各位
JPCERT-AT-2004-0010
JPCERT/CC
2004-08-05
<<< JPCERT/CC Alert 2004-08-05 >>>
libpng に複数の脆弱性
Multiple Vulnerabilities in libpng
http://www.jpcert.or.jp/at/2004/at040010.txt
I. 概要
PNG (Portable Network Graphics) 形式の画像処理ライブラリ libpng のバー
ジョン 1.2.5 およびそれ以前には、バッファオーバーフローなど複数の脆弱
性があります。結果として、遠隔から第三者が PNG 形式の画像ファイルを経
由して、libpng を使用したアプリケーションを実行しているユーザの権限を
取得する可能性があります。
この問題は、使用している OS およびアプリケーションのベンダや配布元が
提供するパッチを適用する、または libpng をバージョン 1.2.6rc1 (もしく
はそれ以降) に更新することで解決します。
問題の詳細および各ベンダや配布元の対応状況については、以下の文書を参
照してください。これらの文書は対応状況の変化に伴って更新されますので、
適宜最新版をご確認ください。
JP Vendor Status Note JVNTA04-217A
libpng に複数の脆弱性
https://jvn.jp/cert/JVNTA04-217A/
US-CERT Technical Cyber Security Alert TA04-217A
Multiple Vulnerabilities in libpng
http://www.us-cert.gov/cas/techalerts/TA04-217A.html
US-CERT Vulnerability Note VU#388984
http://www.kb.cert.org/vuls/id/388984
US-CERT Vulnerability Note VU#817368
http://www.kb.cert.org/vuls/id/817368
US-CERT Vulnerability Note VU#286464
http://www.kb.cert.org/vuls/id/286464
US-CERT Vulnerability Note VU#477512
http://www.kb.cert.org/vuls/id/477512
US-CERT Vulnerability Note VU#160448
http://www.kb.cert.org/vuls/id/160448
US-CERT Vulnerability Note VU#236656
http://www.kb.cert.org/vuls/id/236656
libpng Home Page
http://www.libpng.org/pub/png/libpng.html
II. 対象
libpng バージョン 1.2.5 およびそれ以前のバージョンを使用 (リンク) し
ているアプリケーション。
III. 影響
遠隔から第三者が、PNG 形式の画像ファイルを経由して、libpng を使用し
たアプリケーションを実行しているユーザの権限を取得する可能性があります。
なお、PNG 形式の画像ファイルは、Web ページや HTML 形式の電子メールに含
まれている場合があります。
IV. 対処方法
使用している OS およびアプリケーションのベンダや配布元が提供する情報
に従ってパッチを適用する、または libpng をバージョン 1.2.6rc1 (もしく
はそれ以降) に更新することで解決します。
なお、libpng を静的にリンクしているアプリケーションの場合は、libpng
を更新後にアプリケーションを再コンパイル (再リンク) する必要があります。
各ベンダや配布元の対応状況については、以下の文書を参照してください。
これらの文書は対応状況の変化に伴って更新されますので、適宜最新版をご確
認ください。
JP Vendor Status Note JVNTA04-217A
libpng に複数の脆弱性
https://jvn.jp/cert/JVNTA04-217A/
US-CERT Technical Cyber Security Alert TA04-217A
Multiple Vulnerabilities in libpng
http://www.us-cert.gov/cas/techalerts/TA04-217A.html
libpng Home Page
http://www.libpng.org/pub/png/libpng.html
V. 補足
2004年8月4日 (日本時間) 現在、この問題を使った攻撃が実際に行なわれて
いるとの報告はありません。
VI. お知らせ
JPCERT/CC は本件について、米国の CSIRT である CERT/CC および英国の
CSIRT である NISCC (UNIRAS) とのパートナーシップのもと、国内外関連組織
とのコーディネーションを行いました。CERT/CC と NISCC の詳細につきまし
ては以下の URL をご覧ください。
CERT/CC
http://www.cert.org/
NISCC
http://www.niscc.gov.uk/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
__________
改訂履歴
2004-08-05 初版
======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
Topへ