zlibにバッファオーバーフロー脆弱性 49
ストーリー by GetSet
影響範囲はどの程度か 部門より
影響範囲はどの程度か 部門より
torus 曰く、 "CNET Japan の記事によると、
セキュリティ監視会社の
Secunia
は米国時間7日、
zlib
に
バッファオーバーフローを引き起こす脆弱性が存在することを発表した。
この脆弱性をつかうと、zlib を使ったあらゆるアプリケーションをクラッシュさせることができ、
また、潜在的には悪意のあるコードを走らせられる可能性もあるという。
zlib といえば
2002 年にも脆弱性の報告があったが、
広く採用されているデータ圧縮ライブラリであり、
圧縮ファイルだけでなく、画像などのデータ処理にも使われている。
また
オープンソースソフトウェアだけでなく、
マイクロソフトの主要な製品などにも含まれているため、
影響範囲はかなり広いと考えられる。
ただし、上記の CNET Japan の記事によると、
Microsoftの関係者は、 同社がまだこの問題の調査を進めているところだと語った。 「初期の調査では、現在サポートされているWindowsの各バージョンには、 この脆弱性の危険がないことが判明している」(Microsoft関係者)とのことなので、 Windows ユーザは安心していてよいのかもしれない。"
内部で利用 (スコア:5, おもしろおかしい)
見つかったときに、そっくりな理由でWindows(当時は
確かWinNT4.0)にアップデートがかかった。当時、
UNIXに対するアドバンテージを全面に出していたMSだっ
たのですが「なんだ、結局中身はbindか。DNS独自実装せ
いよ。」とつっこみ入れたくなった記憶があります。
zlib使ってない、ってのは「オープンソースなんていう怪し
いもんはうちら使ってないよ!」という半OSSアピールとみて
いいのかな?
-- gonta --
"May Macintosh be with you"
Re:内部で利用 (スコア:1)
-- gonta --
"May Macintosh be with you"
Re:内部で利用 (スコア:0)
zlibは以前から使っていたことは有名じゃん
本当に知りたいのは独自の実装に置き換えたから安全なのか
それともいつもの無責任な広報の発言のどっちなのかということでしょ、この場合は
Re:内部で利用 (スコア:0)
>いもんはうちら使ってないよ!」という半OSSアピールとみて
>いいのかな?
CNetの記事より
>zlibの開発グループは、同コンポーネントを利用する
>アプリケーションの一覧をウェブサイトで公開している。
>これ
Re:内部で利用 (スコア:0)
>危険がないことが判明している」
>>これを見ると、Microsoftは、 Office、MSN Messenger、Internet
>> Explorerなどのプログラムでzlibが使われていることが分かる。
>
>使っているようですが。
いまさらながら、やっぱり、IEはWindowsの一部ではないのか。
Re:内部で利用 (スコア:0)
Re:内部で利用 (スコア:0)
1.1系は対象外? (スコア:5, 参考になる)
FreeBSDのSA [freebsd.org]を見ると、対象が5.3/5.4および5-stableになっていて、まだサポート期間内の4.x [freebsd.org]が入ってません。
何でかなぁと思ってCVSwebで5-stableと4-stableのコードを比較したら、ほぼ別物(4-stableは1.1.4で5-stableは1.2.2)だったので、SecuniaのアドバイザリにあるCAN-2005-2096 [mitre.org]を見ると、対象はzlib 1.2 and later versionとあります。Debianも対象はSargeだけ [debian.org]みたいです。
ということで、Secuniaの
という一文は、やや正確さに欠けるようです。Re:1.1系は対象外? (スコア:2, 参考になる)
> A few people have asked about this, so to make it clear: This issue affects
> FreeBSD 5.3 and FreeBSD 5.4 ONLY. FreeBSD 4.x is not affected.
ということなので,4系列には影響はないようです.
Re:1.1系は対象外? (スコア:1)
5.3未満の5.xはサポート対象外だから書かれてないのかな、と思いつつ調べてみたのですが、
FreeBSD5.2.1-RELEASEの zlibは 1.1.4 だったので問題なし、ということで、
本当に、問題があるのは 5.3以降という感じですね。
安心しろ、って言われても… (スコア:4, すばらしい洞察)
Windows+ほにゃらら では危ないですよ、とか考える必要がありそうですが…
Re:安心しろ、って言われても… (スコア:2, 参考になる)
仮に MS 社製の製品に使用を限ったとしても、IE でさえ脆弱性を抱えている可能性があると思うんですけど、どうなんでしょう?
use Test::More 'no_plan';
Re:安心しろ、って言われても… (スコア:1)
タレコミが不用意なんじゃないかと.
