パスワードを忘れた? アカウント作成
21409 story
ソフトウェア

圧縮・展開ルーチンに脆弱性、bzip2など相次ぎリリース 34

ストーリー by nabeshin
抜け道はあるもの 部門より

iida 曰く、

フィンランドのOulu University Secure Programming Groupが、各種アーカイブファイルを扱うソフトウェアに脆弱性を発見、公表した。対象は多岐に渡り、いわゆるアーカイバのほか、アンチウイルス、状態を維持するタイプのファイアウォール、バックアップ、オフィス、OSやライブラリなども含まれる。

7-Zipbzip2DebianF-SecureFreeBSDGentoo、RARLAB、SUSEなどが、新版をリリースしたり、アドバイザリ情報を公表したりしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • タレコミにあるCERTの文章によると、対象は

    the archive formats ACE, ARJ, BZ2, CAB, GZ, LHA, RAR, TAR, ZIP and ZOO.
    だそうで、本当にこれだけ対象が広いとすると解消されるまでには大きく時間がかかるでしょう。
    中にはZOOなんて懐かしいものも含まれていますし…ってメンテナは居るのだろうか。
    • by Anonymous Coward
      GentooでもDebianでも無いディストリビューションの人は、どうやって
      対応したらいいんですかい?

      使ってて、該当してる圧縮形式のモジュールを全部ダウンロードしてき
      て、コンパイル入れればいいのですかね?どのライブラリに影響がある
      とか判らんですよ。
      • by Anonymous Coward
        yum update

        # え? debian 系以外は、全てredhat 系だと思い込んでますが?違う?
  • by Anonymous Coward on 2008年03月19日 13時10分 (#1315776)
    圧縮・展開モノの脆弱性てぽろぽろ発見される印象がありますね。。

    旬をすぎました(?) が、、、、ここは是非 djb [cr.yp.to] 氏に djbzip2 でも作ってほしいところ。
    • Re:なんとなく、 (スコア:4, おもしろおかしい)

      by Another_View (29838) on 2008年03月19日 14時52分 (#1315854) ホームページ 日記
      djbzip(フロントエンド)、djbzip-comp(圧縮本体)、djbzip-decomp(展開本体)、djbzip-list(ファイル一覧取得)、djbzip-add(ファイル追加)、djbzip-del(ファイル削除)等々の多数のバイナリで構成されることになります。
      親コメント
      • by Anonymous Coward
        でも共通アーカイバ風に圧縮解凍系だけ djb-arch-comp/decompとかに分離できたら djb-archive コマンド(他)で全部OKとかなると便利かもねぇ。

        # gzipはあってもbzip2がないとかpaxがないとかモノによってあるんで。
        ## モデした人なのでACで
  • 勝ち組 (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2008年03月19日 17時13分 (#1315925)
    安全とか言ってたLinuxでもこのざま、いつも安全なMac最強
    • Re:勝ち組 (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2008年03月19日 17時40分 (#1315953)
      ああ、あれは勝ち勝ち鳥が鳴いているのさ。このへんは勝ち勝ち山だからね。
      ん?今度はボウボウという音がする?
      なあに、それはボウボウ鳥が鳴いているだけだよ、心配いらない。
      親コメント
    • by Anonymous Coward
      アップルがこんな宣伝してるから、仕方ない面もあるが。
      http://www.apple.com/jp/getamac/viruses.html [apple.com]

      OSXには数々のオープンソースソフトが組み込まれているので、Macだけは
      いつも安全なんて口が裂けてもいえません。

      最近は、MacもインテルCPUで動いてたりするから、バイナリコードは動い
      ちゃうでしょうしね。
      • by Anonymous Coward
        あなたにたりないのは、ネタを見抜く眼力と
        スルー力。
        • by Anonymous Coward
          足りないのは、ウィットに富んだコメントを返す
          ユーモアと思われ。
          • Re:勝ち組 (スコア:1, おもしろおかしい)

            by Anonymous Coward on 2008年03月20日 15時59分 (#1316456)
            >ウィットに富んだコメント

            ウィットが飛んだコメントなのですよ
            親コメント
  • by keepiru (34886) on 2008年03月19日 20時02分 (#1316039) 日記

    のリンク先の SA は 2007-07-02 付けなんですけど、そっれてどいいう意味が?

