どんな脆弱性？ (#1315723) | 圧縮・展開ルーチンに脆弱性、bzip2など相次ぎリリース

「圧縮・展開ルーチンに脆弱性、bzip2など相次ぎリリース」記事へのコメント

記事ページを表示すべてのコメント取得

検索34コメント Log In/Create an Account

どんな脆弱性？ (スコア:0, すばらしい洞察)

by Anonymous Coward on 2008年03月19日 11時44分 (#1315723)

脆弱性の種類ぐらい書いてくれよ。せめて編集車がどにかしろよ。

で、バッファオーバーフローってことで合ってる？
- Re:どんな脆弱性？ (スコア:3, 参考になる)
  
  by Anonymous Coward on 2008年03月19日 12時41分 (#1315757)
  
  ヘッダの最初のほうだけまともで後のほうが無茶苦茶なデータを食わせるテスト（fuzzing)してみたら，
  いろんなソフトがcore dump吐いて死んだぜ！
  
  多分それってセキュリティホールだよね。という報告かと。。。
  
  なので，一概にバッファオーバーフローのみとは限らない。けど。。。
  http://security.freebsd.org/advisories/FreeBSD-SA-07:05.libarchive.asc
  なんかにあるように，実際にバッファサイズのチェックしてなかったよ！っていう報告が上がっているわけで。
  
  まぁ，ヘッダの最初のほうだけしっかりチェックして，だんだん後になるにつれて。手抜き傾向にあるってことでしょうね。操作ミスで変なデータを食わせられただけならそれで十分機能しますし。
  
  #職場から昼飯くいながらなのでA.C.
  
  シェア
  
  親コメント
  - Re:どんな脆弱性？ (スコア:2, 参考になる)
    
    by akira_t_t (31146) on 2008年03月19日 23時26分 (#1316142) ホームページ
    
    元ACです、誤解を招く書き方でごめんなさい。
    >いろんなソフトがcore dump吐いて死んだぜ！
    >多分それってセキュリティホールだよね。という報告かと。。。
    
    異常動作したから、セキュリティホールの可能性があると思って、調査して各ベンダに報告したよ～って所ですね
    
    Vendor Information
    って一覧表の「Vulnerable」欄に「yes」ってあれば脆弱性が確認されていて、(無限ループでDoSったり、バッファオーバーフローしたり）
    「Fixed version or URL」になんか書いて有れば修正済み。
    
    Not Vulnerableって書いてあるやつは心配はいらない。（純粋にcore吐くだけで無害)
    Unknownは確認してないってことでしょう。
    
    シェア
    
    親コメント
  - Re:どんな脆弱性？ (スコア:1)
    
    by cljack (22418) on 2008年03月19日 14時33分 (#1315837)
    
    > ヘッダの最初のほうだけまともで後のほうが無茶苦茶なデータを食わせるテスト（fuzzing)してみたら，
    > いろんなソフトがcore dump吐いて死んだぜ！
    > 多分それってセキュリティホールだよね。
    coreを吐く = セキュリティホール
    ではないでしょう．
    coreを吐いたということはOSの保護機能が働いた証拠ともいえるし．
    
    もちろん，保護機能が働かない程度にゴニョゴニョしたり，
    setuidだったりネットワークアプリケーションだったりする場合は
    セキュリティホールになる可能性は高いでしょうが．
    
    シェア
    
    親コメント
    - Re:どんな脆弱性？ (スコア:2, すばらしい洞察)
      
      by Anonymous Coward on 2008年03月19日 14時46分 (#1315846)
      
      可能性として
      ウェブアプリでサーバサイドでアーカイブの展開処理を組み込んでた場合には
      攻撃者としてはウェブサーバごと落としてサービス拒否させることが可能だから
      コアダンプを吐くような状態は脆弱性だと思うのですが…
      
      シェア
      
      親コメント
      - Re:どんな脆弱性？ (スコア:1)
        
        by Youyu Minazuki (4297) on 2008年03月19日 15時33分 (#1315879)
        
