The FreeBSD Project, the FreeBSD Security Officer and the Security Officer Teamは19日(米国時間)、1件のFreeBSD Security Advisoryを報告した。

FreeBSD-SA-06:21.gzip

• トピック - gzipにおける複数の脆弱性
• カテゴリ - contrib
• モジュール - gzip
• 公表日 - 2006-09-19
• 影響範囲 - FreeBSDのすべてのリリース
• 修正済み
  • 2006-09-19 14:02:30 UTC (RELENG_6, 6.2-PRERELEASE)
  • 2006-09-19 14:03:26 UTC (RELENG_6_1, 6.1-RELEASE-p7)
  • 2006-09-19 14:04:13 UTC (RELENG_6_0, 6.0-RELEASE-p12)
  • 2006-09-19 14:06:21 UTC (RELENG_5, 5.5-STABLE)
  • 2006-09-19 14:07:13 UTC (RELENG_5_5, 5.5-RELEASE-p5)
  • 2006-09-19 14:08:10 UTC (RELENG_5_4, 5.4-RELEASE-p19)
  • 2006-09-19 14:09:09 UTC (RELENG_5_3, 5.3-RELEASE-p34)
  • 2006-09-19 14:11:35 UTC (RELENG_4, 4.11-STABLE)
  • 2006-09-19 14:13:53 UTC (RELENG_4_11, 4.11-RELEASE-p22)
• CVE - CVE-2006-4334, CVE-2006-4335, CVE-2006-4336, CVE-2006-4337, CVE-2006-4338

ファイル圧縮ユーティリティであるgzipに複数のプログラミング上の問題があることが発見された。ファイルの解凍時におこる問題で、バッファにおける不適当なバウンドチェック、NULLポインタ参照、無限ループに陥る問題などがある。これら問題によってgzipがクラッシュする可能性があるほか、権限以上のコード実行を許してしまう可能性がある。

問題を一時的に回避する方法はない。問題を解決するには修正済みのセキュリティブランチにシステムをアップデートするか、パッチを適用してgzipモジュールおよび関連システムをアップデートすればよい。