  • どんな脆弱性? (スコア:0, すばらしい洞察)

    by Anonymous Coward on 2008年03月19日 11時44分 (#1315723)
    脆弱性の種類ぐらい書いてくれよ。せめて編集車がどにかしろよ。

    で、バッファオーバーフローってことで合ってる?
    • by Anonymous Coward on 2008年03月19日 12時41分 (#1315757)
      ヘッダの最初のほうだけまともで後のほうが無茶苦茶なデータを食わせるテスト(fuzzing)してみたら,
      いろんなソフトがcore dump吐いて死んだぜ!

      多分それってセキュリティホールだよね。という報告かと。。。

      なので,一概にバッファオーバーフローのみとは限らない。けど。。。
      http://security.freebsd.org/advisories/FreeBSD-SA-07:05.libarchive.asc
      なんかにあるように,実際にバッファサイズのチェックしてなかったよ!っていう報告が上がっているわけで。

      まぁ,ヘッダの最初のほうだけしっかりチェックして,だんだん後になるにつれて。手抜き傾向にあるってことでしょうね。操作ミスで変なデータを食わせられただけならそれで十分機能しますし。

      #職場から昼飯くいながらなのでA.C.
      親コメント
      • by akira_t_t (31146) on 2008年03月19日 23時26分 (#1316142) ホームページ
        元ACです、誤解を招く書き方でごめんなさい。
        >いろんなソフトがcore dump吐いて死んだぜ!
        >多分それってセキュリティホールだよね。という報告かと。。。

        異常動作したから、セキュリティホールの可能性があると思って、調査して各ベンダに報告したよ~って所ですね

        Vendor Information
        って一覧表の「Vulnerable」欄に「yes」ってあれば脆弱性が確認されていて、(無限ループでDoSったり、バッファオーバーフローしたり)
        「Fixed version or URL」になんか書いて有れば修正済み。

        Not Vulnerableって書いてあるやつは心配はいらない。(純粋にcore吐くだけで無害)
        Unknownは確認してないってことでしょう。
        親コメント
      • by cljack (22418) on 2008年03月19日 14時33分 (#1315837)
        > ヘッダの最初のほうだけまともで後のほうが無茶苦茶なデータを食わせるテスト(fuzzing)してみたら,
        > いろんなソフトがcore dump吐いて死んだぜ!
        > 多分それってセキュリティホールだよね。
        coreを吐く = セキュリティホール
        ではないでしょう.
        coreを吐いたということはOSの保護機能が働いた証拠ともいえるし.

        もちろん,保護機能が働かない程度にゴニョゴニョしたり,
        setuidだったりネットワークアプリケーションだったりする場合は
        セキュリティホールになる可能性は高いでしょうが.
        親コメント
        • Re:どんな脆弱性? (スコア:2, すばらしい洞察)

          by Anonymous Coward on 2008年03月19日 14時46分 (#1315846)
          可能性として
          ウェブアプリでサーバサイドでアーカイブの展開処理を組み込んでた場合には
          攻撃者としてはウェブサーバごと落としてサービス拒否させることが可能だから
          コアダンプを吐くような状態は脆弱性だと思うのですが…
          親コメント
          • by Youyu Minazuki (4297) on 2008年03月19日 15時33分 (#1315879)
            展開の外部プログラムを呼び出す訳だから、ウェブサーバは落ちないと思うんだけど・・・
            親コメント
            • ウェブサーバデーモンは落ちないけどウェブサーバは落ちるって文脈じゃないの?

