「file」コマンドに脆弱性

「file」コマンドにバッファオーバーフローの脆弱性が発見され、問題を修正したバージョン4.20が公開された。

» 2007年03月27日 10時17分 公開
[ITmedia]

 LinuxなどのフリーOSに搭載されている「file」プログラムの脆弱性について、US-CERTが3月26日、アラートを公開した。

 fileは、UNIX系OSでファイルに含まれるデータの種類の判別に使われるコマンド。「file_printf」機能の整数アンダーフローが原因でバッファオーバーフローの脆弱性が発生し、悪用されるとリモートの攻撃者が任意のコードを実行したり、DoS状態に陥れることができてしまう。

 悪用するには細工を施したファイル上で、脆弱性のあるバージョンのfileを実行させる必要がある。

 US-CERTのアラートでは、この脆弱性の影響を受けるベンダーとしてRed Hat、Ubuntu、Mandrivaなどを挙げている。問題を修正したfileのバージョン4.20は既に公開されている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