パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

qmailにバッファオーバーフローの脆弱性」記事へのコメント

  • qmailのソースが (スコア:3, おもしろおかしい)

    by Anonymous Coward
    すごい!!という話をどこかで聞いたので
    ちらっと見てみたら確かにすごい!!

    適当に開いてみたtcpto.cの96行目当たりから

    lastwhen = (unsigned long) (unsigned char) record[11];
    lastwhen = (lastwhen lastwhen = (lastwhen lastwhen = (lastwhen when = now();

    プログラミング初心者の私がいうのも何なんですが
    • Re:qmailのソースが (スコア:1, すばらしい洞察)

      by Anonymous Coward
      > よくこんな書き方で穴がないもんだ…。

      フリーソフトって素人臭いコーディングが非常に多いんだけど、qmailって群を抜いてへんてこなコーディングなんだよねえ。悪いコード例、「絶対にこんな書き方をしてはいけない」の強力な実例として引き合いに出される場合もけっこうあったりして。
      • by Anonymous Coward on 2004年01月20日 11時30分 (#476835)
        採用するフリーソフトウェアの定義にもよるが、qmailはフリー
        ソフトウェアではないような気がするので、へんてこなコーディング
        でも問題ないんじゃないでしょうか。自分が書いたコード以外
        を信じないような人なので、他人のパッチを取り入れることはなさ
        そうですし。

        # そういう方針が、ある点ではセキュリティの確保になるというのも
        # 分からなくはないですが…
        親コメント
        • by uchida-t (14803) on 2004年01月20日 11時39分 (#476852)
          今やSMTP-AUTHやv6やTLSへの対応などの機能拡張が必須に近くなって
          いるのに、djbはまったく対応しようともしないので、結果パッチが乱立。
          というわけで、djbにオーソライズされていないコードを利用せざるを
          得ないのでは、セキュリティの確保とは正反対の方向に行っています。

          また、各パッチを矛盾なくうまく当てようとするにはコードを読む必要が
          あるのにもかかわらず、あのコードは…。
          親コメント
          • 今やSMTP-AUTHやv6やTLSへの対応などの機能拡張が必須に近くなっているのに、djbはまったく対応しようともしない

            まぁ,djb 先生は IPv6 に否定的 [cr.yp.to]みたいですから,v6 patch が必要な状態はまだまだ続くでしょう.
            # 個人的には我が家に IPv6 のアドレスがちゃんと配られることをまず希望.

            親コメント

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...