security-advisory
- FreeBSD-SA-10:08.
bzip2 2010年9月20日
(協定世界時)、 最新のセキュリティアドバイザリであるFreeBSD-SA-10:08. bzip2が公開されました。6系、 7系、 8系などリリースされているすべてのサポート対象FreeBSDが影響を受けます。 FreeBSDのベースシステムにはbzip2(1)およびbunzip2(1)圧縮/
展開コマンドが用意されています。これらコマンドはlibbz2をライブラリとして使っているほか、 BSD tar(1)も同じライブラリを使ってbzip2の圧縮や展開を実現しています。今回発見された脆弱性は、 run-lengthデコード値のチェックが十分でないために整数オーバーフローが発生する可能性があるというもので、 同脆弱性をつかれるとユーティリティがクラッシュする可能性があると説明があります。 この脆弱性が任意のコードの実行を可能にするかどうかは定かではなく、
それほど緊急度の高い脆弱性ではないとみられています。ただし、 完全にそういった危険性がないかという確認はとれていないため、 できるだけ早い段階での修正が期待されます。最新のセキュリティブランチへアップグレードするか、 FreeBSD Upgradeを実施するか、 パッチを適用してlibbz2を修正後のものへアップグレードする必要があります。