Vendor Status Note JVNCIAC-S-272

Speex ライブラリに脆弱性

概要

音声処理ライブラリ Speex には、脆弱性があります。

影響を受けるシステム
 - Speex 1.1.12 およびそれ以前

なお、libfishsound、Firefox 向け Illiminable DirectShow フィルタおよび Annodex プラグイン、xine-lib など Speex を使用するライブラリやアプリケーションも影響を受けます。

想定される影響

遠隔の第三者が細工した Speex ファイルを処理させることで、Speex ライブラリを使用しているアプリケーションを実行しているユーザの権限で任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

ベンダ情報

ベンダリンク更新日
speexSpeex: A Free Codec For Free Speech
Red HatRed Hat Security Advisory RHSA-2008:0235
Important: speex security update
参考情報

  1. ISS X-Force Database: speex-header-bo(41684)
    Speex header buffer overflow
JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2008-1701 ( 2008-05-01 )
CIAC BulletinS-272 Speex Security Update ( 2008-04-25 )
CVE2008-1686 [CVE+] XF41684
PGP署名JVNCIAC-S-272.html.sig
登録日21:29 2008/05/01
更新日21:29 2008/05/01

Copyright(C) 2002-2009 Keio Univ. All rights reserved.