Re:アーカイブ系プログラムの脆弱性 (#1714799) | GNU gzipに脆弱性、1.4リリース

「GNU gzipに脆弱性、1.4リリース」記事へのコメント

記事ページを表示すべてのコメント取得

検索38コメント Log In/Create an Account

不思議 (スコア:0)

by Anonymous Coward

ファイルの圧縮や展開がセキュリティに影響するような状況ってどういう感じなのでしょうか。
イメージとしては、圧縮や展開は単純にデータの繰り返し部分や不合理な部分を置換する作業であって、
不正コードの実行なんかとは無関係に思うのですが。
- Re: (スコア:4, 参考になる)
  
  by tt (2867)
  
  とある圧縮データを開こうとして、置換後のデータを書き出す際に、書き出し先のバッファより長いデータを間違えて書き込んだりしたらどうなるでしょうか。圧縮ツールだからセキュリティに関係ない、なんてどうして考え付くのか不思議です。
  あと圧縮ではなくアーカイブ系では展開時などにファイルのパーミッション間違えるといった危険もあります。
  
  --
  -- Takehiro TOMINAGA // may the source be with you!
  - アーカイブ系プログラムの脆弱性 (スコア:4, 参考になる)
    
    by Anonymous Coward
    
    もっと致命的な脆弱性で、
    ・絶対パス名でアーカイブされたファイルを、絶対パス名のまま展開する
    という事例がありました。
    
    たしか、Antiny系のトロイの感染手段として一時期猛威をふるっていたような。
    - Re:アーカイブ系プログラムの脆弱性 (スコア:1, 興味深い)
      
      by Anonymous Coward on 2010年02月06日 21時48分 (#1714799)
      
      相対パスしか許可しない場合でも、
      "../../../../../..・・・/tmp/hogehoge"というファイル名で絶対パスと同様になってしまうというのが過去にあったような。
      
      シェア
      
      親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

GNU gzipに脆弱性、1.4リリース More ログイン

「GNU gzipに脆弱性、1.4リリース」記事へのコメント

不思議 (スコア:0)

Re: (スコア:4, 参考になる)

アーカイブ系プログラムの脆弱性 (スコア:4, 参考になる)

Re:アーカイブ系プログラムの脆弱性 (スコア:1, 興味深い)

スラド