各位
                                                   JPCERT-AT-2007-0020
                                                             JPCERT/CC
                                                            2007-09-21

                  <<< JPCERT/CC Alert 2007-09-21 >>>

       ファイル圧縮・解凍ソフト Lhaplus の脆弱性に関する注意喚起

                Vulnerability in file archiver Lhaplus

             http://www.jpcert.or.jp/at/2007/at070020.txt

I. 概要

  国内で広く利用されているファイル圧縮・解凍ソフト Lhaplus には ARJ 形
式のアーカイブ展開処理にバッファオーバーフローの脆弱性があります。遠隔
の第三者によって細工されたアーカイブを、ユーザが展開することで任意のコー
ドが実行される可能性があります。


II. 対象

  対象となる製品とバージョンは以下の通りです。

    - Lhaplus for Windows 1.54 beta 1 およびそれ以前

  詳しくは製品開発者が提供する情報をご確認下さい。


III. 対策

  この問題を解決するためには、製品開発者が提供する対策済みのソフトウェ
アに更新してください。詳細に関しては、下記の情報を参照してください。

    Lhaplus 配布ページ
    http://www7a.biglobe.ne.jp/~schezo/


IV. 参考情報

    Japan Vulnerability Notes JVN#70734805
    Lhaplus におけるバッファオーバーフローの脆弱性
    http://jvn.jp/jp/JVN%2370734805/index.html

    独立行政法人 情報処理推進機構 セキュリティセンター(IPA)
    「Lhaplus」におけるセキュリティ上の弱点（脆弱性）の注意喚起について
    http://www.ipa.go.jp/security/vuln/200709_Lhaplus.html

    ARJ 展開時のバッファオーバーフロー
    http://www7a.biglobe.ne.jp/~schezo/arj_vul.html


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
http://www.jpcert.or.jp/

Topへ