公開日:2006/09/20 最終更新日:2007/01/18

JVNVU#773548
gzip の LZH の取扱におけるバッファオーバーフローの脆弱性

概要


gzip (GNU zip) はファイルを圧縮・解凍する機能を提供するプログラムです。この gzip の LZH 圧縮アルゴリズムの実装に、バッファオーバーフローの脆弱性が存在します。

影響を受けるシステム

  詳しくはベンダが提供する情報をご参照ください


2006/09/20 現在、回避策として、信頼ができない gzip ファイルを開かない、システム管理者の権限で gzip を実行しない、自動実行されているプログラムにて gzip が使用されている場合もあるので、そのようなプログラムを無効にするもしくは root 権限でも実行を不可にするなどの方法があります。

詳細情報

想定される影響


遠隔の第三者によって任意のコードを実行されたり、DoS 攻撃を受ける可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
松下電器産業 該当製品なし 2006/09/22
アライドテレシス株式会社 該当製品なし:調査中 2006/10/24
富士通 該当製品あり 2007/01/18
日立 該当製品なし:調査中 2006/09/22
日本電気 該当製品なし:調査中 2006/09/25
横河電機 該当製品なし:調査中 2006/09/22
ベンダ リンク
Redhat Security Advisory Moderate: gzip security update
ubuntu Ubuntu Security Notice USN-349-1
FreeBSD FreeBSD-SA-06:21.gzip

参考情報

  1. Vulnerability Note VU#773548
    gzip contains a .bss buffer overflow in its LZH handling

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
NISCC Advisory
TRnotes

更新履歴

2006/09/22
ベンダ情報:富士通の情報を追加しました。
ベンダ情報:松下電器産業の情報を追加しました。
ベンダ情報:横河電機の情報を追加しました。
ベンダ情報:日立の情報を追加しました。
2006/09/26
ベンダ情報:日本電気の情報を追加しました。
2006/10/25
ベンダ情報:アライドテレシス株式会社の情報を追加しました。
2007/01/18
ベンダ情報:富士通の情報を更新しました。