パスワードを忘れた? アカウント作成
3144 story

IEのGopher処理にバッファオーバーフロー脆弱性 27

ストーリー by yourCat
久しぶりにGopherの名を聞いた 部門より

k3c曰く、 "BugTraqへの投稿によれば、IEにおいてGopherサーバからの応答を処理する部分にバッファオーバーフローの脆弱性があり、ファイルの読み書き削除、プログラムのアップロードや実行、何でもできてしまうとのこと。IE5.5や6を含む複数のバージョンで脆弱性があることを確認しているそうだ。対策としてはGopherプロキシサーバーに無効なサーバーとポート (投稿ではlocalhostのポート1が推奨されている) を設定する。マイクロソフトには5月20日に通報済みだがパッチはまだない。報告者のOnlne Solutionsではテスト用にGopherサーバへのリンクを掲示しているので不安なヒトは試してみると良いかも。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • IEでのある応答をするGopherサーバへのリンクを開いてしまうと、やられ放題になるって事でしょうか。
  • こうも頻繁にセキュリティホールのネタが出ると
    また出たかぁと何とも思わなくなってしまいました。
    M$の作戦?
    --
    AMIGA4000T(60/50)使い
  • by Anonymous Coward on 2002年06月05日 21時51分 (#103104)
    その昔、京大のGopherサーバに接続して・・・、なんてことを思い出してしまいました。

    ここの記事 [impress.co.jp]によると、
    > セキュリティーホールそのものは「伝統的、自明」なもの
    だそうで、利用頻度がめっぽう少なくなったなんて単純な理由で、メンテナンスを忘れていた、もしくは開発のプライオリティが最低ランクに、というのは邪推でしょうか?

    仮にそうだとしたら、「面倒みる気がないんだったら、余分な機能はつけるなよ~」とか言ってみたいですね。
  • by k3c (4386) on 2002年06月12日 16時20分 (#106802) ホームページ 日記
    マイクロソフトからSecurity Bulletin [microsoft.com]が公開されています。
    パッチはまだ公開されていませんが、Microsoft ISA Server 2000とMicrosoft Proxy Server 2.0も同じ脆弱性を持つことと、それぞれの回避策が提示されています。
  • by Anonymous Coward on 2002年06月05日 16時58分 (#102948)
    Gopherってなに? ってヒトがおおそう。
    • Re:今日だと (スコア:2, 興味深い)

      by unsignedint (7810) on 2002年06月05日 17時39分 (#102964) ホームページ 日記
      非常に懐かしい響きですね。
      テキストベースなネット環境だったころはよく使いました。

      #余談ですがGopherとはGo farを意味するとか(笑)
      今じゃあんまり「遠く」には行けそうにないですが。

      ちなみに知らない人のために説明しておくと
      Gopherとは'91年ミネソタ大学で開発されたもので、情報はツリー構造のメニューに分類してあるような構造のシステムです。

      今は一般的でないにせよ、多分特定分野ではまだ使われているんだろうなぁ。(ちなみに数年前のWeather undergroundの専用クライアントは実はGopherクライアントでした)
      親コメント
      • Re:今日だと (スコア:2, 興味深い)

        by zeissmania (3689) on 2002年06月05日 18時39分 (#103014)
        >今は一般的でないにせよ
        NT4 Serverで、IISを起動すると自動的にGopherも起動しちゃうんですよ。Ftpとかもね。
        手動で停止掛けるんだけど、知らぬ間にゾンビのように復活してきます。
        #2kとかXPではどうか知りませんが。
        そういう訳で、知らぬ間にGopher Serverを立ててる所は多いんじゃないかと。
        親コメント
        • by take0m (4948) on 2002年06月05日 18時44分 (#103018) 日記
          > 手動で停止掛けるんだけど、知らぬ間にゾンビのように復活してきます。

          設定を自動で起動にして、わざわざ手動で停止させているということでしょうか???
          親コメント
          • by nekopon (1483) on 2002年06月05日 18時50分 (#103024) 日記

