公開日:2007/07/09 最終更新日:2007/07/09

JVNVU#871497
Lhaca におけるバッファオーバーフローの脆弱性

概要

ファイルの圧縮・解凍を行なうツールである Lhaca には、バッファオーバーフローの脆弱性が存在します。

影響を受けるシステム

  • Lhaca 1.21 およびそれ以前

詳細情報

ファイルの圧縮・解凍を行なうツールである Lhaca にはスタックオーバーフローの脆弱性が存在します。

なお、すでに本件に関しては攻撃方法に関する情報が公開されています。

想定される影響

遠隔の第三者によって任意のコードを実行される可能性があります。

対策方法

アップデートする
開発者の提供する情報をもとに、該当製品使用者はできるだけ速やかに最新版へアップデートすることをお奨めします。

ベンダ情報

ベンダ リンク
Lhaca +Lhaca

参考情報

  1. US-CERT Vulnerability Note VU#871497
    Lhaca buffer overflow vulnerability

JPCERT/CCからの補足情報

開発者の情報によるとバッファオーバーフローの脆弱性に関しての対策は、1.22 で対策されていますが、ファイル解凍に関する問題があっため 1.23 が公開されています。2007/07/09 時点では、まだ正式版となっていませんが、詳細な動作確認後に正式版としてリリースされる予定です。

JPCERT/CCによる脆弱性分析結果

2007.07.09における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2007-3375
VU#871497
JVN iPedia