security-advisory

FreeBSD-SA-10:08.bzip2

2010年9月20日（協定世界時⁠）⁠，最新のセキュリティアドバイザリであるFreeBSD-SA-10:08.bzip2が公開されました。6系，7系，8系などリリースされているすべてのサポート対象FreeBSDが影響を受けます。

FreeBSDのベースシステムにはbzip2(1)およびbunzip2(1)圧縮／展開コマンドが用意されています。これらコマンドはlibbz2をライブラリとして使っているほか，BSD tar(1)も同じライブラリを使ってbzip2の圧縮や展開を実現しています。今回発見された脆弱性は，run-lengthデコード値のチェックが十分でないために整数オーバーフローが発生する可能性があるというもので，同脆弱性をつかれるとユーティリティがクラッシュする可能性があると説明があります。

この脆弱性が任意のコードの実行を可能にするかどうかは定かではなく，それほど緊急度の高い脆弱性ではないとみられています。ただし，完全にそういった危険性がないかという確認はとれていないため，できるだけ早い段階での修正が期待されます。最新のセキュリティブランチへアップグレードするか，FreeBSD Upgradeを実施するか，パッチを適用してlibbz2を修正後のものへアップグレードする必要があります。