            そうじゃなくて、パッチとかインストールしてるといつのまにか自動起動になってる、 ってことじゃないでしょうか(よくあることです)。

            親コメント
          • by zeissmania (3689) on 2002年06月05日 18時56分 (#103027)
            GopherやFtpサービスは、停止(起動しない)設定にしておくんですが、ほらIISって1週間に1回はリブートしなきゃならんでしょ?で、リブートすると勝手に自動起動の設定に書き換えられてしまうんです。
            Proxyのサービスだけ使いたいと思っても、IISのWeb, Gopher, Ftpが全部起動してしまいます。
            #Proxyだけ使いたいと思っても、Web止めるとProxyまで止まっちゃうし。
            親コメント
            • IIS インストールするときに、Gpphar サービスや ftp サービスを入れなきゃ良いと思うんですが、そういうことではないんですか?

              少なくともウチのイントラサーバの IIS には Gopher のサービスは入れてないので、パッチ当てようが何しようが、Gopher のたちあがりようがないです。

              親コメント
              • by zeissmania (3689) on 2002年06月05日 20時56分 (#103082)
                GopherとかをインストールしないでIISがちゃんと動くのなら、それでいいんでしょうけど、普通は推奨オプションでインストールするから入れちゃうでしょう。
                IISが動いていたマシンの管理を、私が直接やってたわけじゃないので、標準インストール状態以外のことは試したことないんです。
                #管理してた人は、そういうこと(余分なサービスが勝手に走り回ってること)を全然気にしてなかったし。
                親コメント
              • 最近だとこーゆーの [microsoft.com]があるけど、メッセージ英語だからいやだ、とかって人が未だに周囲に多くて頭痛いです。
                ちなみに、私は手許にIISを動かせる環境がないので、試してません。もしこれでダメなら、既存のIISのgopher止めるには、手でサービス止めるしかないんでしょうね。
                親コメント
              • >既存のIISのgopher止めるには、手でサービス止めるしかないんでしょうね
                いやだから、手で止めてるのに、いつの間にか復活してしまうんで (^^;;;;;
                なので、これで設定しても、勝手に設定が自動起動に戻るんじゃ?
                親コメント
            • by Anonymous Coward
              >ほらIISって1週間に1回はリブートしなきゃならんでしょ?

              そうなの?初めて聞いた。
      • by visha (779) on 2002年06月05日 17時56分 (#102977) 日記
        余談ですがGopherとはGo farを意味するとか(笑)

        文字通りだと、ジネズミ(地面に穴を掘って棲むネズミ)という意味になります。なんで、当時は「ジネズミの巣のようにあちらこちらにつながってる」イメージなんだと思ってました

        # Web(クモの巣)がネットワークモデルの視覚的なイメージなのに対して、こっちは機能的なイメージなのかな、と。

        親コメント
      • Re:今日だと (スコア:1, 興味深い)

        by Anonymous Coward on 2002年06月05日 22時18分 (#103123)
        最初に触ったコンテンツ提供系でした。
        1994年頃、タイ大学のGopher serverからいっこfileを転送するのに数時間掛かったりしたことを懐かしく思い出します。
        http普及前夜anonymous ftp全盛の頃、大変新鮮なものでした。

        懐旧ついでに調べてみたら、現在gopher+の最新versionが3.0.5ですか。まだメンテナンスが続けられているのですね。
        親コメント
      • by Anonymous Coward
        Windows95発売時のMSのドキュメントにはまだサポート情報先URLにGopherサイトも併記されてたなー。確か。
        • by g_maeda (6110) on 2002年06月05日 18時36分 (#103012)
          IISも3.0ではGopherサーバを動かすことができましたね、そういえば。しかしIEがGopherに対応していることを今日初めて知りました。

          # なんか虫垂炎になった気分。
          親コメント
      • by Anonymous Coward
        「go-far」は、DeleGate の前身の名前ではなかったかな?
    • by Anonymous Coward
      ゴーファーの野望
typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...