パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

qmailにバッファオーバーフローの脆弱性」記事へのコメント

  • qmailのソースが (スコア:3, おもしろおかしい)

    by Anonymous Coward
    すごい!!という話をどこかで聞いたので
    ちらっと見てみたら確かにすごい!!

    適当に開いてみたtcpto.cの96行目当たりから

    lastwhen = (unsigned long) (unsigned char) record[11];
    lastwhen = (lastwhen lastwhen = (lastwhen lastwhen = (lastwhen when = now();

    プログラミング初心者の私がいうのも何なんですが
    • Re:qmailのソースが (スコア:-1, フレームのもと)

      by Anonymous Coward on 2004年01月20日 0時02分 (#476400)
      qmailのソースがアレなのは同意するが、
      引用されている部分だけだと文句つけてるやつの方が
      馬鹿だと思う。
      プログラミング初心者ならもう少し謙虚になれよ。

      qmailの嫌なのは少し凝ったカスタマイズしようとすると
      ソースの修正が必要になってしまうところだな。
      メンテや設定管理が面倒で。
      親コメント
      • by Anonymous Coward on 2004年01月20日 1時55分 (#476509)
         けどさ、Sendmailのソースを修正する気になる?
         qmailのソースの各ファイルは小さいから簡単に修正すべき
        場所を見つけられていいぜ。

         メンテが面倒ってのはわからんなあ。MTAって一度設定したら
        メンテ必要なのか?そんなにメール環境がよく変わるのか?
         DJBツールの設定は確かに独特だけどね。おまけにmanが
        わかりにくいからね。けど、一つの設定ファイルに色々な
        設定項目をだらだら書くよりも良い方法だと思う。
        親コメント
        • by Anonymous Coward
          別ACですが、確かにSendmailのソースをいじる気にはなりませんね。(^^;)

          昔、Sendmailが8.9.1の頃、MUA側のMIME処理の問題 [cert.org]で8.9.1aというpatch [impress.co.jp]が出たのですが、こいつには"Content-Transfer-Encoding" fieldが増殖するというbugがありまして、泣く泣くSendmailのコードをhackしたことがあります。

          その過程で、とりあえず版を作って動かしてみたら、multi-partのメールを処理する際に、body内の"Content-Transfer-Encoding" fieldを削ってしまうものが出来ていしまいました。

          慌てて、再度hackして一応まともに動くものが出来たのですが、その成果をSendmail.orgに報告したら、「この修正はいまいちなので、こっちのpatchを使ってね。」と"とりあえず版"と全く同じpatchが送られてきて、、、
        • by Anonymous Coward
          でもこれで(たとえ癖があろうが)インデントとかそういう可読性が
          高ければもっと解析も修正も早いでしょう、といってみる。

          # でもPostfixあたりには負けて欲しくないのでAC

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...