#中の人ではありません.
Re:安心しろ、って言われても… (スコア:1)
ただ、たとえばエクスプローラで PNG 画像の縮小版を表示するだけでも、zlib が使われている可能性があるわけですよね。
use Test::More 'no_plan';
Re:安心しろ、って言われても… (スコア:0)
Re:安心しろ、って言われても… (スコア:0)
# むっさ昔の記事しか出てこなかったのでAC
Re:安心しろ、って言われても… (スコア:0)
ありそうなファイルを探すプログラムとか作れば便利そう。
UPXとか暗号化とか掛かってると厳しいが。
Re:なんかの笑い話で (スコア:0)
決まって優しい口調でこう言うんだ
「大丈夫問題無い、信頼してよい」
というのがあったが、そんな感じだね。
Re:なんかの笑い話で (スコア:0)
心配するよか、信頼してよね。
Re:Windowsで関連のありそうなやつ (スコア:0)
ざっと考えるとCygwin、Firefox、Openoffice、Gaim、Jabber、
一部の圧縮ソフト…
…zlibを組み込んでいるかどうかの踏み絵になったりしてw
------
やなぎ
いま、モデレータなんでAC
Microsoft は「使っているけど大丈夫」という事かな (スコア:4, 参考になる)
Microsoft が zlib 使っている事自体は間違いないでしょう。 2002 年の脆弱性の時 [cert.org]でも
とあるので、「使っていない」わけではなかったようですから。標的はライブラリへ? (スコア:2, 興味深い)
ライブラリを標的にする攻撃が今後激しくなってくるのかなと思ってきます.
詳しいことは良くわからないのですが,どうなんでしょうか?
特定のアプリケーション,OSを狙うよりも,被害規模が拡大しやすいような気がしますが.
Re:標的はライブラリへ? (スコア:0)
incomplete huffman tree (スコア:2, 興味深い)
今回問題になった一行を見ると、CODEを記録するハフマン木はincompleteであってはいけないという記述に見えます。
まあ常識的に圧縮すれば最適になるようにハフマン木を生成するはずなので、gzipとかは普通はcompleteなハフマン木を生成すると思います。なのでこうすることに問題はない気はしますが、deflate圧縮を規定しているRFCとかみても、「ハフマン木はcompleteであるべし」といった記述を見つけることが出来ませんでした。
それにそもそもCODE以外のDISTとかLENはimcompleteでもいいのか?というのもよく理解できません。
そんなわけでこの修正により、(通常のzipやgzipとかが作ることはないけど)deflate形式の規格を満たしているストリームがdecompressできなくなるように見えるのですが、どないなものでしょうか?
-- Takehiro TOMINAGA // may the source be with you!
PlamoLinux (スコア:1, 参考になる)
FreeBSD は (スコア:1)
あれ? patch 適用後に reboot はしなくて良かったのか。
# cd /usr/src
# patch /path/to/patch
# cd /usr/src/lib/libz/
# make obj && make depend && make && make install
最近、何も考えずに make buildworld && make buildkernel && make installkernel してしまってる。
いかん、いかん。
Re:FreeBSD は (スコア:0)
Re:FreeBSD は (スコア:1)
リリースノートを良く読め。
っていうか、あれ?
make buildworld && make installworld ?
/usr/obj 削除して(cd /usr/obj && chflag -R noschg /usr/obj && rm -rf obj)
ユーザランド作って(cd /usr/src && make buildworld)
kernel 入れて(make buildkernel && make installkernel)
再起動して (sync;sync;shutdown -r now)
カーネルに異常が無い事を確認してからシングルユーザになって(sync;sync;shutdown now)
ユーザランド入れませんでしたっけ(cd /usr/src && make installworld) ?
で再起動(sync;sync;reboot)
いきなりユーザランドぶち込んで安全なの ?
そして 5.x で mergemaster 必要 ?
