security-advisory

FreeBSD-SA-10:08.bzip2

2010年9月20日（協定世界時⁠）⁠、最新のセキュリティアドバイザリであるFreeBSD-SA-10:08.bzip2が公開されました。6系、7系、8系などリリースされているすべてのサポート対象FreeBSDが影響を受けます。

FreeBSDのベースシステムにはbzip2(1)およびbunzip2(1)圧縮／展開コマンドが用意されています。これらコマンドはlibbz2をライブラリとして使っているほか、BSD tar(1)も同じライブラリを使ってbzip2の圧縮や展開を実現しています。今回発見された脆弱性は、run-lengthデコード値のチェックが十分でないために整数オーバーフローが発生する可能性があるというもので、同脆弱性をつかれるとユーティリティがクラッシュする可能性があると説明があります。

この脆弱性が任意のコードの実行を可能にするかどうかは定かではなく、それほど緊急度の高い脆弱性ではないとみられています。ただし、完全にそういった危険性がないかという確認はとれていないため、できるだけ早い段階での修正が期待されます。最新のセキュリティブランチへアップグレードするか、FreeBSD Upgradeを実施するか、パッチを適用してlibbz2を修正後のものへアップグレードする必要があります。