        展開の外部プログラムを呼び出す訳だから、ウェブサーバは落ちないと思うんだけど・・・
        
        シェア
        
        親コメント
        
        Re:どんな脆弱性？ (スコア:1)
        
        by takano32 (17535) on 2008年03月19日 17時29分 (#1315942) ホームページ日記
        
        ウェブサーバデーモンは落ちないけどウェブサーバは落ちるって文脈じゃないの？
        
        落ちるってのもカーネルパニックとかではなくてDoS食らってるってことだと思うよ。
        
        --
        旅に出ます．(バグを)探さないで下さい．
        
        シェア
        
        親コメント
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        ちゃんと原文を読んでないのでアレですけど、展開ルーチンに問題があったんじゃなくて
        bzip2からさらに外部のプログラムを呼ぶとこがあってそこに脆弱性があるって話しなんですか？
        元コメントはたとえばapache httpdにmod_hogehogeって自作モジュールを組み込んでそのなかで
        アーカイブの展開ルーチンを呼び出してて件のファイルを処理したら、
        動作形態によりますがスレッドベースなら落ちませんか？
        
        Re:どんな脆弱性？ (スコア:1)
        
        by Youyu Minazuki (4297) on 2008年03月19日 16時59分 (#1315920)
        
        苦手な英語をさらに斜め読みなので間違っていたらもうしわけないのですが、「いろんな製品にいけないもの食べさせたらみんなおなか壊しちゃった」といった感じにみえました。
        
        特に単体のプログラムを限定しているわけではないようなので、サーバに組み込むタイプなら落ちるかもしれないですね。
        でも、そこまでテストしてるのかな？
        
        シェア
        
        親コメント
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        自分の場合ですけど、ぶっちゃけgzipとかbzip2みたいなどこでも使われてるようなものなら
        最新のバージョンのものでセキュリティアドバイザリがでてなければなにもかんがえずに
        最新版のtarball拾ってきて組み込んじゃいますね。。。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        ＞でも、そこまでテストしてるのかな？
        
        もともと、
        
        ＞ coreを吐く = セキュリティホール
        ＞ではないでしょう．
        
        というコメントに対して
        ライブラリとして組み込まれることを考えればcoreを吐く異常終了も脆弱性でしょって話をしているだけなので
        実際にウェブアプリに組み込んでテストした、していないは関係ないでしょ。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    それを言い出してしまうと、画像ファイルのヘッダだけ正確で中身出鱈目でCoreするぜとか、動画
    ファイルでも…以下略　とか、色々なところに適用できてしまいそうですね。
    
    どのような脆弱性が出てくるのかというのはソフト(またはソフトが使っているライブラリ)に依存する所が多いので、チェックには時間かかるでしょう。
- Re:どんな脆弱性？ (スコア:2, 参考になる)
  
  by 127.0.0.1 (33105) on 2008年03月19日 11時54分 (#1315730) 日記
  
  ストーリーにあるフィンランドのCERTのページでは以下のように書かれています。
  
  >The impact from vulnerabilities identified as part of this research, can potentially
  >expose Denial-of-Service (DoS) and/or buffer overflow conditions. In some cases, it may
  >even be possible for an attacker to execute code on the affected system.
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    意訳して「想定外の脆弱性」って訳したらだめ？
    
    想定の範囲内のってどんなのだよ
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      >想定の範囲内のってどんなのだよ
      仕様として定義されている動作のうち、脆弱性と見えることもある動作
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      >想定の範囲内のってどんなのだよ
      
      利便性(ユーザビリティ)とトレードオフで犠牲になっているセキュリティは、想定出来る脆弱性じゃないですかね。
      
      たとえばWeb上のサービスによくあるパスワードを忘れた時の秘密の質問なんてものは
      セキュリティ的な観点ではわざと抜け道を作っているわけで、想定内の脆弱性と言えます。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

圧縮・展開ルーチンに脆弱性、bzip2など相次ぎリリース More ログイン

「圧縮・展開ルーチンに脆弱性、bzip2など相次ぎリリース」記事へのコメント

どんな脆弱性？ (スコア:0, すばらしい洞察)

Re:どんな脆弱性？ (スコア:3, 参考になる)

Re:どんな脆弱性？ (スコア:2, 参考になる)

Re:どんな脆弱性？ (スコア:1)

Re:どんな脆弱性？ (スコア:2, すばらしい洞察)

Re:どんな脆弱性？ (スコア:1)

Re:どんな脆弱性？ (スコア:1)

Re: (スコア:0)

Re:どんな脆弱性？ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:どんな脆弱性？ (スコア:2, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

スラド