アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
2.xシリーズはどうなんでしょ。 (スコア:1)
Re:2.xシリーズはどうなんでしょ。 (スコア:2, 参考になる)
Red Hatのエンジニアは
This issue does appear to affect RHEL2.1 after all.
と言って、2.2.xも何かを修正しているようです。
Re:2.xシリーズはどうなんでしょ。 (スコア:1, 参考になる)
アーカイブの中に
samba-2.2.12-CAN-2004-0882.patch (4kByte)
samba-2.2.12-CAN-2004-0930.patch (9kByte)
の二つのパッチが入っていました。
それぞれCAN-2004-0882 [samba.org]と
CAN-2004-0930 [samba.org]
に対する対策のようです。
Debianはパッチ無し?SJISは大丈夫? (スコア:2, 参考になる)
CAN-2004-0882のパッチの内容を読んだところ、samba.org提供の3.0.7用のパッチ [samba.org]相当の
変更と、「SMB_ROUNDUP」に関するパッチでした。
RedHat側は、「2.2.12にも3.0.7相当のバッファオーバーフローが発生する」としているように見えます。
対してDebianですが、2.2系のsambaを使っているWoodyに対しては、対応の必要無し [debian.org]としているようです。
Stefan Esser氏の情報 [e-matters.de]によると、SMB_QUERY_FILE_NAME_INFOとSMB_QUERY_FILE_ALL_INFOへの返答にunicodeが含まれるときにオーバーフローがおこる、としています。
通信路上でのunicode対応は3.0での新機能 [atmarkit.co.jp]であることから、
2.2系では問題ない、ということのようです。
ここで心配なのが、samba日本語版のSJISを用いたマルチバイト文字転送時に同様の問題がおこらないか、ということです。
samba日本語版の最新版は、2.2.11-ja-1.0のようですが、現在落せないようです。2.2.10-ja-1.2で、すこしコードを追ってみます。
日本sambaユーザ会のMLに入っていないので、そちらの方で議論になっているかわからないのですが、なにか情報ありましたらフォローよろしくお願いします。
Re:Debianはパッチ無し?SJISは大丈夫? (スコア:1)
以前の脆弱性対応(CAN-2004-0600 and CAN-2004-0686)について音沙汰がありません。
#他のパッケージなんかについてはそれなりな対応をしているのですが、なぜかsambaだけは放置なのかな?
>RedHat側は、「2.2.12にも3.0.7相当のバッファオーバーフローが発生する」としているように見えます。
興味があります。どこでその発言をしているか教えてもらえませんか?
>日本sambaユーザ会のMLに入っていないので、そちらの方で議論になっているかわからないのですが、なにか情報ありましたらフォローよろしくお願いします。
急にサーバ移転(というか…もごもご)の影響を受けて、web の更新もままならぬ状況のためか、ML も静かなもんです。
-tech は殆ど流量ないですねぇ。
Re:Debianはパッチ無し?SJISは大丈夫? (スコア:0)
いや、発言じゃなくて、samba-2.2.12-CAN-2004-0882.patch内で、
max_data_bytesのサイズでメモリを確保にいく際のマージンが1024から
DIR_ENTRY_SAFETY_MARGIN=(4096)にするという、3.0.7用パッチと
同様のことをやっている、という意味です。
それ以上の話では無いです。
単にRedHatの中の人が用心深いだけ、ならばいいのですが...
# とりあえず、ソース読み、今日はギブアップです。
# 非asciiな1byteな文字をunicodeに変換してbyte数が増える為に