アカウント名:
パスワード:
https://forest.watch.impress.co.jp/article/2004/07/30/arcsecurity.html [impress.co.jp]
残念、そこは我々が27年前に通った道だ。http://phrack.org/issues/34/5.html#article [phrack.org]
#仕様が原因だから仕方がない面もある
PDFにも任意コマンドを実行できる仕様とかあるけどそれはもう仕様のほうが時代に合っていないから曲げざるを得ない
関連リンクに無いけど、スラドでも記事になってたのなそれ。
多くの解凍ソフトに指定外の場所に解凍してしまう脆弱性 [srad.jp]
どうみても同じネタだよなぁ。中の人が世代交代して脆弱性も繰り返されるのか(しみじみ
解凍に限らず、どこの誰が指定したのやら分からないパス名を扱うソフトを書くときは、よくよく注意して実装した上、ちゃんとテストしないと駄目な定番のポイントだよね。
△ どこの誰が指定したのやら分からないパス名を扱う○ どこの誰が指定したのやら分からない入力を扱う
△ どこの誰が指定したのやら分からない入力を扱う◯ 入力を扱う
セキュリティ界隈がイマイチ反応が鈍いと思ってら同じ鉄を踏んだだけだったのかw
近代言語向けに再実装した過程で再度出現したのは面白い事例だな横の情報共有は多いけど、縦の情報共有が薄いという証拠になりそう
だって例えば tar 何てわざわざ警告出すって言うか、デフォルトで勝手にパスを書き換えるくらい解凍するときのパスでやらかした人は多いですから
他の人も言ってますが飽きてるんですよ
# tar: Removing leading `/' from member names
tar 何て
×同じ鉄○同じ轍
アメリカ大陸はコロンブスが発見するまで存在しなかったんだ。OK?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
そこは我々が14年前に通った道だ (スコア:1)
https://forest.watch.impress.co.jp/article/2004/07/30/arcsecurity.html [impress.co.jp]
Re:そこは我々が14年前に通った道だ (スコア:1)
残念、そこは我々が27年前に通った道だ。
http://phrack.org/issues/34/5.html#article [phrack.org]
#仕様が原因だから仕方がない面もある
Re: (スコア:0)
PDFにも任意コマンドを実行できる仕様とかあるけどそれはもう仕様のほうが時代に合っていないから曲げざるを得ない
Re: (スコア:0)
関連リンクに無いけど、スラドでも記事になってたのなそれ。
多くの解凍ソフトに指定外の場所に解凍してしまう脆弱性 [srad.jp]
どうみても同じネタだよなぁ。中の人が世代交代して脆弱性も繰り返されるのか(しみじみ
Re: (スコア:0)
解凍に限らず、どこの誰が指定したのやら分からないパス名を扱うソフトを書くときは、よくよく注意して実装した上、ちゃんとテストしないと駄目な定番のポイントだよね。
Re: (スコア:0)
△ どこの誰が指定したのやら分からないパス名を扱う
○ どこの誰が指定したのやら分からない入力を扱う
Re:そこは我々が14年前に通った道だ (スコア:2)
△ どこの誰が指定したのやら分からない入力を扱う
◯ 入力を扱う
Re: (スコア:0)
セキュリティ界隈がイマイチ反応が鈍いと思ってら
同じ鉄を踏んだだけだったのかw
近代言語向けに再実装した過程で再度出現したのは面白い事例だな
横の情報共有は多いけど、縦の情報共有が薄いという証拠になりそう
Re: (スコア:0)
だって例えば tar 何てわざわざ警告出すって言うか、デフォルトで勝手にパスを書き換えるくらい解凍するときのパスでやらかした人は多いですから
他の人も言ってますが飽きてるんですよ
# tar: Removing leading `/' from member names
Re: (スコア:0)
tar 何て
Re: (スコア:0)
×同じ鉄
○同じ轍
Re: (スコア:0)
アメリカ大陸はコロンブスが発見するまで存在しなかったんだ。OK?