セキュリティ・ベンダーのデンマークSecuniaなどは現地時間7月7日,Linuxディストリビューションなどに含まれるファイル圧縮用ライブラリ「zlib」にセキュリティ・ホールが見つかったことを明らかにした。zlibを使うアプリケーションで細工が施されたファイルを読み込むと,アプリケーションを強制終了させられたり,任意のプログラムを実行させられたりする恐れがある。対策は,Linuxディストリビュータなどが公開するアップデートを適用すること。
今回見つかったのは,バッファ・オーバーフローのセキュリティ・ホール。zlibのバージョン1.2.2で確認されているが,これ以前のバージョンにも存在するだろうとしている。原因は,zlibを構成するファイルの一つである「inftrees.c」。このファイルのプログラムは,壊れた圧縮ファイルを扱うためのもの。このinftrees.cには未チェックのバッファが存在するため,ある長さ以上のデータを扱おうとするとバッファ・オーバーフローが発生する。
対策は,アップデートを適用すること。Linuxディストリビュータなどが公開している。Secuniaの情報によれば,下記のディストリビュータからアップデートが公開されているという(7月8日時点)。
◎参考資料
◆zlib "inftrees.c" Buffer Overflow Vulnerability
(勝村 幸博=IT Pro)
