Vendor Status Note JVNCIAC-O-210

LHA にバッファオーバーフローの脆弱性

概要

LHA バージョン 1.14 およびそれ以前にはバッファオーバーフローなどの脆弱性があります。

想定される影響

遠隔から第三者が LHA アーカイブを経由して、LHA を実行しているユーザの権限を取得する可能性があります。

ベンダ情報

ベンダリンク更新日
Red Hatセキュリティアドバイス RHSA-2004:323
An updated lha package fixes security vulnerability
セキュリティアドバイス RHSA-2004:440
An updated lha package fixes security vulnerability
ミラクル・リナックスアップデート情報 lha セキュリティ 2004年9月6日 lha に複数のバッファ・オーバーフローの脆弱性
Vine Linuxlhaにセキュリティホール
参考情報

  1. ISS X-Force Database: lha-command-bo(17196)
    LHA command line buffer overflow
  2. ISS X-Force Database: lha-metacharacter-command-execution(17198)
    LHA metacharacter command execution
  3. ISS X-Force Database: lha-long-pathname-bo(16917)
    LHA long pathname buffer overflow
  4. ISS X-Force Database: lha-extractone-bo(16196)
    LHA extract_one buffer overflows

JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2004-3501 ( 2004-09-08 )
CIAC BulletinO-210 LHA Packages Buffer Overflow Vulnerability ( 2004-09-03 )
CVE2004-0694 [CVE+] XF17196
2004-0745 [CVE+] XF17198
2004-0769 [CVE+] XF16917
2004-0771 [CVE+] XF16196
PGP署名JVNCIAC-O-210.html.sig

登録日20:08 2004/09/11
更新日12:20 2004/09/19

Copyright(C) 2002-2009 Keio Univ. All rights reserved.