FreeBSD Daily Topics
2010年9月22日 bzip2のライブラリにツールクラッシュの脆弱性
この記事を読むのに必要な時間:およそ 0.5 分
security-advisory
- FreeBSD-SA-10:08.
bzip2 2010年9月20日
(協定世界時), 最新のセキュリティアドバイザリであるFreeBSD-SA-10:08. bzip2が公開されました。6系, 7系, 8系などリリースされているすべてのサポート対象FreeBSDが影響を受けます。 FreeBSDのベースシステムにはbzip2(1)およびbunzip2(1)圧縮/
展開コマンドが用意されています。これらコマンドはlibbz2をライブラリとして使っているほか, BSD tar(1)も同じライブラリを使ってbzip2の圧縮や展開を実現しています。今回発見された脆弱性は, run-lengthデコード値のチェックが十分でないために整数オーバーフローが発生する可能性があるというもので, 同脆弱性をつかれるとユーティリティがクラッシュする可能性があると説明があります。 この脆弱性が任意のコードの実行を可能にするかどうかは定かではなく,
それほど緊急度の高い脆弱性ではないとみられています。ただし, 完全にそういった危険性がないかという確認はとれていないため, できるだけ早い段階での修正が期待されます。最新のセキュリティブランチへアップグレードするか, FreeBSD Upgradeを実施するか, パッチを適用してlibbz2を修正後のものへアップグレードする必要があります。
バックナンバー
FreeBSD Daily Topics
- 2010年9月30日 ユーザランドDTrace登場
- 2010年9月29日 PC-BSD 9.0 TODO一覧
- 2010年9月28日 ZFS v14からv15へアップグレードする方法,FreeBSD 8-STABLE
- 2010年9月24日 PC-BSD 9.0,KDE以外のGNOMEやXFce4にも対応
- 2010年9月22日 bzip2のライブラリにツールクラッシュの脆弱性
- 2010年9月21日 FreeNAS 8の目標と進捗報告
- 2010年9月17日 FreeBSD Google SoC 2010ハイライト
- 2010年9月16日 Opera開発最新版をFreeBSDで使う方法
- 2010年9月14日 FreeBSD NVIDIAドライバ最新版256.53登場
- 2010年9月13日 OpenJDK6 IcedTea Javaプラグイン,移植開始とヘルプ求む