JVNCA-2002-07: zlib 圧縮ライブラリに脆弱性

zlib ライブラリのバージョン 1.1.3 およびそれ以前のバージョンには、ある特定の圧縮データを伸張する際にメモリ領域を二重に解放してしまう問題があります。
この脆弱性は、脆弱な zlib ライブラリを使用しているプログラム (サーバソフトウェアなど) の実装や脆弱な zlib ライブラリを組み込んだ Java Runtime Environment を使用しているブラウザにも影響を与えます。

脆弱な zlib ライブラリを使用しているプログラム (サーバソフトウェアなど) がサービス運用妨害 (denial-of-service, DoS) 攻撃を受けたり、第三者への情報漏えいを起こしたり、またそのプログラムを経由して第三者が任意のコードを実行する可能性があります。

ベンダ	リンク
Cisco	Vulnerability in the zlib Compression Library
Debian	zlib -- malloc エラー (領域の二重解放)
FreeBSD	zlib における二重 free 問題
富士通	CA-2002-07に対する富士通の情報
富士通	CA-2002-07に対するSolaris OEの情報
富士通	INTERSTAGE APWORKSおよびINTERSTAGE Application Serverにおける、Java実行環境(JRE)のセキュリティの問題(圧縮・復元ライブラリ(zlib)に脆弱性)
Hewlett-Packard	SSRT2146 Java Zlib圧縮ライブラリの不具合
Hewlett-Packard	openssh-clientsにおけるセキュリティ脆弱性
Hewlett-Packard	zlibライブラリにおけるセキュリティ脆弱性
Hewlett-Packard	kernelにおけるセキュリティ脆弱性
Hewlett-Packard	auditサブシステムにおけるセキュリティ脆弱性
Netscape	Sun JRE (Java Runtime Environment) Issue
日立	zlib圧縮ライブラリに関するセキュリティ問題の説明
Red Hat	zlib ライブラリーの脆弱性
Red Hat	zlib ライブラリー(powertools)のアップデート
SGI
Sun Microystems	zlib 圧縮ライブラリにメモリ二重開放のバグ
Sun Microystems	Security issue with zlib (libz(3)) in Solaris and OpenWindows
Turbolinux Japan	zlib: buffer overflowによるroot権限奪取
Turbolinux Japan	zlib: zlib 関連のアップデート
Turbolinux Japan	zlib: zlib 関連のアップデート２
Turbolinux Japan	zlib: zlib 関連のアップデート３
Vine Linux	zlib にセキュリティホール
zlib.org	http://www.zlib.org/

CERT Vulnerability Note VU#368819
Double Free Bug in zlib Compression Library Corrupts malloc's Internal Data Structures
CIAC Bulletin M-062
Double Free Bug in zlib Compression Library
ISS X-Force Database: zlib-doublefree-memory-corruption (8427)
zlib "double free" memory corruption
ラック
CERT Advisory CA-2002-07 Double Free Bug in zlib Compression Library [翻訳版]

JPCERT 緊急報告
JPCERT REPORT	JPCERT-WR-2002-1101 JPCERT/CC REPORT 2002-03-20
CERT Advisory	CERT Advisory CA-2002-07 Double Free Bug in zlib Compression Library
CPNI Advisory
TRnotes
CVE	CVE-2002-0059 VU#368819,XF8427
JVN iPedia

JVNCA-2002-07 zlib 圧縮ライブラリに脆弱性

JVNCA-2002-07
zlib 圧縮ライブラリに脆弱性