アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
どんな脆弱性? (スコア:0, すばらしい洞察)
で、バッファオーバーフローってことで合ってる?
Re: (スコア:3, 参考になる)
いろんなソフトがcore dump吐いて死んだぜ!
多分それってセキュリティホールだよね。という報告かと。。。
なので,一概にバッファオーバーフローのみとは限らない。けど。。。
http://security.freebsd.org/advisories/FreeBSD-SA-07:05.libarchive.asc
なんかにあるように,実際にバッファサイズのチェックしてなかったよ!っていう報告が上がっているわけで。
まぁ,ヘッダの最初のほうだけしっかりチェックして,だんだん後になるにつれて。手抜き傾向にあるってことでしょうね。操作ミスで変なデータを食わせられただけならそれで十分機能しますし。
#職場から昼飯くいながらなのでA.C.
Re:どんな脆弱性? (スコア:2, 参考になる)
>いろんなソフトがcore dump吐いて死んだぜ!
>多分それってセキュリティホールだよね。という報告かと。。。
異常動作したから、セキュリティホールの可能性があると思って、調査して各ベンダに報告したよ~って所ですね
Vendor Information
って一覧表の「Vulnerable」欄に「yes」ってあれば脆弱性が確認されていて、(無限ループでDoSったり、バッファオーバーフローしたり)
「Fixed version or URL」になんか書いて有れば修正済み。
Not Vulnerableって書いてあるやつは心配はいらない。(純粋にcore吐くだけで無害)
Unknownは確認してないってことでしょう。