ASTEC-X 4.30Plus 以前に存在する
整数オーバーフローの脆弱性について

2005年9月29日

本脆弱性を修正したバージョン 4.31 を作成し、 アップデートキット及び評価版の公開を始めました。

2005年9月26日

本ページを公開しました。

脆弱性の内容

JP Vendor Status Notes にて、 X サーバーに複数の整数オーバーフローの脆弱性が報告されました (JVNVU#102441)。

この脆弱性は、4.30 及び 4.30Plus 以前バージョンの ASTEC-X にも含まれています。

脆弱性の影響範囲

悪意のある X クライアントからアクセスされた X サーバー上で、 特権ユーザの権限で任意のコードを実行される可能性があります。

対処方法

ASTEC-X バージョン 4.31 へのアップデート

本脆弱性に対処した ASTEC-X バージョン 4.31 のアップデートキット及び評価版を公開いたしました。 アップデ−トキットは弊社ウェブサイトからダウンロードできます。

運用による対処

悪意のあるクライアントが ASTEC-X に接続する可能性のない環境でお使いいただくことで、 この脆弱性を回避することができます。

• 悪意のある X クライアントが到達できない安全なネットワーク内でお使いいただく。
• X のホストアクセス制御を正しく設定し、意図しない X クライアントが ASTEC-X に接続できないようにする。

X サーバーには特定のホストの X クライアントしか接続しないことが一般的な利用方法です。 また ASTEC-X を含む多くの X サーバーでは、 意図的に設定を変更しなければホストアクセス制御が有効になっているため、 通常は意図しないホストの X クライアントからの接続を受け入れることはありません。

以上の理由により、この脆弱性を悪用される可能性がある環境は少ないと予想されます。