「file」コマンドにバッファオーバーフローの脆弱性が発見され、問題を修正したバージョン4.20が公開された。
LinuxなどのフリーOSに搭載されている「file」プログラムの脆弱性について、US-CERTが3月26日、アラートを公開した。
fileは、UNIX系OSでファイルに含まれるデータの種類の判別に使われるコマンド。「file_printf」機能の整数アンダーフローが原因でバッファオーバーフローの脆弱性が発生し、悪用されるとリモートの攻撃者が任意のコードを実行したり、DoS状態に陥れることができてしまう。
悪用するには細工を施したファイル上で、脆弱性のあるバージョンのfileを実行させる必要がある。
US-CERTのアラートでは、この脆弱性の影響を受けるベンダーとしてRed Hat、Ubuntu、Mandrivaなどを挙げている。問題を修正したfileのバージョン4.20は既に公開されている。
Copyright © ITmedia, Inc. All Rights Reserved.