各位
libpng に複数の脆弱性
Multiple Vulnerabilities in libpng
http://www.jpcert.or.jp/at/2004/at040010.txt
I. 概要
PNG (Portable Network Graphics) 形式の画像処理ライブラリ libpng のバージョン 1.2.5 およびそれ以前には、バッファオーバーフローなど複数の脆弱性があります。結果として、遠隔から第三者が PNG 形式の画像ファイルを経由して、libpng を使用したアプリケーションを実行しているユーザの権限を取得する可能性があります。
この問題は、使用している OS およびアプリケーションのベンダや配布元が提供するパッチを適用する、または libpng をバージョン 1.2.6rc1 (もしくはそれ以降) に更新することで解決します。
問題の詳細および各ベンダや配布元の対応状況については、以下の文書を参照してください。これらの文書は対応状況の変化に伴って更新されますので、適宜最新版をご確認ください。
JP Vendor Status Note JVNTA04-217A
libpng に複数の脆弱性
http://jvn.jp/cert/JVNTA04-217A.html
US-CERT Technical Cyber Security Alert TA04-217A
Multiple Vulnerabilities in libpng
http://www.us-cert.gov/cas/techalerts/TA04-217A.html
US-CERT Vulnerability Note VU#388984
http://www.kb.cert.org/vuls/id/388984
US-CERT Vulnerability Note VU#817368
http://www.kb.cert.org/vuls/id/817368
US-CERT Vulnerability Note VU#286464
http://www.kb.cert.org/vuls/id/286464
US-CERT Vulnerability Note VU#477512
http://www.kb.cert.org/vuls/id/477512
US-CERT Vulnerability Note VU#160448
http://www.kb.cert.org/vuls/id/160448
US-CERT Vulnerability Note VU#236656
http://www.kb.cert.org/vuls/id/236656
libpng Home Page
http://www.libpng.org/pub/png/libpng.html
II. 対象
libpng バージョン 1.2.5 およびそれ以前のバージョンを使用 (リンク) しているアプリケーション。
III. 影響
遠隔から第三者が、PNG 形式の画像ファイルを経由して、libpng を使用したアプリケーションを実行しているユーザの権限を取得する可能性があります。なお、PNG 形式の画像ファイルは、Web ページや HTML 形式の電子メールに含まれている場合があります。
IV. 対処方法
使用している OS およびアプリケーションのベンダや配布元が提供する情報に従ってパッチを適用する、または libpng をバージョン 1.2.6rc1 (もしくはそれ以降) に更新することで解決します。
なお、libpng を静的にリンクしているアプリケーションの場合は、libpngを更新後にアプリケーションを再コンパイル (再リンク) する必要があります。
各ベンダや配布元の対応状況については、以下の文書を参照してください。これらの文書は対応状況の変化に伴って更新されますので、適宜最新版をご確認ください。
JP Vendor Status Note JVNTA04-217A
libpng に複数の脆弱性
http://jvn.jp/cert/JVNTA04-217A.html
US-CERT Technical Cyber Security Alert TA04-217A
Multiple Vulnerabilities in libpng
http://www.us-cert.gov/cas/techalerts/TA04-217A.html
libpng Home Page
http://www.libpng.org/pub/png/libpng.html
V. 補足
2004年8月4日 (日本時間) 現在、この問題を使った攻撃が実際に行なわれているとの報告はありません。
VI. お知らせ
JPCERT/CC は本件について、米国の CSIRT である CERT/CC および英国のCSIRT である NISCC (UNIRAS) とのパートナーシップのもと、国内外関連組織とのコーディネーションを行いました。CERT/CC と NISCC の詳細につきましては以下の URL をご覧ください。
CERT/CC
http://www.cert.org/
NISCC
http://www.niscc.gov.uk/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
__________
改訂履歴
2004-08-05 初版
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
JPCERT-AT-2004-0010
JPCERT/CC
2004-08-05
