デンマークSecuniaは現地時間4月4日,文書整形ソフト「TeX」のUNIX/Linux用パッケージ「teTeX 2.x」に複数のセキュリティ・ホールが存在することを公表した。細工が施されたファイルを読み込むとソフトウエアがハングアップしたり,任意のプログラムを実行させられたりする恐れがある。対策は,OSベンダーなどが公開するパッチや修正版パッケージを適用すること。例えば,米Red Hatは4月1日付けで修正版パッケージを公開している。
teTeXに含まれる画像処理ライブラリなどにはセキュリティ・ホールが存在するという。例えば,TIFF形式画像を処理する「LibTIFF」にはバッファ・オーバーフローなどのセキュリティ・ホールが存在する。
また,Red Hatのアドバイザリによれば,teTeXに含まれる「Xpdf」にもセキュリティ・ホールが存在するという(関連記事)。XpdfとはPDFファイルを閲覧するためのソフトウエア。
LibTIFFやXpdfのセキュリティ・ホールは既に知られており公表されている。今回は,これらを含むteTeXのセキュリティ・ホールとして改めて警告された。Secuniaによれば, teTeXの配布元である「The teTeX Homepage」では修正版やパッチなどは公開していないという。このため,UNIX/Linuxベンダーなどが公開するパッチや修正版をインストールして対応する。
例えば,Red Hatでは既に修正版パッケージとセキュリティ情報を公開している。同ディストリビューションのteTeXユーザーは,できるだけ早急に修正版パッケージをインストールしたい。
◎参考資料
◆teTeX Multiple Image Decoder Parsing Vulnerabilities
◆Red Hat update for tetex
◆Moderate: tetex security update
(勝村 幸博=IT Pro)