2018年08月06日

ディレクトリトラバーサルの脆弱性への対処が行われたアタッシェケース 3.3.0.0


ディレクトリトラバーサルの脆弱性への対処が行われたアタッシェケース 3.3.0.0


世界標準の暗号アルゴリズムを採用した強力な

ファイル/フォルダ暗号化ソフトアタッシェケースの

最新バージョン 3.3.0.0 が公開されました。
m-atcs0.png

現在公式サイトからダウンロードできます。

バージョン 3.3.0.0 では、ディレクトリトラバーサルの

脆弱性への対処がなされています。


ディレクトリトラバーサルの脆弱性はバージョン3.2.3.0

以前で発生します。

最新バージョンの3.3.0.0では修正がなされています。

旧バージョンを使用している場合は、アップデート

してください。


ディレクトリトラバーサルの脆弱性について

以下、公式サイトから引用


※今回の脆弱性は、2017/01/16に報告された脆弱性を
 さらに派生させたものになっています。

【再現手順】
アタッシェケースでは、ATCファイルという独自の
フォーマットを用いており、それに直接細工を施します。
オープンソースである「アタッシェケース」の
暗号化処理の部分を改ざんし、ビルドしたものから
暗号化ファイルに格納されるファイルリストに不正な
文字列を挿入したデータを作成します。

展開ファイル名に "..\" や "../" を複数、または
空白を混ぜたもの、存在しないドライブ名、
"\\localhost" などを 含むファイルリストを作成し、
アタッシェケースでATCファイルを展開したところ、
ユーザーの意図しない場所に 暗号化ファイルが
展開されました。

ただし、これは悪意ある第三者がそうした脆弱性を
仕込むアプリケーションを 開発し、当該ファイルを
生成しないといけないため、危険度はやや低めとは
思われます。

【発生バージョン】
ver.3.2.3.0 以前で発生。
ver.2.8.4.0 以前で発生。

【回避・対応策】
ユーザーはすみやかに最新版へアップデート
してください。

こちらの具体的な修正としては、「復号処理」部分。
不正な文字がパスに入ってきたら、
この処理を中止するように修正。


★アタッシェケースは世界標準の暗号アルゴリズム
 を採用した強力なファイル/フォルダ暗号化ソフト
 です。

アタッシェケース--オールフリーソフト

アタッシェケース#3 - 脆弱性情報




スポンサーリンク




posted by ひろ at 08:21| Comment(0) | フリーソフト | このブログの読者になる | 更新情報をチェックする
RSSヘッドライン