公開日:2026/01/26 最終更新日:2026/01/26

JVNVU#90741268
dr_flacにおける整数オーバーフローの脆弱性

概要

dr_flacには整数オーバーフローの脆弱性が存在します。

影響を受けるシステム

  • dr_flacのGithubリポジトリ Commit b2197b2より前のバージョン

詳細情報

dr_flacはFLAC形式の音声ファイルをデコードするためのライブラリです。
dr_flacにはバッファサイズを計算・検証する前にFLACファイルのメタデータ中のtotalPCMFrameCountの値に基づいてメモリを確保する処理が行われる整数オーバーフローの脆弱性が存在します(CVE-2025-14369)。

想定される影響

攻撃者により大きなメモリ確保が発生するよう細工されたFLACファイル形式の入力データを処理することで、dr_flacを利用するdr_libsなどのソフトウェアがクラッシュする可能性があります。

対策方法

修正済のバージョンを使用する
本脆弱性はGithubリポジトリのCommit b2197b2で修正されています。これより後のバージョンを使用してください。

ベンダ情報

ベンダ リンク
David Reid dr_flac: Improvements to drflac_open_and_read_pcm_frames_*() and family. · mackron/dr_libs@b2197b2

参考情報

  1. CERT/CC Vulnerability Note VU#924114
    dr_flac contains an integer overflow vulnerability that allows for DoS when provided a crafted file

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia