公開日:2015/05/19 最終更新日:2015/05/22
JVN#78689801
BGA32.DLL および QBga32.DLL における複数の脆弱性
BGA32.DLL および QBga32.DLL には、複数の脆弱性が存在します。
- BGA32.DLL
- QBga32.DLL version 0.04 およびそれ以前
BGA32.DLL は、gza、bza 形式のファイルを圧縮・展開するためのライブラリです。BGA32.DLL には、旧バージョンの zlib ライブラリおよび bzip2 ライブラリの使用に起因するバッファオーバーフローの問題を含む複数の脆弱性が存在します。
また、BGA32.DLL のラッパ DLL である QBga32.DLL も、本脆弱性の影響を受けます。
想定される影響は各脆弱性により異なりますが、細工されたファイルを展開することで、サービス運用妨害 (DoS) 攻撃を受けたり、任意のコードを実行されたりするなどの可能性があります。
最新版の QBga32.DLL を使用する
本脆弱性は、BGA32.DLL のラッパ DLL である QBga32.DLL version 0.05 で修正されています。
BGA32.DLL を使用しない
BGA32.DLL の開発および配布は既に終了しています。BGA32.DLL の使用を停止してください。
ベンダ | リンク |
木村 利靖 | Common Archivers Library: BGA32.DLL |
Kazuhiro Inaba | QBga32.DLL |
2015.05.19における脆弱性分析結果(CVSS Base Metrics)
評価尺度 | 評価値 | 説明 | ||
---|---|---|---|---|
攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) | ネットワーク経由でリモートから攻撃可能 |
攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) | 攻撃成立に何らかの条件が必要 |
攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) | 認証は不要 |
機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) | 一部の情報が漏えいする |
完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) | 情報の正確さや完全さが部分的に損なわれる |
可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) | システムの使用が部分的に阻害される |
Base Score:6.8
分析結果のコメント
細工されたファイルをユーザが展開することを想定しています。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 近藤和宏 氏
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2003-0107 |
CVE-2005-0953 |
|
CVE-2005-1260 |
|
CVE-2005-1849 |
|
CVE-2005-2096 |
|
JVN iPedia |
JVNDB-2015-000066 |
- 2015/05/22
- 関連文書に CVE を追加しました。