パスワードを忘れた? アカウント作成
226400 journal

Claybirdの日記: Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ 215

日記 by Claybird

ratbetaさんの日記 http://d.hatena.ne.jp/ratbeta/20100605 経由。

Unlha32.dllの開発が停止された。バグ対応などは当面続けられる模様だが、http://www2.nsknet.or.jp/~micco/notes/ann.htm にて、LZH(LHA)形式の使用中止が呼びかけられている。

経緯について、作者であるMicco氏のページから、自分の理解できる範囲で簡単にまとめてみる。間違いがあったら指摘して欲しい。
また、詳しい情報はMicco氏のページ http://www2.nsknet.or.jp/~micco/micindex.html を参照して欲しい。

・背景
LZH形式は国際的にはマイナーな形式である。しかし日本国内ではパソコン通信時代から広く使われており、今でも多くのLZH書庫が存在する。また、今なお新規にLZH書庫が作られているため、当面はLZH書庫を扱う場面があると思われる。

・簡単にまとめると
    圧縮ファイルがアンチウィルスのチェックを逃れる脆弱性が見つかる
→原理的に同じ物だが、ZIP/CAB/7z等は脆弱性として受理、LZHは非受理
→アンチウィルスにLZHの検査ができない脆弱性があるため、LZHは使うべきではない

・もう少し詳しく
2006年 http://www2.nsknet.or.jp/~micco/notes/headerBOF.htm
2010年 http://www2.nsknet.or.jp/~micco/vul/2010/mhvi20100425.htm

脆弱性1.(バッファオーバーフロー)
いくつかのソフトウェアについて、大きなヘッダを持つLZH書庫(仕様上は正しい)を読み込むとバッファオーバーフローが発生する脆弱性が見つかる。

脆弱性2.(検疫通過)
上記のバッファオーバーフローが起こらないソフトウェアの中には、大きなヘッダを持つ書庫ないし格納ファイルを無視するものがある。
アンチウィルス製品等の中にも問題書庫を無視するものがある。このためセキュリティ対策をすり抜ける書庫が作成可能であると報告される。

このことをもって、Micco氏から
「上記の例を組み合わせるだけでも, 『多くの対策ソフトの検疫をすり抜ける, バッファーオーバーフローと格納ファイルによる二通りの攻略方法を施した書庫』が出来上がってしまいます。」
と報告されている。

この脆弱性2.(検疫通過)について、同様の脆弱性は、LZH形式以外にもARJ形式やZIP形式等についても発生しうる。
ZIP/CAB/7z形式等についてはCVE-2010-0098をはじめ、脆弱性として認識された。しかし、LZH形式については脆弱性報告は不受理であった。

アンチウィルス製品は2006年の報告以降対応されず、JVN / IPAが脆弱性として(なぜか)受理しなかったため、今後も対応される見込みは薄い。
したがって、今後も各種アンチウィルス製品にはLZHが検査できない脆弱性があるため、Micco氏はLZHの使用中止を呼びかける。
加えて、Unlha32.dll/UNARJ32.DLL/LHMeltの開発中止に至る。

[追記]
10:22 June.06: 表記修正

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by mhe03222 (6917) on 2010年06月06日 19時14分 (#1775558)

    ここが受理してれば対応はされたはず…ということですかね。

    • by Claybird (25526) on 2010年06月06日 20時19分 (#1775573) ホームページ 日記
      アンチウィルスの脆弱性として扱われれば、メーカー各社は必死に修正するでしょう。

      この騒動で一番重要な事は、「LZH終了のお知らせ」ではなく、アンチウィルスソフトウェアの脆弱性が放置されている点にあります。

      海外のCVEはともかく、日本のIPAはLZH形式を知らないはずが無いわけです。日本国内でのLZHファイルの流通量についても知っている(少なくとも調査は容易に行える)はずなので、影響範囲は小さくないとすぐに分かったはずです。
      さらに、他形式における対応(アンチウィルスの脆弱性として受理)を考えれば、IPAがアンチウィルスの脆弱性を受理しない事の方が不思議です。

