-----BEGIN PGP SIGNED MESSAGE-----

各位

                                                  JPCERT-AT-2004-0010
                                                            JPCERT/CC
                                                           2004-08-05

		  <<< JPCERT/CC Alert 2004-08-05 >>>

                        libpng に複数の脆弱性

                  Multiple Vulnerabilities in libpng

             http://www.jpcert.or.jp/at/2004/at040010.txt

I. 概要

  PNG (Portable Network Graphics) 形式の画像処理ライブラリ libpng のバー
ジョン 1.2.5 およびそれ以前には、バッファオーバーフローなど複数の脆弱
性があります。結果として、遠隔から第三者が PNG 形式の画像ファイルを経
由して、libpng を使用したアプリケーションを実行しているユーザの権限を
取得する可能性があります。

  この問題は、使用している OS およびアプリケーションのベンダや配布元が
提供するパッチを適用する、または libpng をバージョン 1.2.6rc1 (もしく
はそれ以降) に更新することで解決します。

  問題の詳細および各ベンダや配布元の対応状況については、以下の文書を参
照してください。これらの文書は対応状況の変化に伴って更新されますので、
適宜最新版をご確認ください。

    JP Vendor Status Note JVNTA04-217A
    libpng に複数の脆弱性
    http://jvn.jp/cert/JVNTA04-217A.html

    US-CERT Technical Cyber Security Alert TA04-217A
    Multiple Vulnerabilities in libpng
    http://www.us-cert.gov/cas/techalerts/TA04-217A.html

    US-CERT Vulnerability Note VU#388984
    http://www.kb.cert.org/vuls/id/388984

    US-CERT Vulnerability Note VU#817368
    http://www.kb.cert.org/vuls/id/817368

    US-CERT Vulnerability Note VU#286464
    http://www.kb.cert.org/vuls/id/286464

    US-CERT Vulnerability Note VU#477512
    http://www.kb.cert.org/vuls/id/477512

    US-CERT Vulnerability Note VU#160448
    http://www.kb.cert.org/vuls/id/160448

    US-CERT Vulnerability Note VU#236656
    http://www.kb.cert.org/vuls/id/236656

    libpng Home Page
    http://www.libpng.org/pub/png/libpng.html


II. 対象

  libpng バージョン 1.2.5 およびそれ以前のバージョンを使用 (リンク) し
ているアプリケーション。


III. 影響

  遠隔から第三者が、PNG 形式の画像ファイルを経由して、libpng を使用し
たアプリケーションを実行しているユーザの権限を取得する可能性があります。
なお、PNG 形式の画像ファイルは、Web ページや HTML 形式の電子メールに含
まれている場合があります。


IV. 対処方法

  使用している OS およびアプリケーションのベンダや配布元が提供する情報
に従ってパッチを適用する、または libpng をバージョン 1.2.6rc1 (もしく
はそれ以降) に更新することで解決します。

  なお、libpng を静的にリンクしているアプリケーションの場合は、libpng
を更新後にアプリケーションを再コンパイル (再リンク) する必要があります。

  各ベンダや配布元の対応状況については、以下の文書を参照してください。
これらの文書は対応状況の変化に伴って更新されますので、適宜最新版をご確
認ください。

    JP Vendor Status Note JVNTA04-217A
    libpng に複数の脆弱性
    http://jvn.jp/cert/JVNTA04-217A.html

    US-CERT Technical Cyber Security Alert TA04-217A
    Multiple Vulnerabilities in libpng
    http://www.us-cert.gov/cas/techalerts/TA04-217A.html

    libpng Home Page
    http://www.libpng.org/pub/png/libpng.html


V. 補足

  2004年8月4日 (日本時間) 現在、この問題を使った攻撃が実際に行なわれて
いるとの報告はありません。


VI. お知らせ

  JPCERT/CC は本件について、米国の CSIRT である CERT/CC および英国の
CSIRT である NISCC (UNIRAS) とのパートナーシップのもと、国内外関連組織
とのコーディネーションを行いました。CERT/CC と NISCC の詳細につきまし
ては以下の URL をご覧ください。

    CERT/CC
    http://www.cert.org/

    NISCC
    http://www.niscc.gov.uk/


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

__________

改訂履歴

2004-08-05  初版

======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600  FAX: 03-3518-4602
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQRFAvIx1ay4slNTtAQFiFwQAv9aSS2O7+N1qoI+dFyevjGU2yIeY5pRK
GwgvvTTynXR4Y6DdnPpzJDAm2NzYA9HsoNAI1XljkJhGtbIihovTxYjvYi1bg/Sp
pvVqottTnpmcZZV0iav/n8VxbTX2wfTHj/xYRf7y0k/Np4WrWrgVRTsxw1ZJu9O4
fZ5ZDFAFWAY=
=b3Tn
-----END PGP SIGNATURE-----