アカウント名:
パスワード:
「LZH形式対応の解凍ソフトが必要」とは書いてあるけど、「LHAがまだ使われている」なんてどこに書いてあるの?解凍ソフト(ウイルス対策ソフト含む)のバグ・脆弱性の問題なので、解凍ソフトが改善されていれば使って問題ないんじゃないの?改善されているかどうかは知らんけど。
要は改ざんされたヘッダがあると、ウィルス対策ソフトが書庫内のそのファイルorそれ以降の全ファイルを検査しない事があるってのが問題なわけだから、ウイルス対策ソフトが未対応かもしれないのに、安易に改ざんされたヘッダでも解凍できちゃうソフト使うのは不味いんじゃねーかと。
書庫ファイル内がウィルスチェックされないのは暗号化ZIPも同じじゃね?お役所でメールなんかでZIP使うときなんか暗号化ZIP使うだろうし、「書庫内ファイルがウィルスチェックされない」は脆弱性の理由としては違うような。
実際に問題なのかどうかは別として、UNLHA32.DLLの作者は問題だって主張してるよ。
LZH 書庫のヘッダー処理における脆弱性について (2010 年版) [micco.mars.jp] ところが, このバッファーオーバーフローの問題に対応していたとしても, 後者の処理を採用しているソフトでは, それが新たな問題を発生させる場合があります。 問題が発生するのは『ウイルス対策ソフト』等の場合です。多くの対応ソフトでは, バッファーが溢れてしまう大きなサイズのヘッダーが存在した場合, そこで書庫全体に対する処理を打ち切るか, 当該メンバーを無視して次のメンバーの処理に移ります
LZH 書庫のヘッダー処理における脆弱性について (2010 年版) [micco.mars.jp]
ところが, このバッファーオーバーフローの問題に対応していたとしても, 後者の処理を採用しているソフトでは, それが新たな問題を発生させる場合があります。 問題が発生するのは『ウイルス対策ソフト』等の場合です。
多くの対応ソフトでは, バッファーが溢れてしまう大きなサイズのヘッダーが存在した場合, そこで書庫全体に対する処理を打ち切るか, 当該メンバーを無視して次のメンバーの処理に移ります
同じこと考えてました。他のコメントざっと見た感じでは、これを覆す話は無いように思います。
リンク先ではちゃんとLZH形式になってるよ。いつものhylomクォリティ。単なる誤字ならまだしもこういう論理的な誤りもたびたびやらかすから本当にたちが悪い。
リンク先を見ると、> 作者がセキュリティホール直したんだけど、IPAが、ちゃんと説明もせずに、セキュリティホールが直ったということを認めなくて、お役所から見捨てられた
とあるけど、どういう事?あるお役所は、見捨てたけど、別のお役所は未だに使い続けているという事か。LZHを使って良いかという事とは別に、サポートしているアーカイバはまだまだあるようですが。
LZH形式といっても実装は色々あるから、オリジナルのLHAの作者だけが修正版を出しても解決するって問題でもなかろう
ウィルス対策ソフトの検疫機能という非常に重要な実装が対応してくれないのが問題、って別コメントでわざわざ説明してくれている人がいるのに、わざと無視してボケを繰り返すような荒らしは相手しちゃダメだよ
IPAは役所じゃないよ。独立行政法人なんて批判逃れの建前でほとんどお役所みたいなものだろというなら否定はしないが
今回は、意味が正反対になっていないだけまだマシでしょうw
また hyrom の余計な書き換えか
ちょっと Kazekiri、おたくの従業員なんとかしなさいよ情報セキュリティ関係でこういうのはまずいよ
headlessでも直してくれればよいんだけど、身内に気を遣って正しい事ができない感じ?
> LHAがまだ使われている模様「模様」ってのは推測を示すわけだから、LZH形式が採用されてるならLHAも使われてるかも知れないって意味じゃない?論理的な誤りってなんなのかわからないんだけど、そこまで指摘するならちゃんと根拠があるのかな?説明して欲しいな。
それに、こういうのは記者の雑感だと思うから特に問題があるようには読めないんだけど?
当時はファイル名やオプション指定ではない文字列を、コマンド引数として与える発想が無かった。
echoコマンドすら知らん人かな?