      なぜ脆弱性情報が受理されなかったのか、今後はそちらの方が問題になるのではないかと思います。
      親コメント
      • > アンチウィルスの脆弱性として扱われれば、メーカー各社は必死に修正するでしょう。

        LHA形式の圧縮/復元ユーティリティを大手中の大手マイクロソフトも配布してはいますけども、たいていの配布元は個人です。
        マイクロソフトはWIndows XPの頃に配布していたようですが、WIndows7対応とかServer製品でのサポートってしてるのかは知りません。
        また、LHAユーティリティは窓の杜やベクターを通じて入手するケースが多いのでしょうけどそういうところにIPAは働きかけするんでしたっけね?
        それに流通はほぼ日本が中心。海外ではLHA形式単体はマイナーなんですよね?
        IPAとしては、多数の個人のソフトウェア開発配布元を人手の足りないIPA自身でコントロールしようと試みるのは荷が重いと判断した,
        その結果不受理による切り捨てという顛末なのではないだろうか?
        LHA形式を切り捨ててもzipもgzipもbz2も7zipも代替手段としてあるわけで、この辺のユーティリティソフトウェアは日本のIPAが真っ先に主導権
        をとらなくても残りの世界中で誰かがイニシアティブを発揮してコントロールしてもらえることがわかりきっているわけですし。
        親コメント
        • 何か勘違いをなさっているような気が。

          LHA書庫を扱う際、
          1.大きなヘッダによるバッファオーバーフロー
          2.バッファオーバーフロー回避の結果起こる検疫通過
          の2つの脆弱性があり、バッファオーバーフローについては、CVE-2004-0234 [mitre.org] 等で既に脆弱性として扱われています。

          私が問題と言っているのは、検疫通過の方です。これはアンチウィルス限定の脆弱性であり、一般の解凍ソフトでは問題になりません。
          検疫通過はアンチウィルス製品メーカー以外では対応できないので、一般の解凍ソフト作者への働きかけは関係無い話です。

          親コメント
          • これって、アンチウィルス製品メーカの対策って2つありますよね?

            1.LHA書庫を全て検閲する(どんなヘッダであっても、無視せずに解凍して中身をチェックする)
            2.LHA書庫を"対応書庫ファイルから外す"
            # 「きちんと検閲する」or「そもそも検閲しない」

            いくつかのアンチウィルス製品メーカのサイトを探してみましたが、具体的にどの圧縮形式に対応しているかわかりませんでした。
            ので、そこをつまびらかにすれば、「LHAの中身は探さないんだ=やばいかも」とユーザにわかるようになる気が。
            # それこそ超マイナーな圧縮形式には対応してらんないでしょうし。

            問題の本質は一見LHA書庫の中身も検閲しているように見えるけれども、すり抜けているってところですよね。
            何を調べて、何を調べていないのか、きちんと明示しなきゃいかん、みたいな風潮になると良いなあ:-P

            親コメント
        • マイクロソフトはWIndows XPの頃に配布していたようですが、WIndows7対応とかServer製品でのサポートってしてるのかは知りません。

          Windows Server 2008 R2 や Windows 7 は LHA 圧縮形式の "解凍" に標準で対応しています。

          http://ja.wikipedia.org/wiki/LHA [wikipedia.org]

          詳細はこのあたりをどうぞ。

          親コメント
    • by Anonymous Coward on 2010年06月06日 22時04分 (#1775602)
      寂しいですね。マイナーとはいえ、日本発のものが消えていくのは・・・
      親コメント
  • by marute (13883) on 2010年06月07日 15時51分 (#1775969) 日記

    「LZH 書庫のヘッダー処理における脆弱性について 」 [nsknet.or.jp]への対応を、私が利用しているキュリティソフトベンダのカスタマサポートに投げてみた。
    これでとりあえず(すくなくとも私に対しては)「未知の脆弱性」が「既知の脆弱性」になったわけだ。

  • 不受理の理由 (スコア:5, 参考になる)

    by Anonymous Coward on 2010年06月07日 19時29分 (#1776139)

