ニュース
Cyrus SASLライブラリにバッファオーバーフローの脆弱性:任意のコード実行の恐れ
Cyrus SASLライブラリに、任意のコード実行などにつながる脆弱性が見つかった。
Cyrus SASL(Simple Authentication and Security Layer)ライブラリにバッファオーバーフローの脆弱性が見つかり、開発元のProject Cyrusが最新版で対処した。US-CERTやJPCERTコーディネーションセンターなどが情報を公開して、アップデートを呼びかけている。
Cyrus SASLライブラリは、さまざまなプロトコルに認証機能を実装するために使われ、クライアントからメールサーバへ接続する際の認証に利用されるの一般的。
脆弱性はCyrus SASL 2.1.22に以前に存在し、データを符号化するsasl_encode64()の不適切な処理によって、バッファオーバーフローが誘発される恐れがある。悪用されると、リモートから任意のコードを実行されたり、アプリケーションがクラッシュしたりする可能性がある。
Project Cyrusは脆弱性に対処した2.1.23を公開した。US-CERTによれば、Cyrus SASLを実装する一部のベンダー製品が影響を受けるとして注意を促している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.