コマンドが用意されています。これらコマンドはlibbz2をライブラリとして使っているほか,BSD tar(1)も同じライブラリを使ってbzip2の圧縮や展開を実現しています。今回発見された脆弱性は,run-lengthデコード値のチェックが十分でないために整数オーバーフローが発生する可能性があるというもので,同脆弱性をつかれるとユーティリティがクラッシュする可能性があると説明があります。

この脆弱性が任意のコードの実行を可能にするかどうかは定かではなく,それほど緊急度の高い脆弱性ではないとみられています。ただし,完全にそういった危険性がないかという確認はとれていないため,できるだけ早い段階での修正が期待されます。最新のセキュリティブランチへアップグレードするか,FreeBSD Upgradeを実施するか,パッチを適用してlibbz2を修正後のものへアップグレードする必要があります。

コメント

コメントの記入