バグ・不具合情報
バグ・不具合情報 : Blender 2.42 にセキュリティ勧告
元記事:Blender 2.42 Security Advisory at BlenderNation
Kernon氏による記事です。
ユーザに任意のコードを実行させてしまう脆弱性が Blender に発見されました。この問題をすべてのプラットフォームの Blender 2.42に影響する疑いがあります。Gentoo Linux セキュリティ勧告
概要
ユーザに任意のコードを実行させてしまう脆弱性が Blender に発見されました。
影響を受けるパッケージ
Package / Vulnerable / Unaffected
1 media-gfx/blender < 2.43 >= 2.43
解説
Secunia Research の Stefan Cornelius氏は、kmz_ImportWithMesh.py 内の "eval()" 関数がセキュアに使用されていないのを発見しました。
影響
外部の攻撃者が特別に作成した .kmz もしくは .kml(訳注:Google Earth と SketchUp のファイル。原文は Blender File ですが恐らく間違いだと思います)をユーザが開くように誘うことで、任意の Python コードを、Blender を動かしているユーザの特権で実行できます。
対処
現時点では対処の方法はまだわかりません。
解決方法
すべての Blender ユーザは最新バージョンに更新して下さい。
# emerge ?sync
# emerge ?ask ?oneshot ?verbose ">=media-gfx/blender-2.43"
オリジナルのレポートは Help Net Security にあります。
前述どおり、.kmz や .kml は Google Earth や、SketchUp のファイルであり、また、すでに Blender は2.43になっていることから、今更感はありますが、一応念のため、2.42で前述のファイルを使用されている人は注意して下さい。
- Blender 2.79 の脆弱性とその対応 (2018年01月19日)
- SVNビルドでの FCurve Envelope モディファイアの保存時のバグ (2011年03月25日)
- Blender 2.5 r25736〜r25743までのビルドに、保存時にファイルが破損する問題が発生 (2010年01月06日)
- Mac OS X 10.5.6 で OpenGL の問題が解決? (2008年12月17日)
- Yo Frankie! の遅れと Blender 2.48aの近日リリース (2008年10月22日)
- ATiのスロー現象の解説 (2008年03月14日)
- MacOSX Leopard上でのUIの問題が解決される? (2008年03月04日)
- Blender の Windowsでの1.5GB RAM制限 (2007年10月20日)
- Blender 2.42 にセキュリティ勧告 (2007年04月24日)
- Blender にオーバーフローによる攻撃を受ける脆弱性がみつかる (2005年12月22日)
投稿された内容の著作権はコメントの投稿者に帰属します。
ログイン
クイックリンク
2021/07/01版
●Blender.org
BlenderFoundation
- Blenderのダウンロード
- 公式チュート等
- 公式マニュアル(和訳)
●ニュース(英文)
BlenderNation
●Blenderコミュニティ
blenderartists.org
●Blender Q&A
- Blender Stack Exchange
●テストビルド
Buildbot(自動生成)
●開発関連
公式開発サイト
Blender開発blog
Blender Wiki
●Blender.org
BlenderFoundation
- Blenderのダウンロード
- 公式チュート等
- 公式マニュアル(和訳)
●ニュース(英文)
BlenderNation
●Blenderコミュニティ
blenderartists.org
●Blender Q&A
- Blender Stack Exchange
●テストビルド
Buildbot(自動生成)
●開発関連
公式開発サイト
Blender開発blog
Blender Wiki