公開日:2008/03/24 最終更新日:2010/05/21

CPNI-072928
複数のアーカイブ形式に対する脆弱性

概要

Oulu 大学セキュアプログラミンググループ(OUSPG)から、複数のアーカイブ形式に対するテストデータが公開されました。

すでにいくつかの製品において脆弱性が発見され、修正がなされています。

影響を受けるシステム

以下のアーカイブ形式のファイルを扱う製品が影響を受ける可能性があります:

  • ACE,ARJ,BZ2,CAB,GZ,LHA,RAR,TAR,ZIP,ZOO

詳しくは各ベンダが提供する情報をご確認ください。

詳細情報

Oulu 大学セキュアプログラミンググループ(OUSPG)では、複数のアーカイブ形式に対するテストデータ PROTOS Genome Test Suite c10-archive を作成・公開しました。
これらのテストデータを使うことで、アプリケーションプログラムが適切にエラー処理を行っているかどうかを調査することができます。すでにいくつかの製品において脆弱性が発見され、修正がなされています。
JPCERT/CC では本件の公開に先立ち、OUSPG から提供されたテストデータについて、日本国内の製品開発者への展開・調整を行ないました。

想定される影響

想定される影響は各アプリケーションプログラムにより異なりますが、適切なエラー処理を行うことができない場合、サービス運用妨害(DoS)や任意のコード実行などの影響を受ける可能性があります。

対策方法

各アプリケーションプログラムの配布元が提供する情報を参照してください。

ベンダ情報

参考情報

  1. CERT-FI
    CERT-FI and CPNI Joint Vulnerability Advisory on Archive Formats
  2. University of Oulu
    PROTOS Genome Test Suite c10-archive

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia JVNDB-2008-002304

更新履歴

2010/05/21
関連文書に JVN iPedia へのリンクを追加しました。