stringsコマンドに脆弱性
2014年10月31日 21:40
binutilsに含まれるstringsコマンドに脆弱性が発見された(CVE-2014-8485、lcamtuf's blog)。
stringsは引数で指定したファイル内にある文字列を標準出力に出力するというコマンド。発見された脆弱性は細工されたファイルに対しstringsコマンドを実行してしまうと、任意のコードが実行される可能性があるというもの。stringsコマンドが内部で利用しているlibbfd(Binary File Descriptor library)での処理に問題があり、細工されたファイル内のコードが実行される可能性もあるようだ。
とりあえず、stringsコマンドを「-a」オプション付きで実行することでこの問題は回避できるとのこと。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー:
WindowsのOLEに新たな脆弱性、外部から任意のコードが実行される可能性 2014年10月24日
SSL 3.0に深刻な脆弱性が見つかる 2014年10月15日
10000/TCPへのポートスキャンが増加、bashのShellshock脆弱性を狙う? 2014年10月11日
wgetにシンボリックリンクの扱いに関する脆弱性 2014年10月31日