公開日:2006/09/20 最終更新日:2007/01/18

JVNVU#933712
gzip の huft_build() における NULL ポインタ参照の脆弱性

概要


gzip (GNU zip) は圧縮・解凍する機能を提供するプログラムです。この gzip には、null ポインタ参照の脆弱性が存在します。

影響を受けるシステム


詳しくはベンダが提供する情報をご参照ください

詳細情報

想定される影響


遠隔の第三者によって任意のコードを実行されたり、DoS攻撃を受ける可能性があります。

対策方法


2006/09/20 現在、回避策として、信頼ができない gzip ファイルを開かない、システム管理者の権限で gzip を実行しない、自動実行されているプログラムにて gzip が使用されている場合もあるので、そのようなプログラムを無効にするもしくは root 権限でも実行を不可にするなどの方法があります。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
アライドテレシス株式会社 該当製品無し(調査中) 2006/10/24
富士通 該当製品あり 2007/01/18
日本電気 該当製品無し(調査中) 2006/09/25
日立 該当製品無し(調査中) 2006/09/22
松下電器産業 該当製品無し 2006/09/22
横河電機 該当製品無し(調査中) 2006/09/22

参考情報

  1. US-CERT Vulnerability Note VU#933712
    NULL dereference in huft_build()

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2006-4334
VU#933712
JVN iPedia