Re:アーカイブ系プログラムの脆弱性 (#1714848) | GNU gzipに脆弱性、1.4リリース

「GNU gzipに脆弱性、1.4リリース」記事へのコメント

記事ページを表示すべてのコメント取得

検索38コメント Log In/Create an Account

不思議 (スコア:0)

by Anonymous Coward

ファイルの圧縮や展開がセキュリティに影響するような状況ってどういう感じなのでしょうか。
イメージとしては、圧縮や展開は単純にデータの繰り返し部分や不合理な部分を置換する作業であって、
不正コードの実行なんかとは無関係に思うのですが。
- Re: (スコア:4, 参考になる)
  
  by tt (2867)
  
  とある圧縮データを開こうとして、置換後のデータを書き出す際に、書き出し先のバッファより長いデータを間違えて書き込んだりしたらどうなるでしょうか。圧縮ツールだからセキュリティに関係ない、なんてどうして考え付くのか不思議です。
  あと圧縮ではなくアーカイブ系では展開時などにファイルのパーミッション間違えるといった危険もあります。
  
  --
  -- Takehiro TOMINAGA // may the source be with you!
  - アーカイブ系プログラムの脆弱性 (スコア:4, 参考になる)
    
    by Anonymous Coward
    
    もっと致命的な脆弱性で、
    ・絶対パス名でアーカイブされたファイルを、絶対パス名のまま展開する
    という事例がありました。
    
    たしか、Antiny系のトロイの感染手段として一時期猛威をふるっていたような。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      ぜ、脆弱性なの？！tar は今でもその仕様のままでは？
      たまに絶対パスで固めたアーカイブをよこす人が。
      悪意でないにしても、
      クリティカルなファイルを書き換えられる可能性があるので
      内容確認してから展開しなくちゃと思ってはいるのですが…。
      - Re:アーカイブ系プログラムの脆弱性 (スコア:3, 参考になる)
        
        by Anonymous Coward on 2010年02月07日 1時29分 (#1714848)
        
        >ぜ、脆弱性なの？！tar は今でもその仕様のままでは？
        最近のBSD系のtarやGNUtarは直ってます。
        Solarisは知らん。(直ってないような気がする。識者突っ込み希望)
        
        シェア
        
        親コメント
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        つい先日やっちまいましたよ

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

GNU gzipに脆弱性、1.4リリース More ログイン

「GNU gzipに脆弱性、1.4リリース」記事へのコメント

不思議 (スコア:0)

Re: (スコア:4, 参考になる)

アーカイブ系プログラムの脆弱性 (スコア:4, 参考になる)

Re: (スコア:0)

Re:アーカイブ系プログラムの脆弱性 (スコア:3, 参考になる)

Re: (スコア:0)

スラド