UNITED STATES COMPUTER EMERGENCY READINESS TEAM

US-CERTは7月21日(米国時間)、「Vulnerabilities in LZO and LZ4 compression libraries|US-CERT」においてソフトウェアのセキュリティ脆弱性について伝えた。これはLZOやLZ4などの圧縮ライブラリに存在するセキュリティ脆弱性に対する注意を喚起する目的のもので、開発者やユーザに対してこれらセキュリティ脆弱性への対応を勧めている。

LZOやLZ4の実装には20年ほどに渡ってセキュリティ脆弱性が存在していたことが最近になって明らかになった。このセキュリティ脆弱性を利用されると遠隔から任意のコードが実行される危険性がある。LZOやLZ4は高圧縮で高速という特徴を持つため多くのソフトウェアで導入されており、対応すべきソフトウェアが広範囲に及ぶという状況にある。

US-CERTでは、開発者に対しては開発しているソフトウェアでこれらソースコードを取り込んでいる場合にはセキュリティ脆弱性の修正を、ユーザや管理者などに対してはソフトウェアがアップデートされた場合には迅速に対処することを推奨している。LZOおよびLZ4を取り込んだソフトウェアでまだ修正されていないものも少なくないと見られ、今後のアップデートの情報などに注意が必要。