公開日:2011/11/08 最終更新日:2011/12/19

JVN#16901583
茶筌 (ChaSen) におけるバッファオーバーフローの脆弱性

概要

奈良先端科学技術大学院大学の提供する茶筌 (ChaSen) には、バッファオーバーフローの脆弱性が存在します。

影響を受けるシステム

  • 茶筌 (ChaSen) version 2.4.4 およびそれ以前
  • 茶筌 (ChaSen) version 2.3.3 およびそれ以前
上記バージョンの茶筌 (ChaSen) を組み込んでいるソフトウェアが本脆弱性の影響を受けます。

詳細情報

奈良先端科学技術大学院大学の提供する茶筌 (ChaSen) は、日本語の形態素解析をするためのソフトウェアです。茶筌 (ChaSen) には、文字列の読み込みに問題があり、バッファオーバーフローの脆弱性が存在します。

なお、茶筌 (ChaSen) は一時的に開発が停止していましたが、2011年12月8日より、ChaSen legacy プロジェクトによって開発が再開されました。

想定される影響

影響を受けるシステムを使用可能な第三者によって、任意のコードを実行される可能性があります。

対策方法

パッチを適用する
ChaSen legacy プロジェクトの提供する情報をもとに、パッチを適用してください。

ベンダ情報

ベンダ リンク
奈良先端科学技術大学院大学 ChaSen legacy
ChaSen legacy プロジェクト chasen244-secfix.diff
Debian Project Debian セキュリティ勧告 DSA-2361-1 chasen -- バッファオーバフロー

参考情報

JPCERT/CCからの補足情報

2011年11月8日の時点では【影響を受けるシステム】を茶筌 (ChaSen) version 2.4 系としていました。

その後の ChaSen legacy 開発者の検証によって、茶筌 (ChaSen) version 2.3.3 およびそれ以前の製品にも影響があることが判明したため、【影響を受けるシステム】を更新しています。

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: ネットエージェント株式会社 愛甲健二 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2011-4000
JVN iPedia JVNDB-2011-000099

更新履歴

2011/12/09
ベンダ情報を更新しました。
2011/12/12
ベンダ情報を更新しました。
2011/12/19
影響を受けるシステム、詳細情報、対策方法、ベンダ情報を更新し、JPCERT/CCからの補足情報を追記しました。