製品・ソフトウェアに関する情報

JVN脆弱性詳細

ioquake3 におけるセキュリティ機能に関する脆弱性

タイトル	ioquake3 におけるセキュリティ機能に関する脆弱性
概要	ioquake3 には、セキュリティ機能に関する脆弱性が存在します。
想定される影響	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 攻撃が行われる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2017年3月14日0:00
登録日	2017年4月26日10:42
最終更新日	2017年4月26日10:42

CVSS3.0 : 重要
スコア	7.8
ベクター	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVSS2.0 : 危険
スコア	9.3
ベクター	AV:N/AC:M/Au:N/C:C/I:C/A:C

影響を受けるシステム

ioquake3

ioquake3 engine 2017-03-14 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-6903	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6903
National Vulnerability Database (NVD)
2	CVE-2017-6903	https://nvd.nist.gov/vuln/detail/CVE-2017-6903

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-254	https://cwe.mitre.org/data/definitions/254.html

ベンダー情報

No	名前	URL
Debian Bug report logs
1	857699	https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=857699
GitHub
2	All: Don't load .pk3s as .dlls, and don't load user config files from .pk3s (b6ff2bc)	https://github.com/iortcw/iortcw/commit/b6ff2bcb1e4e6976d61e316175c6d7c99860fe20
3	All: Don't open .pk3 files as OpenAL drivers	https://github.com/iortcw/iortcw/commit/b248763e4878ef12d5835ece6600be8334f67da1
4	All: Merge some file writing extension checks	https://github.com/iortcw/iortcw/commit/11a83410153756ae350a82ed41b08d128ff7f998
5	Don't load .pk3s as .dlls, and don't load user config files from .pk3s. (376267d)	https://github.com/ioquake/ioq3/commit/376267d534476a875d8b9228149c4ee18b74a4fd
6	Don't open .pk3 files as OpenAL drivers.	https://github.com/ioquake/ioq3/commit/f61fe5f6a0419ef4a88d46a128052f2e8352e85d
7	Merge some file writing extension checks from OpenJK.	https://github.com/ioquake/ioq3/commit/b173ac05993f634a42be3d3535e1b158de0c3372
8	Shared: Merge ioquake/ioq3@376267d	https://github.com/JACoders/OpenJK/commit/8956a35e7b91c4a0dd1fa6db1d28c7f0efbab2d7
ioquake3
9	Important Security Update: Please Update ioquake3 Immediately	https://ioquake3.org/2017/03/13/important-security-update-please-update-ioquake3-immediately/

変更履歴

No	変更内容	変更日
0	[2017年04月26日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2017-6903

概要	In ioquake3 before 2017-03-14, the auto-downloading feature has insufficient content restrictions. This also affects Quake III Arena, OpenArena, OpenJK, iortcw, and other id Tech 3 (aka Quake 3 engine) forks. A malicious auto-downloaded file can trigger loading of crafted auto-downloaded files as native code DLLs. A malicious auto-downloaded file can contain configuration defaults that override the user's. Executable bytecode in a malicious auto-downloaded file can set configuration variables to values that will result in unwanted native code DLLs being loaded, resulting in sandbox escape.
公表日	2017年3月15日7:59
登録日	2021年1月26日13:27
最終更新日	2024年11月21日12:30

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:ioquake3:ioquake3::::::::			2017-02-27

関連情報、対策とツール

No	URL	タグ
1	http://www.debian.org/security/2017/dsa-3812
2	http://www.debian.org/security/2017/dsa-3812
3	https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=857699	Third Party Advisory
4	https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=857699	Third Party Advisory
5	https://github.com/ioquake/ioq3/commit/376267d534476a875d8b9228149c4ee18b74a4fd	Issue Tracking Patch
6	https://github.com/ioquake/ioq3/commit/376267d534476a875d8b9228149c4ee18b74a4fd	Issue Tracking Patch
7	https://github.com/ioquake/ioq3/commit/b173ac05993f634a42be3d3535e1b158de0c3372	Issue Tracking Patch
8	https://github.com/ioquake/ioq3/commit/b173ac05993f634a42be3d3535e1b158de0c3372	Issue Tracking Patch
9	https://github.com/ioquake/ioq3/commit/f61fe5f6a0419ef4a88d46a128052f2e8352e85d	Issue Tracking Patch
10	https://github.com/ioquake/ioq3/commit/f61fe5f6a0419ef4a88d46a128052f2e8352e85d	Issue Tracking Patch
11	https://github.com/iortcw/iortcw/commit/11a83410153756ae350a82ed41b08d128ff7f998	Issue Tracking Patch
12	https://github.com/iortcw/iortcw/commit/11a83410153756ae350a82ed41b08d128ff7f998	Issue Tracking Patch
13	https://github.com/iortcw/iortcw/commit/b248763e4878ef12d5835ece6600be8334f67da1	Issue Tracking Patch
14	https://github.com/iortcw/iortcw/commit/b248763e4878ef12d5835ece6600be8334f67da1	Issue Tracking Patch
15	https://github.com/iortcw/iortcw/commit/b6ff2bcb1e4e6976d61e316175c6d7c99860fe20	Issue Tracking Patch
16	https://github.com/iortcw/iortcw/commit/b6ff2bcb1e4e6976d61e316175c6d7c99860fe20	Issue Tracking Patch
17	https://github.com/JACoders/OpenJK/commit/8956a35e7b91c4a0dd1fa6db1d28c7f0efbab2d7	Issue Tracking Patch
18	https://github.com/JACoders/OpenJK/commit/8956a35e7b91c4a0dd1fa6db1d28c7f0efbab2d7	Issue Tracking Patch
19	https://ioquake3.org/2017/03/13/important-security-update-please-update-ioquake3-immediately/	Vendor Advisory
20	https://ioquake3.org/2017/03/13/important-security-update-please-update-ioquake3-immediately/	Vendor Advisory

共通脆弱性一覧