製品・ソフトウェアに関する情報
Vulnerability Search
AMaViS などの製品で使用される Compress::Raw::Zlib Perl モジュールにおけるサービス運用妨害 (DoS) の脆弱性
Title AMaViS などの製品で使用される Compress::Raw::Zlib Perl モジュールにおけるサービス運用妨害 (DoS) の脆弱性
Summary

AMaViS および SpamAssassin などで使用される Compress::Raw::Zlib Perl モジュールの Zlib.xs の inflate 関数は、一つずれエラー (Off-by-one) が発生するため、サービス運用妨害 (ハングまたはクラッシュ) 状態となる脆弱性が存在します。

Possible impacts 攻撃者により、巧妙に細工された zlib 圧縮ストリームを介して、ヒープベースのバッファオーバーフローを誘発され、サービス運用妨害 (ハングまたはクラッシュ) 状態とされる可能性があります。
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date June 16, 2009, midnight
Registration Date Sept. 25, 2012, 5:27 p.m.
Last Update Sept. 25, 2012, 5:27 p.m.
CVSS2.0 : 警告
Score 6.8
Vector AV:N/AC:M/Au:N/C:P/I:P/A:P
Affected System
paul marquess
compress-raw-zlib perl module 2.017 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年09月25日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2009-1391
Summary

Off-by-one error in the inflate function in Zlib.xs in Compress::Raw::Zlib Perl module before 2.017, as used in AMaViS, SpamAssassin, and possibly other products, allows context-dependent attackers to cause a denial of service (hang or crash) via a crafted zlib compressed stream that triggers a heap-based buffer overflow, as exploited in the wild by Trojan.Downloader-71014 in June 2009.

Summary

Error de superación de límite (Off-by-one) en la función "inflate" en Zlib.xs en el modulo de Perl Compress::Raw::Zlib anteriores a v2.017, cuando es utilizado en AMaVis, SpamAssassin, y posiblemente otros productos, permite a atacantes dependientes del contexto, producir una denegación de servicio (cuelgue o caída) a través de un stream comprimido zlib manipulado que inicia un desbordamiento de búfer basado en memoria libre, como se explot activamente por Trojan.Downloader-71014 en Junio de 2009.

Publication Date June 17, 2009, 8:30 a.m.
Registration Date Jan. 29, 2021, 1:17 p.m.
Last Update April 23, 2026, 9:35 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:paul_marquess:compress-raw-zlib_perl_module:*:*:*:*:*:*:*:* 2.015
cpe:2.3:a:paul_marquess:compress-raw-zlib_perl_module:2.001:*:*:*:*:*:*:*
cpe:2.3:a:paul_marquess:compress-raw-zlib_perl_module:2.002:*:*:*:*:*:*:*
cpe:2.3:a:paul_marquess:compress-raw-zlib_perl_module:2.003:*:*:*:*:*:*:*
cpe:2.3:a:paul_marquess:compress-raw-zlib_perl_module:2.004:*:*:*:*:*:*:*
cpe:2.3:a:paul_marquess:compress-raw-zlib_perl_module:2.005:*:*:*:*:*:*:*
cpe:2.3:a:paul_marquess:compress-raw-zlib_perl_module:2.006:*:*:*:*:*:*:*
cpe:2.3:a:paul_marquess:compress-raw-zlib_perl_module:2.008:*:*:*:*:*:*:*
cpe:2.3:a:paul_marquess:compress-raw-zlib_perl_module:2.009:*:*:*:*:*:*:*
cpe:2.3:a:paul_marquess:compress-raw-zlib_perl_module:2.010:*:*:*:*:*:*:*
cpe:2.3:a:paul_marquess:compress-raw-zlib_perl_module:2.011:*:*:*:*:*:*:*
cpe:2.3:a:paul_marquess:compress-raw-zlib_perl_module:2.012:*:*:*:*:*:*:*
cpe:2.3:a:paul_marquess:compress-raw-zlib_perl_module:2.014:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List