公開日:2025/01/15 最終更新日:2025/01/15
JVNVU#92217718
Linux Ratforにおけるスタックベースのバッファオーバーフローの脆弱性
The Dimensional Gateが提供するLinux Ratforには、スタックベースのバッファオーバーフローの脆弱性が存在します。
- Linux Ratfor 1.06およびそれ以前
The Dimensional Gateが提供するLinux Ratforには、スタックベースのバッファオーバーフロー(CWE-121)の脆弱性が存在します。
第三者によって細工されたファイルを当該ソフトウェアで処理した場合、任意のコードを実行され、ユーザー環境の情報取得や改ざんが行われたり、ユーザー環境が使用不可にされたりする可能性があります。
アップデートする
開発者が提供する情報をもとに最新バージョンにアップデートしてください。
開発者は本脆弱性の対策として次のバージョンをリリースしています。
- Linux Ratfor 1.07
ベンダ | リンク |
The Dimensional Gate Co. | Linux ratfor |
CVSS v3
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
基本値:
7.0
攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
---|---|---|---|---|
攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
スコープ(S) | 変更なし (U) | 変更あり (C) | ||
機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
分析結果のコメント
細工されたratforソースコードを当該製品で処理するよう、ユーザが誘導される攻撃シナリオを想定しています。
この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:NTTセキュリティホールディングス株式会社/NTT社会情報研究所 川古谷 裕平 氏
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2024-55577 |
JVN iPedia |
|