JPCERT/CC Alert 2004-08-05
libpng に複数の脆弱性
Multiple Vulnerabilities in libpng
http://www.jpcert.or.jp/at/2004/at040010.txt
I. 概要
PNG (Portable Network Graphics) 形式の画像処理ライブラリ libpng のバージョン 1.2.5 およびそれ以前には、バッファオーバーフローなど複数の脆弱性があります。結果として、遠隔から第三者が PNG 形式の画像ファイルを経由して、libpng を使用したアプリケーションを実行しているユーザの権限を取得する可能性があります。
この問題は、使用している OS およびアプリケーションのベンダや配布元が提供するパッチを適用する、または libpng をバージョン 1.2.6rc1 (もしくはそれ以降) に更新することで解決します。
問題の詳細および各ベンダや配布元の対応状況については、以下の文書を参照してください。これらの文書は対応状況の変化に伴って更新されますので、適宜最新版をご確認ください。
JP Vendor Status Note JVNTA04-217A
libpng に複数の脆弱性
http://jvn.jp/cert/JVNTA04-217A.html
US-CERT Technical Cyber Security Alert TA04-217A
Multiple Vulnerabilities in libpng
http://www.us-cert.gov/cas/techalerts/TA04-217A.html
US-CERT Vulnerability Note VU#388984
http://www.kb.cert.org/vuls/id/388984
US-CERT Vulnerability Note VU#817368
http://www.kb.cert.org/vuls/id/817368
US-CERT Vulnerability Note VU#286464
http://www.kb.cert.org/vuls/id/286464
US-CERT Vulnerability Note VU#477512
http://www.kb.cert.org/vuls/id/477512
US-CERT Vulnerability Note VU#160448
http://www.kb.cert.org/vuls/id/160448
US-CERT Vulnerability Note VU#236656
http://www.kb.cert.org/vuls/id/236656
libpng Home Page
http://www.libpng.org/pub/png/libpng.html
II. 対象
libpng バージョン 1.2.5 およびそれ以前のバージョンを使用 (リンク) しているアプリケーション。
III. 影響
遠隔から第三者が、PNG 形式の画像ファイルを経由して、libpng を使用したアプリケーションを実行しているユーザの権限を取得する可能性があります。なお、PNG 形式の画像ファイルは、Web ページや HTML 形式の電子メールに含まれている場合があります。
IV. 対処方法
使用している OS およびアプリケーションのベンダや配布元が提供する情報に従ってパッチを適用する、または libpng をバージョン 1.2.6rc1 (もしくはそれ以降) に更新することで解決します。
なお、libpng を静的にリンクしているアプリケーションの場合は、libpngを更新後にアプリケーションを再コンパイル (再リンク) する必要があります。
各ベンダや配布元の対応状況については、以下の文書を参照してください。これらの文書は対応状況の変化に伴って更新されますので、適宜最新版をご確認ください。
JP Vendor Status Note JVNTA04-217A
libpng に複数の脆弱性
http://jvn.jp/cert/JVNTA04-217A.html
US-CERT Technical Cyber Security Alert TA04-217A
Multiple Vulnerabilities in libpng
http://www.us-cert.gov/cas/techalerts/TA04-217A.html
libpng Home Page
http://www.libpng.org/pub/png/libpng.html
V. 補足
2004年8月4日 (日本時間) 現在、この問題を使った攻撃が実際に行なわれているとの報告はありません。
VI. お知らせ
JPCERT/CC は本件について、米国の CSIRT である CERT/CC および英国のCSIRT である NISCC (UNIRAS) とのパートナーシップのもと、国内外関連組織とのコーディネーションを行いました。CERT/CC と NISCC の詳細につきましては以下の URL をご覧ください。
CERT/CC
http://www.cert.org/
NISCC
http://www.niscc.gov.uk/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
__________
改訂履歴
2004-08-05 初版
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
前
コメント
共 有
