zlibに17年前から存在し4年前から放置の脆弱性、修正

headless 曰く、　zlib に 17 年前から存在し、4 年前に報告されたものの放置されていた脆弱性が修正された(The Register の記事、Tavis Ormandy 氏の oss-security メーリングリスト投稿)。

この脆弱性はメモリ破損の脆弱性で、離れた位置の一致を多数含むファイルを圧縮しようとした場合に出力結果が破損するというもの。4 年前に 13 年前の zlib 1.2.2.2 から存在する脆弱性として報告されてパッチもコミットされていたが、このパッチがリリース版に含まれることはなく、今回 Google Project Zero の Tavis Ormandy 氏が再発見するまで CVE 番号さえも割り当てられずに放置されていた。今回の再発見を受け、2018 年に報告された脆弱性を示すCVE番号 CVE-2018-25032 が 3 月 25 日に割り当てられ、zlib 1.2.12 で修正されている。

　スラドのコメントを読む | ITセクション | オープンソース | セキュリティ | バグ

　関連ストーリー：
Microsoft、クラウド向けデータ圧縮アルゴリズムをオープンソース化 2019年03月20日
7-Zipで任意コード実行が可能となる2件の脆弱性 2016年05月15日
新たなデータ圧縮アルゴリズム「LZHAM」 2015年01月27日