Lhaplusにバッファオーバーフロー脆弱性、修正バージョンリリース 62
ストーリー by Acanthopanax
対策はお早めに 部門より
対策はお早めに 部門より
あるAnonymous Coward 曰く、
JVNの脆弱性レポート「 Lhaplus におけるバッファオーバーフローの脆弱性」によると、国内で人気の高いアーカイブ展開ソフトとして知られる「Lhaplus」のバージョン 1.54 beta 1 およびそれ以前にバッファオーバーフロー脆弱性があり、悪意ある細工の施されたARJ形式のアーカイブファイルを開いたときに、任意コードの実行を許してしまう危険があるとのこと。この脆弱性を修正したバージョン 1.55 がリリースされているので、使用している方は、作者のサイトからダウンロードしてアップデートされたし。
連鎖 (スコア:1, 参考になる)
LHAって、正直言って日本ローカルなアーカイブ形式なんだけど、なんで今連続して発覚するんだろう?
- 最近になってどこかが一所懸命探索作業を始めた
- 実は大元はひとつのコードで、それのコピーのコピーのコピーの……コピーがあちこちで使われている
- 本当はもっと大元が原因で、LHAなんとかが使っているデータフォーマットそのものに攻撃を許す欠陥があった
- その他
さて、真相はいかに?JPCERTが突如成果主義になったとか(w
Re:連鎖 (スコア:4, 参考になる)
>
>1.最近になってどこかが一所懸命探索作業を始めた
正解。
>JPCERTが突如成果主義になったとか(w
(株)フォティーンフォティ技術研究所 鵜飼 裕司氏が片っ端から探しているように感じます。
作者のページの説明の謝辞に [biglobe.ne.jp]発見者として鵜飼 裕司氏の名前が出ています。
Winny対策ツールを500万円で売ってる会社の人か (スコア:1, 参考になる)
# 実績作りだろうけど、セキュリティ向上への貢献は評価できるな
Re:連鎖 (スコア:1, 参考になる)
>(株)フォティーンフォティ技術研究所 鵜飼 裕司氏が片っ端から探しているように感じます。
実際に探してました。 [fourteenforty.jp]
修正されたのが、7-zip32.dllとLhaplus [fourteenforty.jp]です。
ファイル圧縮展開ソフトに限れば、既知のものが他にも2本ほどあるようです。
こういうのってどうやって探すんだろ (スコア:1)
ひたすらディスアセンブルして追っかけて行くとか?
あるいはICEなどを使うものなのでしょうか?
とはいえやはり人力なわけですよね…・
自分が作ったプログラムだって、最適化の様子を見ようと思って
アセンブラソースで落として眺めてみても本当に当該個所
(速度的にボトルネックになりそうな場所)をながめるだけで
相当時間がかかるのに、満足なシンボル情報もなくマシンコードだけ
渡されてなんとかなるものなんだろうか…
ワンチップマイコンでプログラム組んでた時はハンドアセンブル&
ハンドディスアセンブルでなんとでもなったものなんですが、
現代的なプロセッサについてはもうお手上げです。
俺が年食ったせいでしょうか。
屍体メモ [windy.cx]
何でもいいから脆弱性を発見したい、というのなら (スコア:0)
# 膨大な種類の不正なクエリを自動生成して食わせるソフトなんかもあるし。
有名どころのソフトでも、機械で見つかる脆弱性が残ってるものはけっこうありそう(個人製作のものはとくに)。MSとかIBMとかの製品でさえ、検出ツール導入で脆弱性が減った(ということは、使ってなかったら穴が空いたままだったはず)という話があるくらいだから。
# ソースが手元にあるのとバイナリしかないのとでは効率が違うだろうし、時間とソフト代金を投資できる人しかできないけどね。
Re:連鎖 (スコア:2, 参考になる)
今回はアップデートを待ってからの脆弱性公開だったんですね。
いつもこうだと良いのですが。
Re:連鎖 (スコア:0)
「Lha」plusって名前だけを見た脊髄反射?
それはひょっとしてネタで(ry (スコア:0)
#今回の話題とは直接関係ない最近のニュースのことで~、とかいう言い訳はなしね。
Re:それはひょっとしてネタで(ry (スコア:0)
Re:連鎖 (スコア:0)
2. この手のソフトのルーチンはだいたい大元が決まっている。今回の場合だとunarjのコードが元のはず
3. 欠陥があったとしても処理するソフトウェア次第。これは他のフォーマットも同じ
4. はよく知らない
# 適当なのでAC
Re:連鎖 (スコア:0)
そういえば、Debianのlhaパッケージはnon-free、つまりオープンソースではない、ってことなんだけど、これはUNIX版だけ? オリジナルも非オープンソースなんですかね。
いまどき、非オープンソースだと選ばない理由の1つになっちゃうです。
Re:連鎖 (スコア:1, 参考になる)
条件が曖昧 [osdn.jp]ということなんで、非フリー扱いするしかないのかと。
差分アップデート (スコア:1, 参考になる)
LhaplusUpdater_15x_to_155.exe
っていうのがあって最初何かと思った。
このexeにアイコン設定されてないし、ダウンロード失敗してるのかと思ってもう一度落とし直したりした。
サイトにはそのまま実行すればいいと書いてあったからとりあえず実行してみたら、
(ここから推測だけど)レジストリの内容を読んでLhaplusの場所を特定し、アップデートするファイルだったのね。
てっきり最新バージョンのexeが自己解凍になってるだけかと思った。
64bit版 (スコア:1)
64bit版のVistaなんていれるんじゃなかった・・・ とほほ
zipでええやん (スコア:0)
zipに統一しとけば、わざわざ他のソフト頼らんでもすむ。
Re:zipでええやん (スコア:2, 参考になる)
2000までは LZH が常識だったのに
かく言うぼく自信も、必要に迫られるまでLHA解凍ソフト入れなくなっちゃったし
個人的には、tar.gz にも対応している eo [vector.co.jp]が好きなんですが、こいつは大丈夫なのかな???
