FFmpegが20年存在した「LZO」の脆弱性を発見修正 航空機やNASAにも影響か

このエントリーをはてなブックマークに追加
1番組の途中ですがアフィサイトへの転載は禁止です

「FFmpeg」、圧縮アルゴリズム“LZO”の実装コードに20年存在した脆弱性を修正
リモートからのコード実行やDoS攻撃に悪用される恐れ
ttp://www.forest.impress.co.jp/docs/news/20140630_655753.html

FFmpeg projectは29日、オープンソースのマルチメディアフレームワーク「FFmpeg」v2.2.4/2.1.5/2.0.5/1.2.7/1.1.12/0.10.14を公開した。
今回のアップデートでは、圧縮アルゴリズム“LZO”のオープンソース実装で発見された脆弱性が修正された。
この脆弱性は20年前から存在していたという。

“Lempel-Ziv-Oberhumer (LZO)”は可逆データ圧縮アルゴリズムの一種で、1994年にMarkus Oberhumer氏によって開発された。
伸張速度が“zlib”や“bzip”よりも4倍から5倍速いことから、Linuxカーネルや「OpenVPN」、「FFmpeg」といった幅広いソフトウェアで利用されている。
自動車や航空機をはじめとする組み込みシステムでも10年以上にわたって広く活用されており、
2012年に火星へ降り立ったNASAの探査ローバー“キュリオシティ”にも搭載されるなど、最近では活躍の場を宇宙にまで広げている。

“LZO”はさまざまなプラットフォームへ移植されており、派生コードも数多く存在しているが、その多くはOberhumer氏による実装をもとしていると考えられる。
今回発見された脆弱性は初期のコードに紛れ込んでいたため、派生コードにも脆弱性が含まれている可能性は高く、影響範囲は大きそうだ。
2番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 15:32:26.13 ID:sY8Ndk/n0
●児童福祉法違反容疑で男逮捕
少女とみだらな行為をしたとして、県警少年捜査課と横浜水上署は8日、
運転代行会社社長の山根健一(44)=横浜市南区永田みなみ台=と
社員の若林秀夫(77)=同市瀬谷区宮沢2丁目=の両容疑者をそれぞれ
児童福祉法違反と県青少年保護育成条例違反の疑いで逮捕した。
山根容疑者の逮捕容疑は、2013年の5月22日、23日の両日、自宅に泊めていた
少女(16)=同市旭区=にみだらな行為をした、としている。若林容疑者の
逮捕容疑は、同22日、山根容疑者の自宅で、この少女にみだらな行為をした、としている。
同書によると、少女は交際していた男性(30)を通じて山根容疑者と知り合った。
少女は同月、夜間外出で同署に補導され、児童相談所に保護されたが、
抜け出して山根容疑者宅に住み着いたという。
(神奈川新聞2014年1月9日)
http://i.imgur.com/5p3Dfd3.jpg

http://www.police.pref.kanagawa.jp/ps/44ps/44mes/44mes004.htm
検挙状況
平成26年1月8日に昨年5月22日の深夜、
家出中の児童を淫行した容疑で40歳代男性を児童福祉法違反(自己に淫行させる行為)、
70歳代男性を神奈川県青少年保護育成条例違反(みだらな性行為)で逮捕した。
3番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 15:34:42.60 ID:9PUEDb5t0
嫌儲公認プレーヤーのVLC死亡か
4番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 17:17:21.57 ID:1hyxsN2c0
これ大ニュースじゃないのか?
5番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 17:20:07.10 ID:hVYK6zU90
今度はOpenVPNかよ
6番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 17:21:03.78 ID:ZWVrOdBx0
ひ、非可逆圧縮使ってるから(あせり
7番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 17:46:47.09 ID:KjuBBkYE0
夢が広がるな
8番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 17:53:08.77 ID:uCtsc3nM0
このLZOって何を圧縮するのに使うの?
9番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 18:02:43.27 ID:lWSNWrVB0
>>8 データなら何でも
10番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 18:06:58.66 ID:qbIWpgNa0
え OpenVPNでえっちいファイル共有してんだけどやめた方がいい?
11番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 18:18:54.13 ID:rargvGRc0
>>4
ですよ
12番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 18:26:28.61 ID:frZ1dLx80
openvpn使ってる俺脂肪

対応されるまでサービス止めとくか
13番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 19:24:28.77 ID:Yhm9jNll0
なんとなくwindows用バイナリうp。Aviraが誤反応する
http://kie.nu/1-Vg
14番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 21:24:12.64 ID:IL0TWHjq0
これ使ってるのってLinuxカーネル、OpenVPN以外になにがあるん?
15番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 22:54:27.79 ID:U3wdhQk10
何これ、例によってNSAが仕込んだの?
16番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 23:06:07.67 ID:aCxXPIpS0
動画の脆弱性ってどゆこと?
17番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 23:18:47.09 ID:HsIAUs+P0
FFmpegはなんでも詰め込みすぎてて使い方がよくわからない機能がたくさんある
たぶん普通の使い方では関係ない
LZOで圧縮したデータの入出力ができるというだけで普段は使わない機能だと思う
試しにFFmpegのfullhelp(約4500行、300KB以上もある!)に検索掛けてみたけどLZOというワードはなかった
18番組の途中ですがアフィサイトへの転載は禁止です:2014/06/30(月) 23:27:40.48 ID:eMpiwDm10
バグはあったけど32ビットのシステムで16MiB以上のデータを一回の関数コールで展開しようとしたときに起きるすごい限定的な問題で
発見した人も影響を受けるプログラムは把握してない言ってるし大丈夫だろ
19EATcf-325p22.ppp15.odn.ne.jp :2014/07/01(火) 00:27:34.45 ID:OJc7/4wG0
で、何の.dllファイルなワケ?この間のOpenSSLのdllファイルはOSのバージョンの違いで使えないのがあったり・・・面倒だなw。
20番組の途中ですがアフィサイトへの転載は禁止です:2014/07/01(火) 06:19:16.34 ID:U+hk5VLy0
うちのシステムではlzo自体がインストールされてないな。
21番組の途中ですがアフィサイトへの転載は禁止です:2014/07/01(火) 06:23:17.94 ID:lLuMhA5w0
OpenSSLみたいな超有名プロダクトすら、脆弱性が放置されてる
世間的に知られてないだけで、一部のハッカーがずっと悪用してきた可能性は否定できない
クローズドなソースと違って、オープンソースはハッカーの解析が容易
なにしろまるごとソース見られるんだから
22番組の途中ですがアフィサイトへの転載は禁止です:2014/07/01(火) 06:27:28.62 ID:ZUmJRdZM0
発見されなきゃ修正されないんだからクローズドでも攻撃者だけが知ってる穴はありうる
23番組の途中ですがアフィサイトへの転載は禁止です:2014/07/01(火) 06:34:24.06 ID:lLuMhA5w0
オープンなソースの方が遥かに解析が容易
24番組の途中ですがアフィサイトへの転載は禁止です:2014/07/01(火) 06:50:41.76 ID:hGMN5aYB0
>>18
ファイルシステムにも
使ってるよ
25番組の途中ですがアフィサイトへの転載は禁止です
16MiBってんあんだよw
32bitのシステムでそんなの扱うやついるのか?