2014-06-30

LZOライブラリの脆弱性がOpenVPNに与える影響について

By Taro Yamazaki  |  12:50 No comments

OpenVPNがデータ圧縮に使用しているLZOについて、バッファオーバーフローの脆弱性(CVE-2014-4607)があることが発表されました。Linuxカーネルも含めて広く使用されていることもあり、その影響が気になるところですが、OpenVPNについては「影響なし」とのことです。

この脆弱性は、悪意あるデータを展開しようとするときに、バッファオーバーフローを起こす可能性がある、という問題ですが、この影響を受ける可能性があるのは、以下の条件がすべて揃っている場合です。
  • 展開するデータのブロックサイズが16MiB以上であり、そのデータを一回のLZOのファンクション呼び出しで渡すこと
  • 信頼されていないデータソースからのデータであること
  • 32ビットのシステムであること

OpenVPNではパケットごとに圧縮処理を行うため、このようなサイズの大きなデータをLZOに渡すことはありません。データの最大サイズは、UDPの場合で64KB、TCPの場合はMTUの設定値によって決まりますが、数MiBという値になることはまずありません。

というわけで、OpenVPNについては今回のLZOの脆弱性(CVE-2014-4607)の影響はありませんOpenVPNのコミュニティサイト上でも同様に結論づけられています。

作者もLZOのWebサイト
Also I personally do not know about any client program that uses such a huge logical block size and actually is affected.
と述べているように、このような大きなサイズのデータをLZOに渡すことはまずあり得ないと思いますので、この件での影響はそれほど心配する必要はなさそうです。

なお、今回の脆弱性対応のためにLZOはアップデートされていますので、(実質的な影響はないものの)Windows版パッケージに含まれているLZOを最新版に差し替える可能性はあるようです。

Author: Taro Yamazaki

0 コメント:

© 2015 yamata::memo | Distributed By My Blogger Themes | Created By BloggerTheme9
TOP