製品・ソフトウェアに関する情報

JVN脆弱性詳細

valgrind における任意のプログラムを実行される脆弱性

タイトル	valgrind における任意のプログラムを実行される脆弱性
概要	valgrind は、検索パスに関する処理に不備があるため、任意のプログラムを実行される脆弱性が存在します。
想定される影響	ローカルユーザにより、カレントワーキングディレクトリのトロイの木馬 .valgrindrc ファイルを介して、任意のプログラムを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2008年10月31日0:00
登録日	2012年12月20日18:52
最終更新日	2012年12月20日18:52

影響を受けるシステム

valgrind

valgrind 3.4.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-4865	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4865
National Vulnerability Database (NVD)
2	CVE-2008-4865	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4865

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
valgrind
1	Valgrind-3.4.0 is available	http://sourceforge.net/mailarchive/forum.php?thread_name=200901032045.17604.jseward%40acm.org&forum_name=valgrind-announce

変更履歴

No	変更内容	変更日
0	[2012年12月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2008-4865

概要	Untrusted search path vulnerability in valgrind before 3.4.0 allows local users to execute arbitrary programs via a Trojan horse .valgrindrc file in the current working directory, as demonstrated using a malicious --db-command options. NOTE: the severity of this issue has been disputed, but CVE is including this issue because execution of a program from an untrusted directory is a common scenario.
公表日	2008年11月1日9:00
登録日	2021年1月29日13:44
最終更新日	2009年3月30日13:00

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:valgrind:valgrind:1.9.6:::::::*
cpe:2.3:a:valgrind:valgrind:2.0.0:::::::*
cpe:2.3:a:valgrind:valgrind:2.1.0:::::::*
cpe:2.3:a:valgrind:valgrind:2.1.1:::::::*
cpe:2.3:a:valgrind:valgrind:2.2.0:::::::*
cpe:2.3:a:valgrind:valgrind:2.4.1:::::::*
cpe:2.3:a:valgrind:valgrind:2.4.1::powerpc:::::
cpe:2.3:a:valgrind:valgrind:3.0.0:::::::*
cpe:2.3:a:valgrind:valgrind:3.0.1:::::::*
cpe:2.3:a:valgrind:valgrind:3.1.0:::::::*
cpe:2.3:a:valgrind:valgrind:3.1.1:::::::*
cpe:2.3:a:valgrind:valgrind:3.2.0:::::::*
cpe:2.3:a:valgrind:valgrind:3.2.1:::::::*
cpe:2.3:a:valgrind:valgrind:3.2.2:::::::*
cpe:2.3:a:valgrind:valgrind:3.2.3:::::::*
cpe:2.3:a:valgrind:valgrind:3.3.0:::::::*
cpe:2.3:a:valgrind:valgrind:3.3.0:rc1::::::
cpe:2.3:a:valgrind:valgrind:3.3.0:rc2::::::
cpe:2.3:a:valgrind:valgrind:3.3.0:rc3::::::
cpe:2.3:a:valgrind:valgrind:3.3.1:::::::*
cpe:2.3:a:valgrind:valgrind:3.3.1:rc1::::::
cpe:2.3:a:valgrind:valgrind::rc1::::::*		3.4.0

構成1	以上	以下	より上	未満
cpe:2.3:a:valgrind:valgrind:1.9.6:::::::*
cpe:2.3:a:valgrind:valgrind:2.0.0:::::::*
cpe:2.3:a:valgrind:valgrind:2.1.0:::::::*
cpe:2.3:a:valgrind:valgrind:2.1.1:::::::*
cpe:2.3:a:valgrind:valgrind:2.2.0:::::::*
cpe:2.3:a:valgrind:valgrind:2.4.1:::::::*
cpe:2.3:a:valgrind:valgrind:2.4.1::powerpc:::::
cpe:2.3:a:valgrind:valgrind:3.0.0:::::::*
cpe:2.3:a:valgrind:valgrind:3.0.1:::::::*
cpe:2.3:a:valgrind:valgrind:3.1.0:::::::*
cpe:2.3:a:valgrind:valgrind:3.1.1:::::::*
cpe:2.3:a:valgrind:valgrind:3.2.0:::::::*
cpe:2.3:a:valgrind:valgrind:3.2.1:::::::*
cpe:2.3:a:valgrind:valgrind:3.2.2:::::::*
cpe:2.3:a:valgrind:valgrind:3.2.3:::::::*
cpe:2.3:a:valgrind:valgrind:3.3.0:::::::*
cpe:2.3:a:valgrind:valgrind:3.3.0:rc1::::::
cpe:2.3:a:valgrind:valgrind:3.3.0:rc2::::::
cpe:2.3:a:valgrind:valgrind:3.3.0:rc3::::::
cpe:2.3:a:valgrind:valgrind:3.3.1:::::::*
cpe:2.3:a:valgrind:valgrind:3.3.1:rc1::::::
cpe:2.3:a:valgrind:valgrind::rc1::::::*		3.4.0

No	URL	refsource	タグ
1	http://lists.opensuse.org/opensuse-security-announce/2009-01/msg00004.html	SUSE
2	http://secunia.com/advisories/33568	SECUNIA	Vendor Advisory
3	http://security.gentoo.org/glsa/glsa-200902-03.xml	GENTOO
4	http://sourceforge.net/mailarchive/forum.php?thread_name=200901032045.17604.jseward%40acm.org&forum_name=valgrind-announce	MLIST
5	http://www.openwall.com/lists/oss-security/2008/10/27/4	MLIST
6	http://www.openwall.com/lists/oss-security/2008/10/28/5	MLIST
7	http://www.openwall.com/lists/oss-security/2008/10/29/5	MLIST
8	http://www.openwall.com/lists/oss-security/2008/10/29/9	MLIST