PR

 米CERT/CC は米国時間3月12日,LinuxやUNIX OSに含まれる共有ライブラリ「zlib」のバージョン1.1.3以前に,セキュリティ・ホールがあることを公表した。zlibは,メモリー内でのデータ圧縮/展開機能を提供するライブラリで,多くのアプリケーションが使用している。zlibを使用するアプリケーションで,ある細工が施されたデータを読み込むと,アプリケーションがクラッシュしたり,任意のコードを実行されたりする恐れがある。対策は,zlibやzlibを含むアプリケーションのアップグレードなど。

 CERT/CCの情報によれば,以下のベンダーのOSやアプリケーションが影響を受ける(3月13日現在)。

 リストにないベンダーや,影響が不明あるいは調査中としているベンダーも多い。上記以外のベンダーの製品も影響を受ける可能性があるので,ベンダーやCERT/CCのサイトなどで最新情報を確認してほしい。

 CERT/CC などによれば,このセキュリティ・ホールを悪用した攻撃は報告されていないという。しかしながら,zlibは多くのOSやアプリケーションで使用されているために影響は大きい。zlibを1.1.4にアップグレードしたり,zlibを含むアプリケーションにパッチを適用したりして,早急に対策を施す必要がある。

◎参考資料
CERT Advisory CA-2002-07「Double Free Bug in zlib Compression Library」
Zlib Advisory 2002-03-11「zlib Compression Library Corrupts malloc Data Structures via Double Free」

(勝村 幸博=IT Pro編集)