パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SystemV系UNIXのloginにバッファオーバーフロー発見」記事へのコメント

  • by Anonymous Coward on 2001年12月14日 12時44分 (#46603)
    これこそ本当に致命的な脆弱性ですね。
    でもなんで誰も「致命的」とか言わないんだろ。

    ダイアログの件ではあんなに散々言ったのに。
    • >でもなんで誰も「致命的」とか言わないんだろ。

      回避策(例えばssh等)が有るからじゃないですか? IEでダイアログを出さずにファイルをダウンロードできる方法が有れば致命的ではありませんが, 回避策が無ければダウンロード機能を一切使わないことのみが対策になるので致命的との判断が下されたのだと思います. もちろんブラウザでファイルをダウンロードするのは邪道だ! とかダウンロードにはIEとは別のツールを使っているとかの話なら致命的という判断は間違っていると思いますが.

      親コメント
      • > IEでダイアログを出さずにファイルをダウンロードできる方法が有れば致命的ではありませんが

        良く分からないのですが、どうしてIEでダウンロードまでしなければならないのですか? 代わりに ssh を使うように wget for Win32 を使うのは駄目なのでしょうか?
        私はそうしてますけど・・・
    • by Anonymous Coward
      これのせいでどうにかされたってtelnetdやらrlogindのせいにはもはや...
      100%管理者の責任になるとおもうけどなぁ
      そんなもん外から使えるようになってるのが悪い

      次元の違う話でーす
      • Re:これが致命的? (スコア:2, 参考になる)

        by k3c (4386) on 2001年12月15日 0時53分 (#46820) ホームページ 日記
        > そんなもん外から使えるようになってるのが悪い

        それは管理者のセキュリティポリシーによると思います。
        rlogindが動いていても、例えば tcpwrapperやワンタイムパスワードを使うなどしてある程度のレベルのセキュリティを確保することはできますよね。コマンド等が平文で流れるという問題はありますが、それはそれとして、とりあえずログインはできないようにできる。

        で、そういう運用になっているサーバーで、パスワードを持たずにexploitコードでrootを取られてしまうというのは、やはり不味いと思うのですが…?

        致命的、という言葉の意味がなんか問題になっているようですが、じゃあ「致命的」って何?という話に帰着してしまう(そしてあまり意味のない議論である)ことはミエミエなので、それについてはワタシは議論に参加しません。悪しからずご了承ください :-)
        親コメント

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

処理中...