パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Lhaplusにバッファオーバーフロー脆弱性、修正バージョンリリース」記事へのコメント

  • 連鎖 (スコア:1, 参考になる)

    by Anonymous Coward
    最近、LHAなんとかの脆弱性露見が多いよね。
    LHAって、正直言って日本ローカルなアーカイブ形式なんだけど、なんで今連続して発覚するんだろう?
    1. 最近になってどこかが一所懸命探索作業を始めた
      JPCERTが突如成果主義になったとか(w
    2. 実は大元はひとつのコードで、それのコピーのコピーのコピーの……コピーがあちこちで使われている
    3. 本当はもっと大元が原因で、LHAなんとかが使っているデータフォーマットそのものに攻撃を許す欠陥があった
    4. その他
    さて、真相はいかに?
    • Re:連鎖 (スコア:4, 参考になる)

      by Anonymous Coward
      >なんで今連続して発覚するんだろう?

      >1.最近になってどこかが一所懸命探索作業を始めた

      正解。

      >JPCERTが突如成果主義になったとか(w

      (株)フォティーンフォティ技術研究所 鵜飼 裕司氏が片っ端から探しているように感じます。

      作者のページの説明の謝辞に [biglobe.ne.jp]発見者として鵜飼 裕司氏の名前が出ています。

      • その時のストーリー [srad.jp]と公式サイト [fourteenforty.jp]。
        # 実績作りだろうけど、セキュリティ向上への貢献は評価できるな
        • by Anonymous Coward on 2007年09月24日 22時03分 (#1224191)
          ていうか、鵜飼氏=UNYUN、ついでに杉浦氏=luminというハンドルで調べたほうが

          >Winny対策ツールを500万円で売ってる会社

          なんて、ごく最近の出来事より有益な情報が手に入ると思われ。

          ところでセキュリティで商売して、金を稼ぐのが悪いようなバイアスを感じる訳だが、
          そういうのは同レベルの対抗ソリューションを10分の1のコストで提供してみせて言うべき。
          それによって、何も出来ない奴が単に金持ちを妬んでいるのか、より良いソリューションを
          提供できる奴が悪徳商法を糾弾しているのか客観的な理解が違ってくるから。

          野球で言うならイチローのようなプレイヤーが居なければ、業界の生活水準が上がらん訳で。
          対価を安く見積もり、見積もられる事に慣れきって、500万円程度に驚いてるようじゃワープアだ。
          人件費とか払う立場になるか、そういう話に加わるようになれば高くないと思える。
          なにしろ、派遣や請負を泣かせている企業にとって500万円なんて即捻出できる額。
          (必要と認めるハードル越えに勇気がいるだけ)
          親コメント

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...