公開日:2015/05/19 最終更新日:2015/05/22

JVN#78689801
BGA32.DLL および QBga32.DLL における複数の脆弱性

概要

BGA32.DLL および QBga32.DLL には、複数の脆弱性が存在します。

影響を受けるシステム

  • BGA32.DLL
  • QBga32.DLL version 0.04 およびそれ以前

詳細情報

BGA32.DLL は、gza、bza 形式のファイルを圧縮・展開するためのライブラリです。BGA32.DLL には、旧バージョンの zlib ライブラリおよび bzip2 ライブラリの使用に起因するバッファオーバーフローの問題を含む複数の脆弱性が存在します。
また、BGA32.DLL のラッパ DLL である QBga32.DLL も、本脆弱性の影響を受けます。

想定される影響

想定される影響は各脆弱性により異なりますが、細工されたファイルを展開することで、サービス運用妨害 (DoS) 攻撃を受けたり、任意のコードを実行されたりするなどの可能性があります。

対策方法

最新版の QBga32.DLL を使用する
本脆弱性は、BGA32.DLL のラッパ DLL である QBga32.DLL version 0.05 で修正されています。

BGA32.DLL を使用しない
BGA32.DLL の開発および配布は既に終了しています。BGA32.DLL の使用を停止してください。

ベンダ情報

ベンダ リンク
木村 利靖 Common Archivers Library: BGA32.DLL
Kazuhiro Inaba QBga32.DLL

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2015.05.19における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) ネットワーク経由でリモートから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に何らかの条件が必要
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 一部の情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さが部分的に損なわれる
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用が部分的に阻害される

Base Score:6.8

分析結果のコメント

細工されたファイルをユーザが展開することを想定しています。

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 近藤和宏 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2003-0107
CVE-2005-0953
CVE-2005-1260
CVE-2005-1849
CVE-2005-2096
JVN iPedia JVNDB-2015-000066

更新履歴

2015/05/22
関連文書に CVE を追加しました。