ホーム > Blog

2007/09/27

Lhaplus, Lhaz, Lhaca 脆弱性

Lhaplus で任意のコードを実行できる脆弱性というのが発見されたらしい.ARJ 形式のアーカイブを展開するときにバッファ・オーバーフローが発生する可能性があり,任意のコードが実行可能となるらしい.ver1.55 にアップグレードすることで対処できるらしいが,気をつけましょう.

後日談:
Lhaplusだけじゃなく, Lhaz, Lhacaにもに任意のコードを実行できる脆弱性が発見されたそうです.いずれも,最新のものにバージョン・アップすることで対処可能.

■ Lhaplus ver1.54 beta 1およびそれ以前:
http://www.atmarkit.co.jp/news/200709/21/ipa.html

対処法:
http://www7a.biglobe.ne.jp/~schezo/

■ Lhaz ver1.33(おそらくそれ以前も)
実際に攻撃があったとのレポートがあります:
http://www.atmarkit.co.jp/news/200708/20/lhaz.html
http://www.forest.impress.co.jp/article/2007/08/20/lhazzeroday.html

対処法:
http://www.chitora.jp/lhaz.html

■ Lhaca ver1.20
http://www.itmedia.co.jp/enterprise/articles/0706/26/news022.html
http://itpro.nikkeibp.co.jp/article/NEWS/20070627/276025/?ST=securityhole

対処法:
http://park8.wakwak.com/~app/Lhaca/