バグ・不具合情報
バグ・不具合情報 : Blender 2.42 にセキュリティ勧告
投稿者 : yamyam 投稿日時: 2007年04月24日 (2087 ヒット)

元記事:Blender 2.42 Security Advisory at BlenderNation

Kernon氏による記事です。

ユーザに任意のコードを実行させてしまう脆弱性が Blender に発見されました。この問題をすべてのプラットフォームの Blender 2.42に影響する疑いがあります。
Gentoo Linux セキュリティ勧告

概要
ユーザに任意のコードを実行させてしまう脆弱性が Blender に発見されました。

影響を受けるパッケージ

Package / Vulnerable / Unaffected


1 media-gfx/blender < 2.43 >= 2.43

解説
Secunia Research の Stefan Cornelius氏は、kmz_ImportWithMesh.py 内の "eval()" 関数がセキュアに使用されていないのを発見しました。

影響
外部の攻撃者が特別に作成した .kmz もしくは .kml(訳注:Google Earth と SketchUp のファイル。原文は Blender File ですが恐らく間違いだと思います)をユーザが開くように誘うことで、任意の Python コードを、Blender を動かしているユーザの特権で実行できます。

対処
現時点では対処の方法はまだわかりません。

解決方法
すべての Blender ユーザは最新バージョンに更新して下さい。

# emerge ?sync
# emerge ?ask ?oneshot ?verbose ">=media-gfx/blender-2.43"


オリジナルのレポートは Help Net Security にあります。

前述どおり、.kmz や .kml は Google Earth や、SketchUp のファイルであり、また、すでに Blender は2.43になっていることから、今更感はありますが、一応念のため、2.42で前述のファイルを使用されている人は注意して下さい。


印刷用ページ このニュースを友達に送る

投稿された内容の著作権はコメントの投稿者に帰属します。

ログイン

ユーザ名:

パスワード:



パスワード紛失

クイックリンク

2021/07/01版
●Blender.org
BlenderFoundation
- Blenderのダウンロード
- 公式チュート等
- 公式マニュアル(和訳)

●ニュース(英文)
BlenderNation

●Blenderコミュニティ
blenderartists.org

●Blender Q&A
- Blender Stack Exchange

●テストビルド
Buildbot(自動生成)


●開発関連
公式開発サイト
Blender開発blog
Blender Wiki