              落ちるってのもカーネルパニックとかではなくてDoS食らってるってことだと思うよ。
              --
              旅に出ます.(バグを)探さないで下さい.
              親コメント
            • by Anonymous Coward
              ちゃんと原文を読んでないのでアレですけど、展開ルーチンに問題があったんじゃなくて
              bzip2からさらに外部のプログラムを呼ぶとこがあってそこに脆弱性があるって話しなんですか?
              元コメントはたとえばapache httpdにmod_hogehogeって自作モジュールを組み込んでそのなかで
              アーカイブの展開ルーチンを呼び出してて件のファイルを処理したら、
              動作形態によりますがスレッドベースなら落ちませんか?
              • by Youyu Minazuki (4297) on 2008年03月19日 16時59分 (#1315920)
                苦手な英語をさらに斜め読みなので間違っていたらもうしわけないのですが、「いろんな製品にいけないもの食べさせたらみんなおなか壊しちゃった」といった感じにみえました。

                特に単体のプログラムを限定しているわけではないようなので、サーバに組み込むタイプなら落ちるかもしれないですね。
                でも、そこまでテストしてるのかな?
                親コメント
              • by Anonymous Coward
                自分の場合ですけど、ぶっちゃけgzipとかbzip2みたいなどこでも使われてるようなものなら
                最新のバージョンのものでセキュリティアドバイザリがでてなければなにもかんがえずに
                最新版のtarball拾ってきて組み込んじゃいますね。。。
              • by Anonymous Coward
                >でも、そこまでテストしてるのかな?

                もともと、

                > coreを吐く = セキュリティホール
                > ではないでしょう.

                というコメントに対して
                ライブラリとして組み込まれることを考えればcoreを吐く異常終了も脆弱性でしょって話をしているだけなので
                実際にウェブアプリに組み込んでテストした、していないは関係ないでしょ。
      • by Anonymous Coward
        それを言い出してしまうと、画像ファイルのヘッダだけ正確で中身出鱈目でCoreするぜとか、動画
        ファイルでも…以下略 とか、色々なところに適用できてしまいそうですね。

        どのような脆弱性が出てくるのかというのはソフト(またはソフトが使っているライブラリ)に依存する所が多いので、チェックには時間かかるでしょう。
    • by 127.0.0.1 (33105) on 2008年03月19日 11時54分 (#1315730) 日記
      ストーリーにあるフィンランドのCERTのページでは以下のように書かれています。

      >The impact from vulnerabilities identified as part of this research, can potentially
      >expose Denial-of-Service (DoS) and/or buffer overflow conditions. In some cases, it may
      >even be possible for an attacker to execute code on the affected system.

      親コメント
      • by Anonymous Coward
        意訳して「想定外の脆弱性」って訳したらだめ?

        想定の範囲内のってどんなのだよ
        • by Anonymous Coward
          >想定の範囲内のってどんなのだよ
          仕様として定義されている動作のうち、脆弱性と見えることもある動作
        • by Anonymous Coward

          >想定の範囲内のってどんなのだよ

          利便性(ユーザビリティ)とトレードオフで犠牲になっているセキュリティは、想定出来る脆弱性じゃないですかね。

          たとえばWeb上のサービスによくあるパスワードを忘れた時の秘密の質問なんてものは
          セキュリティ的な観点ではわざと抜け道を作っているわけで、想定内の脆弱性と言えます。
  • by Anonymous Coward on 2008年03月19日 12時17分 (#1315746)
    7-zipも12月の更新でfixされたことになってるし、タイミングがバラバラですけど、近々更新されるのでしょうね
  • by Anonymous Coward on 2008年03月19日 13時43分 (#1315802)
    最近7-Zipのサイトで日本語を含め英語以外の全ての言語のページが見れなかったのはこれが関係しているんですかね
  • by Anonymous Coward on 2008年03月20日 1時19分 (#1316219)
    bzip2 の 1.0.5 ですが libbz2.so.1.0.4 が出来る
    ようなんだが、これでええのかね?
    1.0.5 への修正洩れ?
typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...