OSDN -- Develop and Download Open Source Software

Ticket #18432
Ticket List Submit New Ticket RSS

危険なPNG画像

Open Date: 2009-08-28 12:43 Last Update: 2009-08-28 18:58

Reporter:
olyutorskii
Owner:
sugi
Type:
Bugs
Status:
Closed
Component:
プロジェクトWeb機能
MileStone:
(None)
Priority:
5 - Medium
Severity:
5 - Medium
Resolution:
None
File:
1

Details

各プロジェクトのホームページ向けに「SourceForge.JP のロゴの表示」として提供されているsflogo.phpが、不正なPNG画像データを送出していることが解りました。

0バイト長のIENDチャンクの後に、何かしらの不正なデータが埋め込まれている模様です。type=1からtype=6まで全ての画像で確認できました。残りのtypeは未確認です。

PNG home pageが公式配布しているツールpngcheckなどで確認してみてください。

不正なPNG画像(Malformed PNG)を用いたコンピュータウィルスの存在が既に世間では確認されています。現時点でカスペルスキー2009のスキャンはパスするようですが、正式なPNG画像に対処して頂けないでしょうか。

何かしらの意図を持って埋め込まれたものであれば、その目的を説明頂けると幸いです。

※英語版SourceForge.netのsflogo.phpでは対処済みのようです。

※パケットアナライザWireshark1.2を使うと、不正なPNG画像を楽に探すことができます。

Ticket History (3/4 Histories)

2009-08-28 12:43 Updated by: olyutorskii
  • New Ticket "危険なPNG画像" created
2009-08-28 14:02 Updated by: sugi
  • Owner Update from (None) to sugi
Comment

報告ありがとうございます!

何とも情けないことにPHPスクリプト側のミスで、ファイルの最後にバイトカウントと改行がくっついていました。 先ほど修正しておきました。

2009-08-28 18:58 Updated by: olyutorskii
  • Status Update from Open to Closed
  • Ticket Close date is changed to 2009-08-28 18:58
Comment

迅速な対処をありがとうございます。 正規のPNG画像が送出されていることを確認しました。

セキュリティの絡んだトラブルではなかったようなので、一安心です。

Attachment File List

  • sflogo.png(1KB)
    • http://sourceforge.jp/sflogo.phpが生成するtype1画像

Edit

You are not logged in. I you are not logged in, your comment will be treated as an anonymous post. » Login