GNU TarとGNU Cpio
(オープンソース経由のアーカイブ管理ソフト)
バーション情報↓
GNU Tar version 1.22以下
GNU Cpio version 2.10以下
OS環境↓
UNIX/Linux
(オープンソース経由のアーカイブ管理ソフト)
バーション情報↓
GNU Tar version 1.22以下
GNU Cpio version 2.10以下
OS環境↓
UNIX/Linux
問題の説明↓
lib/rtapelib.cのコード、rmt_read__ in の所にバグがあり、悪戯rmtサービスかrのリクエストが来ましたらtarがHeap-based buffer overflow問題状況になってしまいます。制限のパラメータが足りないです。もしマルウェア関係の物はこの問題情報を使うとシステムやサーバのサービス関係のコマンド実行される(エクスプロイト)の可能性が高いです。
解決方法↓
GNU Tar 1.23とGNU Cpio 2.11でバグを治りました。最新版cpioとtarソフトのアップグレードが必要です。
例え、現在yumのREPOで最新版は影響されている状態です。
例え、現在yumのREPOで最新版は影響されている状態です。
リファレンス↓
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0624
http://www.agrs.tu-berlin.de/index.php?id=78327
https://bugzilla.redhat.com/show_bug.cgi?id=564368
http://osvdb.org/62950
http://www.securiteam.com/unixfocus/5IP3G151FA.html
http://www.agrs.tu-berlin.de/index.php?id=78327
https://bugzilla.redhat.com/show_bug.cgi?id=564368
http://osvdb.org/62950
http://www.securiteam.com/unixfocus/5IP3G151FA.html
---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター
0 件のコメント:
コメントを投稿