公開日:2006/09/20 最終更新日:2007/01/18

JVNVU#596848
gzip の LZH の取扱いにおいて無限ループが引き起こされる脆弱性

概要


gzip (GNU zip) はファイルを圧縮・解凍する機能を提供するプログラムです。gzip には LZH 圧縮データの取扱いにおいて無限ループが引き起こされる脆弱性が存在します。

影響を受けるシステム


  詳しくは、ベンダの提供する情報をご確認ください。


詳細情報

想定される影響


遠隔の第三者によって任意のコードを実行されたり、DoS 攻撃を受ける可能性があります。

対策方法


2006/09/20 現在、回避策として、信頼ができない gzip ファイルを開かない、システム管理者の権限で gzip を実行しない、自動実行されているプログラムにて gzip が使用されている場合もあるので、そのようなプログラムを無効にするもしくは root 権限でも実行を不可にするなどの方法があります。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
松下電器産業 該当製品なし 2006/09/22
アライドテレシス株式会社 該当製品なし:調査中 2006/10/24
富士通 該当製品あり 2007/01/18
日立 該当製品なし:調査中 2006/09/22
日本電気 該当製品なし:調査中 2006/09/25
横河電機 該当製品なし:調査中 2006/09/22
ベンダ リンク
Redhat Security Advisory Moderate: gzip security update
ubuntu Ubuntu Security Notice USN-349-1
FreeBSD FreeBSD-SA-06:21.gzip

参考情報

  1. US-CERT Vulnerability Note VU#596848
    gzip contains an infinite loop vulnerability in its LZH handling

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
NISCC Advisory
TRnotes
CVE CVE-2006-4338 VU#596848

更新履歴

2006/09/22
ベンダ情報:富士通の情報を追加しました。
ベンダ情報:松下電器産業の情報を追加しました。
ベンダ情報:横河電機の情報を追加しました。
ベンダ情報:日立の情報を追加しました。
2006/09/26
ベンダ情報:日本電気の情報を追加しました。
2006/10/25
ベンダ情報:アライドテレシス株式会社の情報を追加しました。
2007/01/18
ベンダ情報:富士通の情報を更新しました。