remもそうだよね。
aptとかsvnとかでメジャーになったsubcommand方式って、LHAで発明されたもんでしょ。当時はファイル名やオプション指定ではない文字列を、コマンド引数として与える発想が無かった。
うわ馬鹿がいる
> うわ馬鹿がいる
せめてLHaより古い具体例を書いてくださいよ。
UNIX界隈では普通に使われてた。
MH で show next とかSCCS で sccs edit hoge.c とか
やってた気がする。ボケてきたので気のせいかもしれないけど。
じゃあLHarc
煽れば教えてもらえると思ってるんですねわかります
ホントに知ってるならそれを示す痕跡でも残していくんだけどなぁ。もしくは正解へのキッカケになるヒントを置いてくとか。
もし「ネットで探せば出てくる」とか「自分で調べろ」ってのがヒントで出されたら、まぁその程度で知ったか決めてたのかって思われてもしょうがないよね。
1. 安全ではない解凍ソフトが存在するから非推奨2. メジャーな解凍ソフトに脆弱性があるから非推奨3. メジャーな解凍ソフトの脆弱性が解決されたけど、それを役所が確認せず非推奨のまま放置4. セキュリティソフトが対応していないことがあるから非推奨
1ではないよな。それじゃ使えるアーカイブ形式なんて存在し得ない。
リンク先を読むと、2から3に遷移したような話なのかな?差し迫った実在の危険が有るわけではないけど、「こっちの役所が危ないと言ってるのに、こっちの役所は使えと言いよる」というツッコミ。あるいは、少なくともオリジナルのソフトについては直ってるけど、直ってないメジャーなソフトが多いから2のまま?
4は、セキュリティソフトのベンダーが悪いと言うことになるかな。どマイナーな形式にまで対応しろとは言わないけど、日本のお役所様が使うとおっしゃってるソフトぐらいには対応しやがれよ、と。…うわぁ、市場価値が小さそうなお仕事。
「企業等での使用は非推奨」と言ったのはUNLHA32.DLL作者(役所が追従して宣言したかまでは軽く調べただけでは確認取れませんでした)非推奨の理由は4及びその状況を改善しようと脆弱性情報のっけてとJVNに言ったが却下されたため(約10年前の時点で)現役のメジャーな解凍ソフトではほぼ脆弱性は修正対応されているのであとはセキュリティソフトが10年近く経過した今でも非対応だった場合に中身に危険なファイルがあっても圧縮ファイルを実際に展開するまで走査が正常にされない可能性がある添付ファイルをメールサーバー上でのみ走査して展開作業するPCはノーガードなんて場合は危険かもしれないと言う点が問題ですが役所から事業者に向けて入札用の書類ファイルをLHAで圧縮して送るからそれ開けるようにしといてねって話に対して具体的な問題としてどう絡むのかはよくわかんないです
「企業等での使用は非推奨」と言ったのはUNLHA32.DLL作者(役所が追従して宣言したかまでは軽く調べただけでは確認取れませんでした)
使用の非推奨はしていないけど、JVNがCERT/CCから提供された情報を公表している。http://jvn.jp/vu/JVNVU545953/ [jvn.jp]http://bakera.jp/ebi/topic/4161 [bakera.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
LHAがまだ使われている模様? (スコア:0)
「LZH形式対応の解凍ソフトが必要」とは書いてあるけど、「LHAがまだ使われている」なんてどこに書いてあるの?
解凍ソフト(ウイルス対策ソフト含む)のバグ・脆弱性の問題なので、解凍ソフトが改善されていれば使って問題ないんじゃないの?改善されているかどうかは知らんけど。
Re: (スコア:0)
要は改ざんされたヘッダがあると、ウィルス対策ソフトが書庫内のそのファイルorそれ以降の全ファイルを検査しない事があるってのが問題なわけだから、ウイルス対策ソフトが未対応かもしれないのに、安易に改ざんされたヘッダでも解凍できちゃうソフト使うのは不味いんじゃねーかと。
Re: (スコア:0)
書庫ファイル内がウィルスチェックされないのは暗号化ZIPも同じじゃね?
お役所でメールなんかでZIP使うときなんか暗号化ZIP使うだろうし、「書庫内ファイルがウィルスチェックされない」は脆弱性の理由としては違うような。
Re: (スコア:0)
実際に問題なのかどうかは別として、UNLHA32.DLLの作者は問題だって主張してるよ。
Re: (スコア:0)
同じこと考えてました。
他のコメントざっと見た感じでは、これを覆す話は無いように思います。
Re: (スコア:0)
リンク先ではちゃんとLZH形式になってるよ。いつものhylomクォリティ。単なる誤字ならまだしもこういう論理的な誤りもたびたびやらかすから本当にたちが悪い。
Re:LHAがまだ使われている模様? (スコア:1)
リンク先を見ると、
> 作者がセキュリティホール直したんだけど、IPAが、ちゃんと説明もせずに、セキュリティホールが直ったということを認めなくて、お役所から見捨てられた
とあるけど、どういう事?
あるお役所は、見捨てたけど、別のお役所は未だに使い続けているという事か。
LZHを使って良いかという事とは別に、サポートしているアーカイバはまだまだあるようですが。
Re: (スコア:0)
LZH形式といっても実装は色々あるから、オリジナルのLHAの作者だけが修正版を出しても解決するって問題でもなかろう
Re: (スコア:0)
ウィルス対策ソフトの検疫機能という非常に重要な実装が対応してくれないのが問題、って別コメントでわざわざ説明してくれている人がいるのに、わざと無視してボケを繰り返すような荒らしは相手しちゃダメだよ
Re: (スコア:0)
IPAは役所じゃないよ。独立行政法人なんて批判逃れの建前でほとんどお役所みたいなものだろというなら否定はしないが
Re:LHAがまだ使われている模様? (スコア:1)
今回は、意味が正反対になっていないだけまだマシでしょうw
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
また hyrom の余計な書き換えか
ちょっと Kazekiri、おたくの従業員なんとかしなさいよ
情報セキュリティ関係でこういうのはまずいよ
Re: (スコア:0)
headlessでも直してくれればよいんだけど、身内に気を遣って正しい事ができない感じ?