Re:zipでええやん (スコア:1, 参考になる)
「圧縮(LZH 形式)フォルダ」をWindows XPの追加機能として 2005/4/28 より提供開始 [microsoft.com]
Re:zipでええやん (スコア:1, すばらしい洞察)
Re:zipでええやん (スコア:1)
MicrosoftがLZH解凍機能提供してたんだぁ
前コメは #1223107 さんのおっしゃるとおりなんですが、
この機能は知らなかったので情報感謝(^^)です
Re:zipでええやん (スコア:0)
それはどこのローカルコミュニティの話ですか?
1995年にJavaがjarにZIPを採用した時点で ZIPが主流に確定していましたよ。
Re:zipでええやん (スコア:1, すばらしい洞察)
当時、日本のファイル配布でVectorと並ぶくらいのコミュニティやサイトで
LZHが主流じゃない所があったら教えて欲しい
もちろんWindows文化圏でだよ?
Re:zipでええやん (スコア:0)
それはどこのローカルコミュニティの話ですか?
Re:zipでええやん (スコア:0)
Re:zipでええやん (スコア:0)
XPのテキストファイルアイコンを見るとトロイに見えるのと同様、怪しいファイルの代名詞化した。
Re:zipでええやん (スコア:2, 参考になる)
http://www.csdinc.co.jp/archiver/lib/unarj32.html [csdinc.co.jp]
より引用:
Re:zipでええやん (スコア:1)
Windows以外では楽。
Re:zipでええやん (スコア:0)
Linuxではこんなの [lkml.org]出てましたね
Re:zipでええやん (スコア:1, おもしろおかしい)
という定番ボケはもう通じないですかね
Re:zipでええやん (スコア:0)
他人に渡す時はZIPだけど受け取る形式がZIPとは限らないし、
たまにテキストにエンコードしたくなる時もあるので便利です。
Re:zipでええやん (スコア:0)
Re:zipでええやん (スコア:0)
でかいファイルやネット経由での送り渡しのときzipだとはまるよ。
Re:zipでええやん (スコア:0)
数ギガ程度でしくじったことないから、テラオーダー?
Re:zipでええやん (スコア:0)
粗悪な途中経路だと結構簡単に破綻します、尤もこれはzipに限った話ではありませんが。
最近は解凍ソフト(というかライブラリ?)が
進化してきて多少のエラーが出ても無視して可能な限り他のファイルは解凍できるものが
多くなってきているので多少マシにはなっていますが
再送や環境を見直すというのは言うのは簡単ですが、状況によってはそれが
許されない場合も多々あるでしょう
Re:zipでええやん (スコア:0)
本末転倒 (スコア:0)
Re:zipでええやん (スコア:0)
RecoveryRecordがついていると信頼性が低いメディアでデータが持ち込まれたときなどにも
結構復元できるので可能な限りrarを選択して(もらって)ます
ウチの会社ではWindowsXPはファイル検索が使い物にならなくなるので圧縮フォルダは
納入後即時OFFです、尤もそれでもWindowsXPのファイル検索は使い物になりませんが
別スレでLHAは日本ローカルと書かれていましたが、日本初ではあるものの結構海外にも広まりましたよね
完全に同一かはわかりませんがAWORDのBIOSがlh5で圧縮されていましたし
Re:zipでええやん (スコア:1)
解凍時に(C)19xx Yoshiなんて出ていました。
よーし、パパDGCA使っちゃうぞー (スコア:0)
#昔(FD大活躍の時代)は何でもCABで最大圧縮してました
#その後の流れで圧縮率のよいもの+レジストリを使わないもの+αでDGCAを知って使い続けてます
RRと分割が使えるのが便利 (スコア:0)
また、分割出来るので、これもまた非常に重宝しています。
ただ、シェアウェアである(伸張だけなら一応フリー)、互換性が低い(本家でないと最新のDllでも伸張出来ないetc)、
そのため、自己解凍形式(exe)を使う機会が多くセキュリティ的に宜しくない、といった難点?もありますが・・・。
※Windowsのネイティブコマンド(またはLhaplus)を使って、分割する事って出来ます?
結合は出来るのに分割出来ないので、専用ソフトは別途必要で相当不便なのですが・・・
Re:zipでええやん (スコア:0)
lha は壊れる箇所まで普通に読めるし、そのまま復旧せずに捨てて良いかの判断もつけやすい。
とかいいながらもう lha は殆ど使ってないけれど
Re:zipでええやん (スコア:0)
Re:zipでええやん (スコア:0)
3回ぐらい送りなおして、zipじゃ結局無理だと思った。
Re:zipでええやん (スコア:0)
Re:zipでええやん (スコア:0)
Re:zipでええやん (スコア:0)
Re:zipでええやん (スコア:0)
展開ツールが対応してなければ、ツールが勝手にライブラリを探しに行くし。
便利な世の中になったもんだ。
Re:zipでええやん (スコア:0)
Re:zipでええやん (スコア:0)
わざわざ展開ツール使ってた自分が馬鹿みたいだ。
しかし、 (スコア:0)