人気アーカイバ「Lhaplus」に複数の脆弱性 - 修正版が公開
フリーウェアとして提供されているファイルアーカイブソフト「Lhaplus」に、複数の脆弱性が含まれていることがわかった。修正版が公開されている。
脆弱性情報のポータルサイトであるJVNによれば、同ソフトには任意のコードを実行される脆弱性「CVE-2015-0907」が存在。悪意あるファイルを展開するとコードを実行されるおそれがある。
また不正にファイルを作成されたり既存ファイルが上書きされるおそれがある「ディレクトリトラバーサル」の脆弱性「CVE-2015-0906」も含まれる。
いずれも影響を受けるのは「同1.59」で、以前のバージョンも含まれる。脆弱性を解消した最新版「同1.72」が公開されている。
「CVE-2015-0907」は、Masato Kinugawa氏、「CVE-2015-0906」はニコニコ技術部のakira_you氏が発見したもの。情報処理推進機構(IPA)が報告を受けて、JPCERTコーディネーションセンターが開発者と調整を行ったという。
(Security NEXT - 2015/04/09 )
ツイート
PR
関連記事
「SecureAge Security Suite」に深刻な脆弱性 - アップデートを
ネットワーク監視ツール「WhatsUp Gold」に深刻な脆弱性
「OpenVPN」に深刻な脆弱性 - 2024年6月の更新で修正済み
Xerox製印刷ワークフロー管理ソフトに複数の脆弱性
SonicWall製ファイアウォールに脆弱性 - 認証回避や権限昇格のおそれ
プラネックス製ルータ「MZK-DP300N」にXSS脆弱性
HPE Arubaの無線LAN変換ブリッジに脆弱性 - PoC公開済み
Cisco、セキュリティアドバイザリ3件を公開
Palo Altoの「Expedition」に複数脆弱性 - 2024年末にEOL
「VMware Aria Automation」にSSRF脆弱性 - アップデートで修正