Re:FreeBSD は (スコア:1)
一般手順としてはいきなり world 突っ込んじゃだめです。しっかり kernel を入れてからで。
でないと、/sbin なんかで新 kernel でしか持ってない system call を叩こうとして死ぬ可能性があります。
あと、5.x で mergemaster は必要ですよ。例えば pf が入ったときの pf ユーザ追加や rc.d 以下の変更などの取り込み。後者は cd /usr/src/etc/rc.d && make install のがいいですが。
もちろん、mergemaster 相当の事を自前でやってあるのであれば問題ありません。 :)
ま、なんにせよ手順をしっかり読んでからやりましょう。make installworld 前に mergemaster -p が必要ですから。
Re:FreeBSD は (スコア:1)
> 4.6-RELEASE からは、buildworld の前に -p をつけて
> mergemaster(8) を実行してもよいです。 これを実行すると、
> buildworld や installworld が成功するために必要なファイルだけを比較します。
という事は
cd /usr/obj
chflag -R noschg *
rm -rf *
cd /usr/src
mergemaster -p
make -j4 buildworld && make buildkernel && make installkernel
sync;sync;shutdown -r now
(multi user で起動して kernel が正常な事を確認)
sync;sync;shutdown -r now
(single user で起動して)
fsck -p
mount -u /
mount -a -t ufs
swapon -a
cd /usr/src
make installworld
cp -Rp /etc /etc.old
mergemaster -siv
# う、ちゃんと Handbook を読んでなかった事がいまさら発覚 orz...
Re:FreeBSD は (スコア:0)
rebootしなくても既にメモリ上にロードされているものだけ何とかすればいいんでない
俺rubyのmswin32版で1.1.4使っている (スコア:1)
今後解凍する予定あるんだけど....
おしえてェらィヒト (スコア:0)
xboxにあってps2にはないのかな?
Re:おしえてェらィヒト (スコア:5, 参考になる)
png を読み書きできるプログラムは十中八九、zlib を使ってると考えてまちがいないと思う。
Re:おしえてェらィヒト (スコア:1, 興味深い)
が、1.1.3 頃のものがベースなようで、今々の 1.2.2 のものとは大分違うので、私の頭では大丈夫なのか判断不可能。
Debian とか ライブラリの方しかアップデート出てないので、kernel は大丈夫なんだろう。
しかし、Linux kernel は、kernel/lib 以外にも、各 CPU アーキテクチャ毎に似たようなコードが散在している状況はなんとかならんものだろうか?と思います。
そんなあなたに (スコア:1, すばらしい洞察)
Re:そんなあなたに (スコア:1)
Re:おしえてェらィヒト (スコア:0)
Re:えらくないよーだ (スコア:1, 参考になる)
例: $ ldd `which ethereal` | grep libz
libz.so.1 => /lib/libz.so.1 (0xb6f7b000)
opensshの他、ImageMagickとかnmapとか。
Re:えらくないよーだ (スコア:1, 参考になる)
ソースに同梱された zlib をスタティックにリンクするものもあります。
こういうのは ldd でひっかかりません。
rsync なんかがこれに該当しますが、とりあえず rsync に同梱の zlib は
1.2.x ではないようです。rsync はネットワークごしに zlib で圧縮された
データをやりとりできるので、万が一穴つきのバージョンを使っている場合は、
リモートから攻略される可能性があるかも。
Re:おしえてェらィヒト (スコア:1)
#764805 [slashdot.jp]と被るけど、Mozilla系列も該当しますね。
Bug 299445 - zlib buffer overflow [mozilla.org]
によると、1.0.xは該当せず (zlib 1.1.4)、trunkは既に修正済みとのこと。
# Bug IDは幽霊飯 [infoseek.co.jp]より。
Re:おしえてェらィヒト (スコア:0)
ZeBeDeeとか大丈夫でしょうか?zbdのzはzlibのzだと思ったんですが…
# 自信ないのでAC
Re:おしえてェらィヒト (スコア:2, 参考になる)
Required libraries
* blowfish-0.9.5a.tar.gz (22k)
* zlib-1.1.4.tar.gz (170k)
* bzip2-1.0.1.tar.gz (455k, optional, Zebedee can be built without it)
アウト?
RE (スコア:0)
関係ないよね?読まなけりゃ。ね?ね?ね?
Re:RE (スコア:2, おもしろおかしい)