Re: (スコア:0)
> LHAがまだ使われている模様
「模様」ってのは推測を示すわけだから、LZH形式が採用されてるならLHAも使われてるかも知れないって意味じゃない?
論理的な誤りってなんなのかわからないんだけど、そこまで指摘するならちゃんと根拠があるのかな?説明して欲しいな。
それに、こういうのは記者の雑感だと思うから特に問題があるようには読めないんだけど?
Re: (スコア:0)
aptとかsvnとかでメジャーになったsubcommand方式って、LHAで発明されたもんでしょ。
当時はファイル名やオプション指定ではない文字列を、コマンド引数として与える発想が無かった。
Re:LHAがまだ使われている模様? (スコア:1)
当時はファイル名やオプション指定ではない文字列を、コマンド引数として与える発想が無かった。
echoコマンドすら知らん人かな?
Re: (スコア:0)
remもそうだよね。
Re: (スコア:0)
aptとかsvnとかでメジャーになったsubcommand方式って、LHAで発明されたもんでしょ。
当時はファイル名やオプション指定ではない文字列を、コマンド引数として与える発想が無かった。
うわ馬鹿がいる
Re: (スコア:0)
> うわ馬鹿がいる
せめてLHaより古い具体例を書いてくださいよ。
Re: (スコア:0)
UNIX界隈では普通に使われてた。
MH で show next とか
SCCS で sccs edit hoge.c とか
やってた気がする。
ボケてきたので気のせいかもしれないけど。
Re: (スコア:0)
> うわ馬鹿がいる
せめてLHaより古い具体例を書いてくださいよ。
じゃあLHarc
Re: (スコア:0)
煽れば教えてもらえると思ってるんですね
わかります
Re: (スコア:0)
ホントに知ってるならそれを示す痕跡でも残していくんだけどなぁ。
もしくは正解へのキッカケになるヒントを置いてくとか。
もし「ネットで探せば出てくる」とか「自分で調べろ」ってのがヒントで出されたら、まぁその程度で知ったか決めてたのかって思われてもしょうがないよね。
Re: (スコア:0)
1. 安全ではない解凍ソフトが存在するから非推奨
2. メジャーな解凍ソフトに脆弱性があるから非推奨
3. メジャーな解凍ソフトの脆弱性が解決されたけど、それを役所が確認せず非推奨のまま放置
4. セキュリティソフトが対応していないことがあるから非推奨
1ではないよな。それじゃ使えるアーカイブ形式なんて存在し得ない。
リンク先を読むと、2から3に遷移したような話なのかな?
差し迫った実在の危険が有るわけではないけど、「こっちの役所が危ないと言ってるのに、こっちの役所は使えと言いよる」というツッコミ。
あるいは、少なくともオリジナルのソフトについては直ってるけど、直ってないメジャーなソフトが多いから2のまま?
4は、セキュリティソフトのベンダーが悪いと言うことになるかな。
どマイナーな形式にまで対応しろとは言わないけど、日本のお役所様が使うとおっしゃってるソフトぐらいには対応しやがれよ、と。
…うわぁ、市場価値が小さそうなお仕事。
Re: (スコア:0)
「企業等での使用は非推奨」と言ったのはUNLHA32.DLL作者
(役所が追従して宣言したかまでは軽く調べただけでは確認取れませんでした)
非推奨の理由は4及びその状況を改善しようと脆弱性情報のっけてとJVNに言ったが却下されたため(約10年前の時点で)
現役のメジャーな解凍ソフトではほぼ脆弱性は修正対応されているので
あとはセキュリティソフトが10年近く経過した今でも非対応だった場合に
中身に危険なファイルがあっても圧縮ファイルを実際に展開するまで走査が正常にされない可能性がある
添付ファイルをメールサーバー上でのみ走査して展開作業するPCはノーガードなんて場合は危険かもしれない
と言う点が問題ですが
役所から事業者に向けて入札用の書類ファイルをLHAで圧縮して送るからそれ開けるようにしといてねって話に対して
具体的な問題としてどう絡むのかはよくわかんないです
Re: (スコア:0)
「企業等での使用は非推奨」と言ったのはUNLHA32.DLL作者
(役所が追従して宣言したかまでは軽く調べただけでは確認取れませんでした)
使用の非推奨はしていないけど、JVNがCERT/CCから提供された情報を公表している。
http://jvn.jp/vu/JVNVU545953/ [jvn.jp]
http://bakera.jp/ebi/topic/4161 [bakera.jp]