公開日:2010/03/04 最終更新日:2010/05/21

JVNVU#576029
libpng における圧縮された補助チャンクの処理に脆弱性

概要

libpng には、特定の PNG(Portable Network Graphics)ファイルの処理に問題があります。

影響を受けるシステム

  • libpng 1.4.0 およびそれ以前

詳しくは PNG Development Group が提供する情報をご確認ください。

詳細情報

libpng は、細工された補助チャンクが含まれている PNG ファイルを処理する際、膨大なメモリと CPU リソースを使用することがあります。
詳しくは、PNG Development Group が提供するセキュリティアドバイザリおよび Defending Libpng Applications Against Decompression Bombs をご確認ください。

想定される影響

遠隔の第三者によるサービス運用妨害 (DoS) 攻撃が行われる可能性があります。

対策方法

アップデートする
PNG Development Group が提供する情報をもとに、1.4.1, 1.2.43, 1.0.53 にアップデートしてください。

ワークアラウンドを実施する
PNG Development Group から回避策が提供されています。これら回避策を実施することで本脆弱性の影響を軽減することが可能です。

詳しくは、PNG Development Group が提供する Defending Libpng Applications Against Decompression Bombs をご確認ください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
フェンリル株式会社 該当製品あり 2010/03/04
株式会社インターネットイニシアティブ 該当製品なし 2010/03/04
日本電気 該当製品なし:調査中 2010/03/04
Lunascape 該当製品あり:調査中 2010/03/04
横河電機 該当製品なし:調査中 2010/03/04
ベンダ リンク
PNG Development Group PNG Reference Library: libpng -- Security Advisory for libpng-1.4.0 and earlier, 27 February 2010
PNG Reference Library: libpng -- Defending Libpng Applications Against Decompression Bombs

参考情報

  1. US-CERT Vulnerability Notes VU#576029
    libpng stalls on highly compressed ancillary chunks

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2010-0205
JVN iPedia JVNDB-2010-001158

更新履歴

2010/03/04
日本電気の JVNVU#576029への対応が更新されました。
2010/03/04
詳細情報を修正しました。
2010/05/21
関連文書に JVN iPedia へのリンクを追加しました。