PNGライブラリにバッファオーバーフローの脆弱性 48
ストーリー by GetSet
盆休みの前にパッチ当て 部門より
盆休みの前にパッチ当て 部門より
kohei曰く、"CNET Japanの記事によると、PNGのライブラリ(libPNG)にバッファオーバーフローの脆弱性が発見された模様。
この問題の影響を受ける可能性が高いのは、Mac OS X上のAppleMail、Windows上のOperaおよびIE、それにSolaris上のMozillaおよびNetscapeだそうですが、当然Linux上のMozilla、Netscapeも含まれるようです。
最近はGIF画像を悪用したものが、掲示板上をにぎわしていますが、PNG画像を利用したものも出てくるのでしょうか?ともかく、1.2.6rc1のパッチがありますので、心配な人は早めにパッチを当てましょう。"
乗っ取れるのはLinuxだけ…? (スコア:2, 興味深い)
記事の最初の方に「侵入者がLinuxコンピュータを乗っ取ったり、Windows PCやOS Xが動作するMacに攻撃を仕掛けたりするおそれがある。」
と書いてあるんだけどlibPNG通してOSを乗っ取れる可能性はあるとして、
乗っ取れるのがLinuxだけと限定してしまうのはどうかなと。
天琉陳(Teruching)
Re:乗っ取れるのはLinuxだけ…? (スコア:1)
あ、でも最近は知識の足りない初心者が Linux 使うことも増えている [itmedia.co.jp]みたいだから、そうも言ってられないのかな。
一般ユーザを作らず、ずっと root で使っている人も増えてるみたいだし……。
Re:乗っ取れるのはLinuxだけ…? (スコア:0)
出典はあります?
knoppix なんかでも root login じゃないんですけど。。。
とりあえず RedHat でサーバ立ててみましたーな人たちはそりゃ危ない
かもしれないけど、最近増えてるのは Live
Re:乗っ取れるのはLinuxだけ…? (スコア:3, 興味深い)
Linuxを扱う講義を行っているのですが 毎年20人に1~2人くらいは rootで作業をしたがる人がいますねぇ. きちんと rootと一般ユーザの違いについては説明しているつもりなんですが.
『つまり, Linuxユーザが急増している(とも思えないんだけど)とするならば そのうちの10%近くが一般ユーザを使わずrootで作業していると考えることが出来るんだよ!』と MMRのキバヤシさん風に叫んでもいいのですが, さすがにサンプルが少ないので あれですな:-p
でも 実際にLinuxを使いはじめたばかりの人たちと接する機会のある立場としては そういう人も少なくないかなぁというのが感想です.
もーちっときちんとしたデータがあったら僕もみたいです.
Re:乗っ取れるのはLinuxだけ…? (スコア:1)
Re:乗っ取れるのはLinuxだけ…? (スコア:0)
するようにならないと root で作業する気持ち悪さって
分からないのかも。
Re:乗っ取れるのはLinuxだけ…? (スコア:1)
確かにApacheとか走らせて ユーザapache とかを感じてくれたらなんとなくわかってもらえるかもしれません.
僕なんかの世代だと ホントにマルチユーザで使ってましたからねぇ. 他のユーザの環境とかが同じマシンにあったりすると ユーザの切り分けが必要ってのがわかってくるとは思うんですが.
今では PC-UNiXと言われるだけあってpersonalな使い方の方が多いでしょうが, 結局一人で使っちゃうと自分が使うアカウントが二つあるって意識しかないんでしょうねぇ.
Re:乗っ取れるのはLinuxだけ…? (スコア:1)
> 出典はあります?
残念ながら、特に出典はなく、ちょっと前に one-one さんが書いたみたいな、まわりの雰囲気みたいなものです。
まあ、1台の機械にユーザアカウントをたくさん作って共有していたころと、ひとり1台になった最近とでは、root の人を見かける頻度が違うといえば違うんですが。共有していたころは、他の人が使わない時間にこっそりと root の人が作業してたり……。
Re:乗っ取れるのはLinuxだけ…? (スコア:0)
利便性を優先しての結果なのでしょうけど。
デスクトップOSとしてのLinuxの普及を目指すうえでは、セキュリティが高いという売りと利便性等との両立が…ってオフトピすいません。
Re:乗っ取れるのはLinuxだけ…? (スコア:0)
??