    JPCERTが受理しなかったのには、理由があったそうです。

    ソースはこの辺:

    http://twitter.com/hasegawayosuke/status/15614339358 [twitter.com]
    > UnLHAがIPAで不受理だという件、
    > http://www2.nsknet.or.jp/~micco/incidents/2010/inci1006.htm#i20100602 [nsknet.or.jp]
    > を見る限り制度の理解不足による誤解でしかない。

    http://twitter.com/hasegawayosuke/status/15614795535 [twitter.com]
    > そもそも現行のIPAの制度ではアンチウイルスで未検出については対象外なので
    > 不受理だろう(経産省告示第235号)。
    > http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf [meti.go.jp]
    > ZIP,Cab,7zのJVNVU#545953はCERT-FI経由の情報を掲載しているだけ。

    http://twitter.com/hasegawayosuke/status/15614841340 [twitter.com]
    > LZH内のファイルがアンチウイルスで検出できない、というのにCVE番号欲し
    > いなら英語でbugtraqにでも投げればいい。その際、LZH形式がどれだけ日本
    > でメジャーなのかをきちんと伝えること。

    • by fcp (32783) on 2010年06月07日 22時25分 (#1776236) ホームページ 日記

      http://twitter.com/hasegawayosuke/status/15614795535
      > そもそも現行のIPAの制度ではアンチウイルスで未検出については対象外なので
      > 不受理だろう(経産省告示第235号)。
      > http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf [meti.go.jp]

      これ本当でしょうか?

      参照されている告示によれば、「脆弱性関連情報」には「脆弱性情報」すなわち

      脆弱性の性質及び特徴を示す情報。 (告示 II 2 (1))

      を含むとされており、「脆弱性」とは

      ソフトウエア等において、コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所。 (後略) (告示 II 1)

      のことです。

      そもそもこれだけでは「ウイルス対策ソフトが○○というウイルスを検出しない」というのが脆弱性関連情報 [ipa.go.jp]に該当するかしないか僕には明らかでありません。さらに、仮にウイルス対策ソフトが個別のウイルスを検出しない問題が告示で言う「脆弱性」に該当しないとしても、本件は個別のウイルスの話ではなく、「ウイルス対策ソフトが LZH 形式アーカイブの中まで検索すると謳っているのに、細工された LZH 形式アーカイブの中を検索しない場合がある」という問題です。告示に書かれた基準に照らして本件が脆弱性関連情報に該当しないと論ずるロジックは僕には理解できません。

      これとは別に、 CVE 番号を振ってもらうためには英語で bugtraq に投稿する方が効果的じゃないの、という指摘は、実態を知りませんがそういうものかもと思います。

      親コメント
  • by s02222 (20350) on 2010年06月07日 13時56分 (#1775884)
    今回のは登場する書庫が全て「LHA書庫の仕様を満たす」ので、「一部のウィルスチェッカに内容をチェックされないLHA書庫を、LHA書庫の使用を満たす範囲で作る事が出来る」というウィルスチェッカ側の問題になっていますが、一般論として、仕様を満たさないのを含めると話がよりややこしくなりますね。

    素通りが生じる組み合わせとして、

    ・あるウィルスチェッカは、厳密に仕様に準拠した書庫ファイルしかチェックしない
    ・どこかの誰かが作った親切な解凍ツールは、仕様に準拠しないちょっと壊れた書庫ファイルも頑張って解凍してくれる

    とかもあり得ます。例えば、「展開後のチェックサム」を含む形式の書庫の扱いで、「チェックサムが合わないから書庫が不正」と判断して一切展開を行わないのか、「チェックサムが合わないけど展開は出来た」のでユーザの利便性のためにファイルは残しておいてユーザの判断にゆだねるのかの食い違いとか。前者が責められるのは酷なので、この場合は後者に脆弱性有りとされるんでしょうね。

