独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)は9日、Schezo氏によるフリーの定番ファイル圧縮・展開ソフトウェア「Lhaplus」に脆弱性が存在すると発表した。影響を受けるバージョンは、「Lhaplus」Version 1.59およびそれ以前。
今回発覚した脆弱性は、ファイル名の処理に起因するディレクトリトラバーサルの脆弱性および、任意のコードを実行される脆弱性。前者では、名前を細工されたファイルを展開することで、任意のファイルを作成されたり既存のファイルを上書きされたりする恐れがある。後者では、細工されたファイルの展開により、任意のコードを実行される恐れがある。
いずれの脆弱性も、1日に公開された「Lhaplus」Version 1.70で修正されている。また、2日には特定のアーカイブ処理時に、バッファオーバーフローが発生する脆弱性および、特定のアーカイブ処理時に意図的しない場所に解凍される脆弱性を修正した「Lhaplus」Version 1.71も公開済み。最新版は8日に公開された「Lhaplus」Version 1.72で、64bit OS環境下でコンテキストメニューでの圧縮に失敗する場合があった不具合の修正などが行われている。
|
「Lhaplus」Version 1.72 |
