公開日:2006/04/21 最終更新日:2006/05/25

JVN#74294680
Winny におけるバッファオーバーフローの脆弱性

概要


P2P ファイル共有(交換)ソフトウェアである Winny にはバッファオーバーフローの脆弱性が存在します。

影響を受けるシステム

  • Winny 2.0 b7.1 およびそれ以前

    2006/05/25 現在、本脆弱性を使用した攻撃手法に関する情報が一般に公開されています。
    現在のところ、本脆弱性を使用した攻撃活動は観測されていませんが、本ソフトウェアを利用しないことで、本脆弱性を使用した攻撃の影響を未然に回避することが可能です。

詳細情報

想定される影響


遠隔の第三者から巧妙に細工されたパケットを送信されることにより、ソフトウェアが異常終了する可能性があります。
また、ソフトウェアの異常終了だけでなく、ログインしているユーザの権限で任意のコードを実行される可能性があるとの情報が、一般に公開されています。

なお、詳細については引き続き確認中です。新しい情報が入り次第、随時掲載します。

対策方法

ベンダ情報

参考情報

  1. IPA
    「Winny」におけるバッファオーバーフローの脆弱性
  2. eEye Digital Security
    Winny Remote Buffer Overflow Vulnerability
  3. 住商情報システム株式会社
    eEye Advisories : Winny2 リモートバッファオーバーフロー脆弱性
  4. US-CERT Vulnerability Note VU#167033
    Winny contains a buffer overflow

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: eEye Digital Security 鵜飼 裕司 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CAN-2006-2007
JVN iPedia