.

Release NEWS

「SETI@home」がv3.08で、バッファオーバーフローのセキュリティ問題に対処

異常に長い文字列の末尾に“\n”文字が付加されたデータを受信した際に発生

（03/04/07）

　SETI@homeは4日（現地時間）、同グループが推進する分散型コンピューティング・プロジェクト用のクライアント「SETI@home」にバッファオーバーフローが発生する可能性があることを明らかにし、同問題に対処した最新版のv3.08をリリースした。現在同社のWebサイトからWindows 95/98/Me/NT/2000/XP用のv3.08をダウンロードできる。

　同問題をSETI@homeに報告したBerend-Jan Wever氏のWebページでは、異常に長い文字列の末尾に“\n”文字が付加されたデータをクライアントがサーバーから受信した際に、クライアント側でバッファオーバーフローが発生するほか、クライアントからサーバーへ同様の文字列が送信されると、サーバー側でバッファオーバーフローが発生するとの情報が掲載されている。また、同氏はクライアントの最新版では同問題が修正されているのを確認しているが、サーバーで修正されているか否かは未確認だという。

　日本時間21時現在のSETI@homeの公式サイトには、v3.08はバッファオーバーフローの発生する可能性を防ぐためのセキュリティ対策用にリリースしたものであり、同問題を悪用するには本ソフトのクライアント接続を公式サーバーとは異なる偽のサーバーに誘導する必要があるという旨の情報が掲載されているが、サーバーとバッファオーバーフローの関係については、特に言及されていない。

□SETI@home Search for Extraterrestrial Intelligence at home
http://setiathome.ssl.berkeley.edu/
□Changes in Version 3.08 of SETI@home
http://setiathome.ssl.berkeley.edu/version308.html

（竹元 克己）