製品・ソフトウェアに関する情報

JVN脆弱性詳細

Chasys Draw IES の flt_BMP.dll の ReadFile 機能におけるスタックベースのバッファオーバーフローの脆弱性

タイトル	Chasys Draw IES の flt_BMP.dll の ReadFile 機能におけるスタックベースのバッファオーバーフローの脆弱性
概要	Chasys Draw IES の flt_BMP.dll の ReadFile 機能には、スタックベースのバッファオーバーフローの脆弱性が存在します。
想定される影響	第三者により、BMP ファイル内の巧妙に細工された biPlanes および biBitCount フィールドを介して、任意のコードを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2013年7月21日0:00
登録日	2014年3月13日16:03
最終更新日	2014年3月13日16:03

影響を受けるシステム

John Paul Chacha's Lab

Chasys Draw IES 4.11.02 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-3928	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3928
National Vulnerability Database (NVD)
2	CVE-2013-3928	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3928

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	名前	URL
John Paul Chacha's Lab
1	Chasys Draw IES Help: History	http://www.jpchacha.com/chasysdraw/help.php?file=history.htm

変更履歴

No	変更内容	変更日
0	[2014年03月13日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2013-3928

概要	Stack-based buffer overflow in the ReadFile function in flt_BMP.dll in Chasys Draw IES before 4.11.02 allows remote attackers to execute arbitrary code via crafted biPlanes and biBitCount fields in a BMP file.
公表日	2014年3月12日4:37
登録日	2021年1月26日15:42
最終更新日	2024年11月21日10:54

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:jpchacha:chasys_draw_ies::::::::		4.10.01
cpe:2.3:a:jpchacha:chasys_draw_ies:4.04.01:::::::*
cpe:2.3:a:jpchacha:chasys_draw_ies:4.03.02:::::::*
cpe:2.3:a:jpchacha:chasys_draw_ies:4.00.01:::::::*
cpe:2.3:a:jpchacha:chasys_draw_ies:4.01.01:::::::*
cpe:2.3:a:jpchacha:chasys_draw_ies:4.06.02:::::::*
cpe:2.3:a:jpchacha:chasys_draw_ies:4.02.01:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://longinox.blogspot.com/2013/08/explot-stack-based-overflow-bypassing.html
2	http://longinox.blogspot.com/2013/08/explot-stack-based-overflow-bypassing.html
3	http://packetstormsecurity.com/files/122810/Chasys-Draw-IES-Buffer-Overflow.html	Exploit
4	http://packetstormsecurity.com/files/122810/Chasys-Draw-IES-Buffer-Overflow.html	Exploit
5	http://secunia.com/advisories/53773	Vendor Advisory
6	http://secunia.com/advisories/53773	Vendor Advisory
7	http://www.exploit-db.com/exploits/27609	Exploit
8	http://www.exploit-db.com/exploits/27609	Exploit
9	http://www.jpchacha.com/chasysdraw/help.php?file=history.htm
10	http://www.jpchacha.com/chasysdraw/help.php?file=history.htm
11	http://www.securityfocus.com/bid/61463
12	http://www.securityfocus.com/bid/61463
13	https://docs.google.com/file/d/0BzyiGAtMizMtSFF4ZWVCMHNVVGs/edit?usp=sharing
14	https://docs.google.com/file/d/0BzyiGAtMizMtSFF4ZWVCMHNVVGs/edit?usp=sharing
15	https://exchange.xforce.ibmcloud.com/vulnerabilities/86035
16	https://exchange.xforce.ibmcloud.com/vulnerabilities/86035

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-119	バッファエラー	https://cwe.mitre.org/data/definitions/118.html

構成1	以上	以下	より上	未満
cpe:2.3:a:jpchacha:chasys_draw_ies::::::::		4.10.01
cpe:2.3:a:jpchacha:chasys_draw_ies:4.04.01:::::::*
cpe:2.3:a:jpchacha:chasys_draw_ies:4.03.02:::::::*
cpe:2.3:a:jpchacha:chasys_draw_ies:4.00.01:::::::*
cpe:2.3:a:jpchacha:chasys_draw_ies:4.01.01:::::::*
cpe:2.3:a:jpchacha:chasys_draw_ies:4.06.02:::::::*
cpe:2.3:a:jpchacha:chasys_draw_ies:4.02.01:::::::*