    その手のアーカイバが「チェックサムが合わなかったから、ファイルは壊れているよ」と警告を出す事例も見たことがある気がしますが、 「ウィルスチェックされていない危険性があります」という意味も含意してしまうとまでは考えが及んでいませんでした。 まあ、大手のウィルスチェッカなら、その解凍されたファイルがディスクに書き込まれる段階でもチェックはしてくれるんでしょうけど。
  • 仮に、社内システムとかでLHA書庫を使わないということにしても、ゲートウェイを
    細工されたLHA書庫ファイルが通過することには変わりないんだから、
    拡散するのが少なくなるにしても、完全に防ぎきることはできない。
    だから、やはりセキュリテソフト側の対応は必要。
    IPAが仕事しないなら、自分のところで使っているセキュリティソフトが対応してるのか
    どうか、個別に問い合わせるしかないな。
    • LHAのファイルだけ先にヘッダ情報が適切かどうかを調べるといいのかな。

      とか書いても、わたしゃそんなんようせんねんけど(in OSAKA SLANG)

      親コメント
    • でも、パスワードで保護された書庫は、おそらく現状どのアンチウイルスソフトでも中をチェックしてくれないですよね。(BitDefenderでは多分そう)
      暗号化を自動解除というのも、そう簡単にはいかないでしょうし。

      「アンチウイルスソフトが様々な書庫形式に対応する」だけではなく、「書庫展開ツールが、取り出したファイルに対してウイルスチェックを行う(APIを呼ぶ)」という対処も必要なんじゃないかと思います。
      (展開ツール側にセキュリティホールがあると手遅れなので、こちらのみというわけにはいかないですが)

      --
      へ へ
      の の
      親コメント
  • マイナーな分野で脆弱性を持ったマイナーなソフトを流行らせる→その脆弱性をついたウィルスを作る

    当然、例えば俺が作ったオレオレソフトウェアの脆弱性まで対応していられないのは明らかだし、そういうことがあるのは分かりきっていたことだけど、
    LHA程度のマイナーさでもこれが通用するのなら、それなりの脅威になりうるのでは?

    --
    1を聞いて0を知れ!
  • 普通の企業なら (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2010年06月07日 13時47分 (#1775876)

    パスワードのかかるzip形式が義務なんじゃないですかね。
    ここ数年で義務化された企業が殆どだと思う。
    全社共通パスワードとか、プロジェクト共通パスワードとかだから、
    どの程度意味があるのかは疑問だけどね。

    さらに言えば、パスワード付きzipの強度が、業務に耐えうるかというと。

  • by iwakuralain (33086) on 2010年06月07日 14時47分 (#1775922)

    LZHとかじゃなかったでしたっけ?
    あれを全部zip化しなおすということになるんでしょうか。

  • by Anonymous Coward on 2010年06月07日 12時59分 (#1775818)

    JPCERTが受付しないとMicco氏が開発やめるという
    このお話のロジックがよくわからんです。

    • by JULY (38066) on 2010年06月07日 13時33分 (#1775859)
      • LZH 形式は国際的に見るとマイナー。
      • 故に、アンチウィルスソフトが真面目に対応してくれないことがある。
      • 実際、問題があるケースがあるんで、Micco 氏としては、きちんと直して欲しいと思っている。
      • なぜなら、きちんと対応してもらわないと、LZH 形式がマルウェアの入れ物として使われることになる。UnLHA をメンテナンスをする者として、自分の子供が悪の片棒担いでいる、という状況は許しがたい(と思っているだろうという、私の勝手な想像)。
      • だから、IPA に報告しているんだけど、受理してもらえない。
      • IPA に受理してもらえない状況で、アンチウィルスソフトの各メーカーが自主的に対処してもらえる可能性が低い(実際、対応は進んでいない)。
      • 故に、利用の中止を呼びかけることにした。
      • 利用中止を呼びかけているのに、開発を続けるのは矛盾するので(というか、自分で利用中止を呼びかけているソフトウェアに対して、開発を継続するモチベーションを維持する、というのは、ちょっと考えられない)、開発も中止する。
      • でも、バグは使っている人に迷惑をかけることになるから、バグの修正だけは続ける。

      という感じかなぁ。

      親コメント
    • by t-wata (10969) on 2010年06月07日 13時36分 (#1775863) 日記
      JPCERTが受理しないと、アンチウイルスが対応してくれないので、ユーザーが危険にさらされます。
      だから、開発をやめてユーザーに使わないように呼びかける、という話になっているのだと思いますよ。
      親コメント
  • ありゃあ。

