【詳細情報】ベンダーがZIP関連の脆弱性に対するアップデートを発表

◆概要：
　ZIPファイルをサポートしているいくつかの製品で、ZIPアーカイブに含まれている非常に長いファイル名の処理における問題点に対処したセキュリティアップデートが発表されている。Zipファイルでは、最長65,535文字までファイル名を含ませることができるが、Zipファイルを処理する製品の全てがそれだけ長いファイル名を処理できるわけではない。Zipファイルに対応しているプログラムには、次のようなプログラムが含まれているが、これに限定されるわけではない：

・ファイル転送プログラム
・アンチウイルスソフトウェア
・コンテンツチェックソフトウェア
・"skins" やその他のパッケージファイルや環境設定に対応している製品

　製品によっては、設定自体が脆弱なものもあり、上記のリストは全てを網羅しているわけではない。使用している製品のベンダーに連絡して、Zipファイルをサポートしているかどうかを確認する必要がある。これは、製品によってはバックアップファイルの保存など、内部でのみZipファイルを使用している場合があるため、Zipファイルを使用しているかどうか簡単に判断できないためである。こういった問題はさまざまなインスタンスで悪用される可能性があり、攻撃者が一般によく知られている多くの製品に対する攻撃用プログラムを作成するのに十分な情報も公開されている。簡単にアプリケーションをテストできるファイルサンプルが一般に公開されており、それらのファイルと入手元は次の通り：

http://www.rapid7.com/SecurityResearch.html (ID# 112118, Oct. 3, 2002)

◆情報ソース：
・Rapid 7 (http://www.rapid7.com/advisories/R7-0004.txt) , Oct. 02, 2002

◆キーワード：
　Lotus: Notes Lotus: Notes R5
　Other: Client application Other: Server application

◆分析：
　（iDEFENSE 米国）これは、相当数のアプリケーションでZipファイルを使用してZipファイル形式をサポートしているため、かなり深刻な問題だといえる。

◆検知方法：
　既に当該脆弱性が確認されている製品には、次のようなものがある。

・Microsoft Windows XP
・Microsoft Windows ME
・Microsoft Windows 98 With Plus! Pack
・Lotus Notes R4
・Lotus Notes R5
・Lotus Notes R6（gold以前）
・Verity社のKeyView viewing SDK
・Aladdin Systems Stuffit Expander（7.0以前）
・Info-Zipとその派生コード自体は直接脆弱ではないが、その実装によっては危険性がある。

　一般に流通している製品の多くでもテストが行われているが、脆弱性が認められなかったものは次の通り：

・WinRAR
・WinZIP
・zlib

◆暫定処置：
　ZIPファイル自体をブロックすることが最良の方法だが、多くの場合、ソフトウェアの機能やビジネスプロセスに大きな影響を与えるため、その方法は実際には難しいかもしれない。

◆ベンダー情報：
　多くのベンダーがアップデートを既に発表しているか、現在開発中である。

・Lotus Notesでは、バグ番号SPR# KSPR5CJV2GをLotus Notes R6に対して設定しており、バージョン5の次のメンテナンスで修正を搭載する予定だ。Lotus Notes 4に対しては現在未定。
・マイクロソフト社では、アドバイザリーMS-054で詳細情報を発表している（ID# 112118, Oct. 3, 2002）。
・Verityでは、SDK v7.0のパッチを発表しており、ベンダーサポートチャネルを介して入手可能だ。これに設定されたバグ番号は#76316。
・Aladdin Systems社では、バージョン7.0とそれ以降の製品では脆弱性が認められないとコメントしている。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【11:58 GMT、10、03、2002】