パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

モジュールの脆弱性を修正したApache 2.0.48/1.3.29リリース」記事へのコメント

  • 「9 個」というあたりが臭いなぁと思って ViewCVS で 1.3.28 と HEAD の diff [apache.org] を見てみました。配列のサイズが 10 と埋め込みで定義されていて、関数に渡す時にはこの最大値が使われなかったということのようですね。

    # そのまま引用しようとしたら、投稿フィルタに引
    --

    -- cooper

    • 普通にセキュリティ問題をチェックするコードスキャナとかつかえばこの程度なら自動で見つかるような。

      まあ、チェックが自動で出来たとしても、結局個人の意識が無いとダメなんでしょうけど。CVSコミットごとにチェックを自動で書けて、常にメールが流れる、とかやっても無視する人は無視しちゃうでしょうし。

      --
      -- Takehiro TOMINAGA // may the source be with you!
      • > 普通にセキュリティ問題をチェックするコードスキャナとかつかえばこの程度なら自動で見つかるような。

        すばらしいツールをお持ちでしたら
        是非、まだ発見されていない apache の潜在的な問題を見つけて
        apache にフィードバックしてください。
        • by tt (2867) on 2003年10月30日 23時33分 (#424145) 日記
          やだ。他人のコードのでバグより、自分のコードを書くのを楽しみたい。

          ってのは冗談ですが。

          ちょっと参考URLとか出せないのが弱いんですが、ツールによるチェックが元で見つかったapacheとかLinuxの脆弱性ってのは結構あると聞いています。bugtraq とか見てるとそれなりの頻度で「このバグはXXを使って自動チェックの結果を確認することで発見した」みたいなメールがきてます。

          なので、この手のツールはそれなりに有効だと思います。が、問題は「誤認識」「誤警告」が多いうえ、(特に実行時チェックを行う系のelectricfenceとかは)異常に遅いという点だと思います。

          また、大量に出る警告の中から、問題を拾い出すだけでもかなり大変です。自分が担当している一万行程度のコードが相手ならともかく、第三者の書いた何十万とあるコードのバグ発見てのはかなり辛いんですよね。

          まあ、世の中の(スクリプトキディーでない)「本当のクラッカー」さんはそのへんをやってるんでしょうけど。

          正直、他人のコードのデバグよりは自分の好きでコードを書くほうが楽しい、というのは事実だし…

          --
          -- Takehiro TOMINAGA // may the source be with you!
          親コメント

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...