    #とは読めないよな
  • by Anonymous Coward on 2010年06月07日 13時45分 (#1775872)
    1. バッファオーバーフローの脆弱性に対処済のアーカイバを使う
    2. 書庫を解凍してからウイルス検査する (普通解凍時に検出されるだろうけど)
    3. 解凍せずに書庫の中を閲覧しない

    といったところですかね。
    まあアンチウイルスソフトが対策してくれれば一番いいんですが。

  • ASUS の BIOS (スコア:1, 参考になる)

    by Anonymous Coward on 2010年06月07日 14時44分 (#1775920)
    ASUS のマザーボード (私のは M2N-E だけど) の BIOS は、LHa で圧縮されています。

    % unzip 1703.zip
    Archive:  1703.zip
      inflating: 1703.BIN
    % file 1703.BIN
    1703.BIN: LHa (2.x) archive data [lh5]
    % lha x 1703.BIN
    m2n-sli.BIN    - Melted   :  oooooooooooooooo

    (ユーザが 1703.BIN を解凍する必要はないけど)

  • そもそもの話として IPA にとって、ウイルス対策ソフトメーカーにとって、
    書庫を扱うソフト作成者にとっての脆弱性ってなんなんでしょうね?
    あえてここの部分を触れずに話が進んでいるような気がするんですけど。

    まあ安全方向に考えて使うのをやめるべきだという話は構わないと思いますが、
    既にいろんなサイトで配布されている書庫 (特に今回の件が本当に問題だと
    仮定すると通常書庫はともかくとして自己解凍書庫は更にタチが悪いわけで…) の
    扱いをユーザーがどうするかですよねぇ。ウイルス対策ソフトが悪いと言うのなら
    まだユーザーが別のメーカーのものに入れ替えるといった対策が取れますが…

    # 以下オフトピ。
    # 基本的にセキュリティ対策ソフトは何が出来て何が出来ないかをちゃんと把握した
    # 上で使うべきものだよねぇ。クライアントにインストールするタイプなら最悪
    # 解凍後にチェックがかかるし。書庫を扱うソフト自体の機能を使ってオンメモリで
    # プレビューするような事をしないで解凍のみを行う分にはファイルになる時点で
    # チェックされればあまり問題ないわけで。それに比べてゲートウエイ型は
    # ある程度フィルタリングしてくれるぐらいの感覚で使ってないと怖いのは私だけ?
    # 「仕様」としてチェック出来る書庫のサイズ制限があるものもあったし、
    # そもそも暗号化したファイルなんかはチェックをすり抜ける場合もあるだろうし。
    # メーカーの宣伝を鵜呑みにして「これだけあれば安全」なんて思うようじゃ
    # 人間という究極の脆弱性に負けた (笑) だけの話にも思えるわけで。

    ## いやぁ、実際に前に勤めていた会社では ISP の提供するゲートウエイ型の
    ## ウイルス対策しかしなくてクライアントには何も入れてなかった (社長曰く
    ## 「金がもったいない」) 。他社とデータのやり取りをする事があったんだけど
    ## その際に「ある独自の暗号化をするソフトを用い、自己解凍形式にして mail に
    ## 添付して送る」という方法でやれと社長が説明してきた。受けるのも同じ。
    ## 当然ながら mail には電子署名 1 つつけてなかったりするとか…
    ## とはいえ mail でいきなり自己解凍ファイルが来てそれをローカルのウイルス対策
    ## ソフトを入れていない PC で実行なんてあまりにも怖い。なので社長に「万が一
    ## ウイルスだったらどうするんですか? ゲートウエイではチェック出来ないだろうし
    ## ローカルでもチェック出来ませんよ?」と言ったらなんと「だったら今ここで
    ## 実行してみろ。それでウイルスが起動したらお前の言ってる事が正しいと認めて
    ## やるがそうじゃなければ今まで通りで問題ない。今まで問題になった事なんて
    ## ないんだ。」と反論してきたのにはまいった。一応会社の業務内容に
    ## 「サーバー構築」なんて書いてる会社なのに大丈夫なのかねぇ…
    ## もちろんそれから 1 ヶ月もせずにその会社を辞めましたけど :-)

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...