あー、パスワードさえわかっていればwheelグループに所属している必要なくsuできるってこと?
Re:乗っ取れるのはLinuxだけ…? (スコア:1)
最近のLinux distributionで defaultでwheel を使ってるようなものってあまりないかもしれません.
Re:乗っ取れるのはLinuxだけ…? (スコア:1)
GNUのsuのデフォルトは確かにそうだけど、それを言ったら、他のLinuxディストリだって。
そうじゃなくて、Lindowsの場合は、
デフォルトで使うユーザ=root [srad.jp]という事です。
WindowsXP Home とかと同じ感じですね。
今のLindowsでもそうかどうかは知らないけど。
Re:乗っ取れるのはLinuxだけ…? (スコア:0, 荒らし)
Unix系実装(Linux)だと、
・ユーザの種類は、全権管理者/一般の2種類
Re:乗っ取れるのはLinuxだけ…? (スコア:2, 参考になる)
たくさんあっても、結局Administratorsしか使われないという哀しい現実。
ただ必ずしも全部が全部、Microsoftのせいというわけでもないでしょう。いま勤め先でインストールを強要されているセキュリティシステムは、Administrator権限を要求します。まったく、セキュリティを高めてるんだか、おとしてるんだか。まあ、本来は専門の部署に一切の管理をまかせているようなところで使われるものなんでしょうけれども。
一方でSUSE Linuxなどは、デフォルトでインストールしてrootでログインしようものなら、強烈な壁紙が表示されます。誰が見ても、危ないことをしているのだと理解できることでしょう。
Re:乗っ取れるのはLinuxだけ…? (スコア:2, 参考になる)
でもWindows Xpだとインストール時に作らされたユーザって、PowerUserだかAdministratorsだかになったような記憶があるのですが。記憶違い?これらだと、結構いじれちゃいますよね。
Security Enhanced Linuxとか、UNIXでもRole Based Access Control(RBAC)とかAccess Control List(ACL)とかあります。すべてのUNIXがこの機能を備えているかどうかは知りませんが。
# 1ユーザは1つのグループ、ってのは他の人が書いているので略。
Re:乗っ取れるのはLinuxだけ…? (スコア:1, 参考になる)
/etc/group ってファイルをご存知ですか?
UNIX でも一人のユーザーが複数のグループに属することができます。
ファイルの ACL(Access Control List) 設定とゴッチャにしてませんか?
(ACL を使うとファイルの書き込み/読み出し権限を任意のユーザーに対して設定可能)
Re:乗っ取れるのはLinuxだけ…? (スコア:1)
LinuxマンセーMS叩きでないとダメデスカね。
複数グループ所属の件は思い違いだけど、GuestやPowerUser
など、それなりに使えば有効だと思うがムシですか。
っていうか、こういう狂信的に「自分たちが絶対唯一正義」的な流れが/.Jに増えてきてるのが残念。
Re:乗っ取れるのはLinuxだけ…? (スコア:0)
えっ、複数のグループに所属できます...よね。
Re:乗っ取れるのはLinuxだけ…? (スコア:0)
root取られるのもやですが、生活環境として使っているコンピュータの
$HOME 以下をいろいろされるってのは、システムのっとられるってのと
ほぼ同じだと私は思うのですが、どうでしょう。
# /bin/rm -fr $HOME/{,.}* とかやられたら、生きていけない....
Re:乗っ取れるのはLinuxだけ…? (スコア:1)
Re:乗っ取れるのはLinuxだけ…? (スコア:0)
。
Re:乗っ取れるのはLinuxだけ…? (スコア:0)
いつも同じデータしか置いてあるわけでもあるまい?
Re:乗っ取れるのはLinuxだけ…? (スコア:0)
Re:乗っ取れるのはLinuxだけ…? (スコア:0, 興味深い)
Re:乗っ取れるのはLinuxだけ…? (スコア:0)
本家でも (スコア:2, 参考になる)
XP SP2以降だと問題ないとか、次の数週間に正式バージョンの安全なlibpngが出るだろうとかいろいろ言ってますね。
/.configure;oddmake;oddmake install
Re:本家でも (スコア:1)
PNGまわりをいじるのだったら透過PNGにも対応させてやってください!!
