パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

さまざまなソフトウェアでのアーカイブファイル展開処理に脆弱性、任意コードの実行を許す可能性」記事へのコメント

  • by Anonymous Coward

    ディレクトリトラバーサルにしろ同フォルダのDLLを読ませる機能にしろ便利な機能を脆弱性扱いして無条件に禁止するのはやめて欲しい。オプションで有効化できれば規定値は無効で良いが。

    • by Anonymous Coward

      ディレクトリトラバーサルにしろ同フォルダのDLLを読ませる機能にしろ便利な機能を脆弱性扱いして無条件に禁止するのはやめて欲しい。オプションで有効化できれば規定値は無効で良いが。

      いやいや今回のは
      LZH時代でも脆弱性扱いされてた
      懐かしのネタだから

      実装する人も代替わりして久しく
      歴史は繰り返されるというだけの話

      管理権限無いと書き込めないディレクトリがある分
      危険度は当時よりもわずかに軽いかも

      • by Anonymous Coward

        元コメはきっと「..」で親ディレクトリが辿れる機能がけしからん、禁止だ、って方向には行って欲しくないなぁ、って意味だよ。
        「..」とか余計な機能作んなよ、という理不尽で的外れな怒りは自分も覚えがある。

        簡易ウェブサーバみたいなのを作ってて、リクエストされた対象が、公開対象として指定したディレクトリから
        はみ出してるときには確実に蹴れるようなチェックってどうやったら完璧に出来るんだよ、と悩みつつ。

        「..」を含むリクエストを邪悪なリクエストとして蹴れば良いのか、「/」が複数続いてるとルートになるんだっけ、とか色々考えた挙げ句、
        ファイルのパスを作り上げてから、公開対象がその祖先になってるか調べる方法に落ち着いた。

        • シンボリックリンクはどうしました?
          参考 [github.io]

          • by Anonymous Coward

            面倒くさかったので諦めた。それはファイルを置くときに気を付ければ済むことなので。

            極論すると、「公開ディレクトリの下にヤバいとこへのリンクを置いたり、ヤバいものをマウントしたりしない」ってのは、
            「公開ディレクトリの下に重要なファイルを置かない」というポリシーに含まれるし。

            シンボリックリンクとマウントと、その他、調べてないけど、他にもあるならそれらも含めて、今、考えられるあらゆることに対応しておけば、
            今後作られるどんなOSや環境でも大丈夫、という保証もないし。
            Windowsでいつの間にやら増えたVirtualStore機能みたいに、何か新たな仕組みがいつの間にやら増えるかも知れないし。

            一部だけ対応して安心なつもりになっちゃうのも危ないかな、とかあれこれ自分に言い訳をして。

            • by Ryo.F (3896) on 2018年06月12日 0時45分 (#3423489) 日記

              面倒くさかったので諦めた。それはファイルを置くときに気を付ければ済むことなので。

              そのノウハウは重要だし、なんらかドキュメント化されるべきものだと思うな。

              親コメント
              • by Anonymous Coward

                うん。どこかのセキュリティの専門の機関が、現状ではこれだけ気を付ければOK、
                と太鼓判を押すようなガイドラインを公開してアップデートし続けておいて欲しい。

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...