パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Samba 3.0.7以前にBuffer Overrunのバグ」記事へのコメント

  • 3.xシリーズはまだまだ安定しませんね。今回の問題は2.xシリーズには問題ないかと。
    • by Anonymous Coward
      http://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=138325

      Red Hatのエンジニアは
      This issue does appear to affect RHEL2.1 after all.
      と言って、2.2.xも何かを修正しているようです。
      • by Anonymous Coward
        AS2.1用のSRC.RPM(samba-2.2.12-1.21as.1.src.rpm) [redhat.com]を確認しました。

        アーカイブの中に
        samba-2.2.12-CAN-2004-0882.patch (4kByte)
        samba-2.2.12-CAN-2004-0930.patch (9kByte)
        の二つのパッチが入っていました。

        それぞれCAN-2004-0882 [samba.org]と
        CAN-2004-0930 [samba.org]
        に対する対策のようです。
        • by Anonymous Coward
          #655735のAC、自己フォローです。

          CAN-2004-0882のパッチの内容を読んだところ、samba.org提供の3.0.7用のパッチ [samba.org]相当の
          変更と、「SMB_ROUNDUP」に関するパッチでした。
          RedHat側は、「2.2.12にも3.0.7相当のバッファオーバーフローが発生する」としているように見えます。

          対してDebianですが、2.2系のsambaを使っているWoodyに対しては、対応の必要無し [debian.org]としているようです。

          Stefan Esser氏の情報 [e-matters.de]によると、SMB_QUERY_FILE_NAME_INFOとSMB_QUERY_FILE_ALL_INFOへの返答にunicodeが含まれるときにオーバーフローがおこる、としています。
          通信路上でのunicode対応は3.0 [atmarkit.co.jp]
          • うーん、Debian の Samba パッケージに関しては、脆弱性対応がどうなっているのかちょっと不思議な部分があります。
            以前の脆弱性対応(CAN-2004-0600 and CAN-2004-0686)について音沙汰がありません。

            #他のパッケージなんかについてはそれなりな対応をしているのですが、なぜかsambaだけは放置なのかな?

            >RedHat側は、「2.2.12にも3.0.7相当のバッファオーバーフローが発生する」としているように見えます。

            興味があります。どこでその発言をしているか教えてもらえま
            • by Anonymous Coward on 2004年11月22日 4時06分 (#655843)
              >興味があります。どこでその発言をしているか教えてもらえませんか?

              いや、発言じゃなくて、samba-2.2.12-CAN-2004-0882.patch内で、
              max_data_bytesのサイズでメモリを確保にいく際のマージンが1024から
              DIR_ENTRY_SAFETY_MARGIN=(4096)にするという、3.0.7用パッチと
              同様のことをやっている、という意味です。
              それ以上の話では無いです。

              単にRedHatの中の人が用心深いだけ、ならばいいのですが...

              # とりあえず、ソース読み、今日はギブアップです。
              # 非asciiな1byteな文字をunicodeに変換してbyte数が増える為に
              # 起こる問題、ってこと?
              # 高々4倍のメモリさえ確保すれば良い、ってことみたいなので...

              >急にサーバ移転(というか…もごもご)の影響を受けて、web の更新も
              >ままならぬ状況のためか、ML も静かなもんです。
              >-tech は殆ど流量ないですねぇ。

              目玉と手の数が不足してます?
              親コメント

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...