パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

2.4.22-2.4.25/2.6.1-2.6.3にroot権限奪取可能な脆弱性」記事へのコメント

  • by Anonymous Coward
    最近integer overflowネタが多い気がするけど
    ヤバそうな所を自動検出するツールとか作れないかな。
    • バファーオーバーフロー系の防御なら、
      libsafe [avayalabs.com]とかがお勧めです。自動検出ツールは
      知らないですけど。
      --
      romfffromのコメント設定
      AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
      • by Anonymous Coward
        なんでbuffer overflowの話になってるのかよく分からんのですけど、libsafeってinteger overflowも防げるってことなんですか? 普通は、inter overflowといえば SafeInt [microsoft.com] かと。
        • Re:integer overflow (スコア:2, 参考になる)

          libsafeはインテガーオーバーフローを
          防ぐことはしないけど、インテガーオーバーフローが
          原因でおこるバファーオーバーフローを防ぐことが
          できます。
          #今回の件で言えば、カーネルのバファーオーバフローを
          #防ぐ事ができます。
          インテガーオーバーフローが原因の脆弱性は
          多くの場合それが、バファーオーバーフローを
          起こさせててコードを走らせているように思うので、
          結果的には多くのインテガーオーバーフローが原因の
          脆弱性にも有効な対策のように私は思います。

          SafeintはC++ソースがあって、自分でコンパイルして
          走らせる場合には大変良いと思います。

          #Pingをピングと書く人間なので読みにくかったら
          #ゴメソ
          --
          romfffromのコメント設定
          AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
          親コメント
          • という事 [srad.jp]らしいので、libcをスタティックリンクしていると
            だめらしいです。ちなみに、私はカーネルが
            Cでかかれているのかさえ知らないダメポなので、
            今回の脆弱性をlibsafeで防げるのか知りません。
            カーネルなんだから、リンクとかは利用しないような
            気がするので、libsafeがlibcをダイナミックで
            利用してるプログラム用だとカーネルの
            バッファオーバーフローは防げないですね。
            --
            romfffromのコメント設定
            AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
            親コメント

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...