って思ってる人も少なくないでしょうね:-p
Re:本家でも (スコア:1)
> って思ってる人も少なくないでしょうね:-p
激しくそう思うのですが……。なんでlibpng使ってるのに透過PNGはだめなんだか……。
Re:本家でも (スコア:2, 参考になる)
えと、もちろんαチャンネルを使っているやつの事ですが。
で、IE5.5以上なら、こんな手 [minc.ne.jp]で表示させられることも知ってはいるんですが…。imgタグのみでといいう事で…。
Re:本家でも (スコア:1)
<div style="width:320;height:240;filter:progid:DXImageTransform.Microsoft.AlphaImageLoader(src='hogehoge.png');"/></div>
と、お手軽にやっちゃいましたけど。
でも、これだとネスケやオペラが駄目なので、javaスクリプトでIEだけこれで表示させて、他はimgタグ使ってました。orz
/* Kachou Utumi
I'm Not Rich... */
Re:本家でも (スコア:1)
背景が単一色ならば、その「背景色」と画像との合成は libpng がやってくれますが、任意の「背景画像」と画像とを合成する機能は libpng にはありませんので、自前で合成する必要があります。その辺の都合で手抜きしているんでしょうね。たぶん。
FreeBSD (スコア:2, 参考になる)
w3mの時代ですね (スコア:1)
『米国コンピューター緊急事態対応チーム』(US-CERT)が警告を発表した。
その内容は、グラフィカルなブラウザーが使用する技術には「重大な脆弱性」が
存在するため、IEやMozillaのユーザーはテキストベースのウェブブラウザーに
乗り換えることを強く勧めるというものだ。
Re:w3mの時代ですね (スコア:2)
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:w3mの時代ですね (スコア:1, 参考になる)
Re:w3mの時代ですね (スコア:1)
ウェブデザイナー向けの本で lynx と linux がごっちゃになってたのを思い出しちゃいました………
挙げ句の果てにLinuxにはテキストブラウザしかないから云々とか書かれていたりして 『もう勝手にしてくれ』って感じ.
でも 最近のw3mは画像も表示するので テキストブラウザと言ってしまっていいものか:-p
Re:w3mの時代ですね (スコア:1)
@media tty {
}
な CSS に対応してほしいです :-)
# 何ができるのかよく知らないけど
Debianでも (スコア:1)
LAN内LAN稼働中
前の脆弱性とは違うのね (スコア:1)
なんか 『libpngのupdateしなくちゃ』という気持にデジャヴみたいのを感じたんですが, これ [mitre.org]が5月の頭頃だったせいですな.
こっちは applicationをクラッシュさせることが出来るって感じだったんですが 今度のはより強烈になっていると.
png1.0系は? (スコア:1)
Epsonのプリンタドライバがpng1.0.xのライブラリ(libpng.so.2)を要求しているんですが, これには影響無いかな? png1.2とpng1.0ではバイナリAPIの互換性が無いので, そのまま置き換えるわけにもいかないので.
Re:png1.0系は? (スコア:2, 参考になる)
ストーリー中から1.2.6rc1でリンクされてるページにも載ってますが。
セキュリティホールmemoの情報 (スコア:1, 参考になる)
ttp://scary.beasts.org/misc/pngtest_bad.png
[注意]Mozillaとkonquerorではcrashするそうで,昨日FireFox 0.9 for OS/2で確認しました(^^;
Re:セキュリティホールmemoの情報 (スコア:0)
「あれ?昨日libpngをapt-getしたよな?」
と思ったのですが、ImageMagickのidentifyでは、
~/tmp$ identify pngtest_bad.png
identify: Missing an image file name.
と正常に(?)pngファイルとして認識されませんでした。で、
~/tmp$ ldd `which mozilla`
not a dynamic executable
ということで、Mozillaはスタティックリンクしているので、
本体そのものを
Re:セキュリティホールmemoの情報 (スコア:0)
やってみよう。
MacOSXのアップデート出ました。 (スコア:1)
libpngのアップデートです。
同時に10.3.5のアップデートが引っかかったのですが、このSecurityUpdate
が含まれているのかどうかは不明。
Windows上の (スコア:0, 興味深い)
Re:Windows上の (スコア:3, 参考になる)
Re:Windows上の (スコア:1)
7.2には出来ればベストな形で出てきて欲しいけど、これ以上お預けを食らうのもつらいなぁ。