パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

さまざまなソフトウェアでのアーカイブファイル展開処理に脆弱性、任意コードの実行を許す可能性」記事へのコメント

  • by Anonymous Coward

    ディレクトリトラバーサルにしろ同フォルダのDLLを読ませる機能にしろ便利な機能を脆弱性扱いして無条件に禁止するのはやめて欲しい。オプションで有効化できれば規定値は無効で良いが。

    • by Anonymous Coward

      ディレクトリトラバーサルにしろ同フォルダのDLLを読ませる機能にしろ便利な機能を脆弱性扱いして無条件に禁止するのはやめて欲しい。オプションで有効化できれば規定値は無効で良いが。

      いやいや今回のは
      LZH時代でも脆弱性扱いされてた
      懐かしのネタだから

      実装する人も代替わりして久しく
      歴史は繰り返されるというだけの話

      管理権限無いと書き込めないディレクトリがある分
      危険度は当時よりもわずかに軽いかも

      • by Anonymous Coward

        元コメはきっと「..」で親ディレクトリが辿れる機能がけしからん、禁止だ、って方向には行って欲しくないなぁ、って意味だよ。
        「..」とか余計な機能作んなよ、という理不尽で的外れな怒りは自分も覚えがある。

        簡易ウェブサーバみたいなのを作ってて、リクエストされた対象が、公開対象として指定したディレクトリから
        はみ出してるときには確実に蹴れるようなチェックってどうやったら完璧に出来るんだよ、と悩みつつ。

        「..」を含むリクエストを邪悪なリクエストとして蹴れば良いのか、「/」が複数続いてるとルートになるんだっけ、とか色々考えた挙げ句、
        ファイルのパスを作り上げてから、公開対象がその祖先になってるか調べる方法に落ち着いた。

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...