奈良先端科学技術大の「茶筌」にバッファオーバーフローの脆弱性(JVN)
IPA/ISECおよびJPCERT/CCは、奈良先端科学技術大学院大学の提供する日本語の形態素解析ソフトウェア「茶筌(ChaSen)」にバッファオーバーフローの脆弱性が存在するとJVNで発表した。
脆弱性と脅威
セキュリティホール・脆弱性
「茶筌(ChaSen)version 2.4 系」および同バージョンの茶筌を組み込んでいるソフトウェアには、文字列の読み込みの問題が原因でバッファオーバーフローの脆弱性(CVE-2011-4000)が存在する。この問題が悪用されると、システムを使用可能な第三者によって任意のコードを実行される可能性がある。開発者によると、本製品に関するメンテナンスやアップデートの予定はないという。このためJVNでは対策方法として、同等の機能を持つ他の製品への切り替えなどを検討するか、機能追加以前の茶筌version 2.3.3を使用するよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》