製品・ソフトウェアに関する情報

JVN脆弱性詳細

libproxy の lib/pac.c におけるヒープベースのバッファオーバーフローの脆弱性

タイトル	libproxy の lib/pac.c におけるヒープベースのバッファオーバーフローの脆弱性
概要	libproxy の lib/pac.c 内の px_pac_reload 関数には、ヒープベースのバッファオーバーフローの脆弱性が存在します。本脆弱性は、CVE-2012-4504 とは異なる脆弱性です。
想定される影響	リモートサーバにより、proxy.pac ファイルのリクエストに対する HTTP レスポンスヘッダに含まれた巧妙に細工された Content-Length のサイズを介して、不特定の影響を受ける可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2012年10月11日0:00
登録日	2012年11月13日14:13
最終更新日	2014年3月6日15:55

影響を受けるシステム

libproxy

libproxy 0.2.x

libproxy 0.3.x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-4505	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4505
National Vulnerability Database (NVD)
2	CVE-2012-4505	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4505

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	名前	URL
Debian Security Advisory
1	DSA-2571	http://www.debian.org/security/2012/dsa-2571
Google Groups
2	Announcement: libproxy 0.4.9 released	https://groups.google.com/forum/?fromgroups=#!topic/libproxy/VxZ8No7mT0E
opensuse-updates
3	openSUSE-SU-2012:1375	http://lists.opensuse.org/opensuse-updates/2012-10/msg00065.html
Red Hat Bugzilla
4	Bug 864612	https://bugzilla.redhat.com/show_bug.cgi?id=864612
Red Hat Security Advisory
5	RHSA-2012:1461	https://rhn.redhat.com/errata/RHSA-2012-1461.html
Security Advisories and Notifications
6	Multiple Buffer Errors vulnerability in LibProxy	https://blogs.oracle.com/sunsecurity/entry/multiple_buffer_errors_vulnerability_in1
Ubuntu Security Notice
7	USN-1629-1	http://www.ubuntu.com/usn/USN-1629-1/

変更履歴

No	変更内容	変更日
0	[2012年11月13日] 掲載 [2012年12月07日] ベンダ情報：Ubuntu (USN-1629-1) を追加 [2014年03月06日] ベンダ情報：オラクル (Multiple Buffer Errors vulnerability in LibProxy) を追加ベンダ情報：レッドハット (RHSA-2012:1461) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2012-4505

概要	Heap-based buffer overflow in the px_pac_reload function in lib/pac.c in libproxy 0.2.x and 0.3.x allows remote servers to have an unspecified impact via a crafted Content-Length size in an HTTP response header for a proxy.pac file request, a different vulnerability than CVE-2012-4504.
公表日	2012年11月11日22:00
登録日	2021年1月28日15:03
最終更新日	2024年11月21日10:43

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:libproxy_project:libproxy:0.2.3:::::::*
cpe:2.3:a:libproxy_project:libproxy:0.3.1:::::::*
cpe:2.3:a:libproxy_project:libproxy:0.3.0:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://lists.opensuse.org/opensuse-updates/2012-10/msg00065.html
2	http://lists.opensuse.org/opensuse-updates/2012-10/msg00065.html
3	http://rhn.redhat.com/errata/RHSA-2012-1461.html
4	http://rhn.redhat.com/errata/RHSA-2012-1461.html
5	http://secunia.com/advisories/51048	Vendor Advisory
6	http://secunia.com/advisories/51048	Vendor Advisory
7	http://secunia.com/advisories/51180	Vendor Advisory
8	http://secunia.com/advisories/51180	Vendor Advisory
9	http://secunia.com/advisories/51308
10	http://secunia.com/advisories/51308
11	http://www.debian.org/security/2012/dsa-2571
12	http://www.debian.org/security/2012/dsa-2571
13	http://www.openwall.com/lists/oss-security/2012/10/12/1
14	http://www.openwall.com/lists/oss-security/2012/10/12/1
15	http://www.openwall.com/lists/oss-security/2012/10/12/5
16	http://www.openwall.com/lists/oss-security/2012/10/12/5
17	http://www.openwall.com/lists/oss-security/2012/10/16/3
18	http://www.openwall.com/lists/oss-security/2012/10/16/3
19	http://www.securityfocus.com/bid/55910
20	http://www.securityfocus.com/bid/55910
21	http://www.ubuntu.com/usn/USN-1629-1
22	http://www.ubuntu.com/usn/USN-1629-1
23	https://bugzilla.redhat.com/show_bug.cgi?id=864612
24	https://bugzilla.redhat.com/show_bug.cgi?id=864612
25	https://groups.google.com/forum/?fromgroups=#%21topic/libproxy/VxZ8No7mT0E
26	https://groups.google.com/forum/?fromgroups=#%21topic/libproxy/VxZ8No7mT0E

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-119	バッファエラー	https://cwe.mitre.org/data/definitions/118.html