パスワードを忘れた? アカウント作成
226672 story
セキュリティ

UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける 215

ストーリー by hylom
日本ローカル規格は無視ですか? 部門より
Claybirdの日記 曰く、

Unlha32.dllの開発が停止された。バグ対応などは当面続けられる模様だが、UNLHA32.DLLの開発者であるMicco氏のWebサイト上で、LZH(LHA)形式の使用中止が呼びかけられているratbetaさんの日記)。

今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。

Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、

「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止することに決めました。 脆弱性が存在しても放っておかれるような書庫が いつまでも業務目的で利用されるのは嫌ですので。

(中略)

おそらく, 海の向こうでネタに上るか大きな事件でも発生しない限り対応されることはないでしょうから, (特に団体・企業内で) LZH 書庫を使うのは止めましょう。 まぁ, ZIP 書庫ですら 3 年以上経ってから海外でネタに上ったくらいなので, LZH 書庫も あと 10 年ほどしたら海外でネタに上るかもしれません。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by mhe03222 (6917) on 2010年06月06日 19時14分 (#1775558)

    ここが受理してれば対応はされたはず…ということですかね。

    • by Claybird (25526) on 2010年06月06日 20時19分 (#1775573) ホームページ 日記
      アンチウィルスの脆弱性として扱われれば、メーカー各社は必死に修正するでしょう。

      この騒動で一番重要な事は、「LZH終了のお知らせ」ではなく、アンチウィルスソフトウェアの脆弱性が放置されている点にあります。

      海外のCVEはともかく、日本のIPAはLZH形式を知らないはずが無いわけです。日本国内でのLZHファイルの流通量についても知っている(少なくとも調査は容易に行える)はずなので、影響範囲は小さくないとすぐに分かったはずです。
      さらに、他形式における対応(アンチウィルスの脆弱性として受理)を考えれば、IPAがアンチウィルスの脆弱性を受理しない事の方が不思議です。

      なぜ脆弱性情報が受理されなかったのか、今後はそちらの方が問題になるのではないかと思います。
      親コメント
      • > アンチウィルスの脆弱性として扱われれば、メーカー各社は必死に修正するでしょう。

        LHA形式の圧縮/復元ユーティリティを大手中の大手マイクロソフトも配布してはいますけども、たいていの配布元は個人です。
        マイクロソフトはWIndows XPの頃に配布していたようですが、WIndows7対応とかServer製品でのサポートってしてるのかは知りません。
        また、LHAユーティリティは窓の杜やベクターを通じて入手するケースが多いのでしょうけどそういうところにIPAは働きかけするんでしたっけね?
        それに流通はほぼ日本が中心。海外ではLHA形式単体はマイナーなんですよね?
        IPAとしては、多数の個人のソフトウェア開発配布元を人手の足りないIPA自身でコントロールしようと試みるのは荷が重いと判断した,
        その結果不受理による切り捨てという顛末なのではないだろうか?
        LHA形式を切り捨ててもzipもgzipもbz2も7zipも代替手段としてあるわけで、この辺のユーティリティソフトウェアは日本のIPAが真っ先に主導権
        をとらなくても残りの世界中で誰かがイニシアティブを発揮してコントロールしてもらえることがわかりきっているわけですし。
        親コメント
        • 何か勘違いをなさっているような気が。

          LHA書庫を扱う際、
          1.大きなヘッダによるバッファオーバーフロー
          2.バッファオーバーフロー回避の結果起こる検疫通過
          の2つの脆弱性があり、バッファオーバーフローについては、CVE-2004-0234 [mitre.org] 等で既に脆弱性として扱われています。

          私が問題と言っているのは、検疫通過の方です。これはアンチウィルス限定の脆弱性であり、一般の解凍ソフトでは問題になりません。
          検疫通過はアンチウィルス製品メーカー以外では対応できないので、一般の解凍ソフト作者への働きかけは関係無い話です。

          親コメント
          • これって、アンチウィルス製品メーカの対策って2つありますよね?

            1.LHA書庫を全て検閲する(どんなヘッダであっても、無視せずに解凍して中身をチェックする)
            2.LHA書庫を"対応書庫ファイルから外す"
            # 「きちんと検閲する」or「そもそも検閲しない」

            いくつかのアンチウィルス製品メーカのサイトを探してみましたが、具体的にどの圧縮形式に対応しているかわかりませんでした。
            ので、そこをつまびらかにすれば、「LHAの中身は探さないんだ=やばいかも」とユーザにわかるようになる気が。
            # それこそ超マイナーな圧縮形式には対応してらんないでしょうし。

            問題の本質は一見LHA書庫の中身も検閲しているように見えるけれども、すり抜けているってところですよね。
            何を調べて、何を調べていないのか、きちんと明示しなきゃいかん、みたいな風潮になると良いなあ:-P

            親コメント
        • マイクロソフトはWIndows XPの頃に配布していたようですが、WIndows7対応とかServer製品でのサポートってしてるのかは知りません。

          Windows Server 2008 R2 や Windows 7 は LHA 圧縮形式の "解凍" に標準で対応しています。

          http://ja.wikipedia.org/wiki/LHA [wikipedia.org]

          詳細はこのあたりをどうぞ。

          親コメント
    • by Anonymous Coward on 2010年06月06日 22時04分 (#1775602)
      寂しいですね。マイナーとはいえ、日本発のものが消えていくのは・・・
      親コメント
  • by marute (13883) on 2010年06月07日 15時51分 (#1775969) 日記

    「LZH 書庫のヘッダー処理における脆弱性について 」 [nsknet.or.jp]への対応を、私が利用しているキュリティソフトベンダのカスタマサポートに投げてみた。
    これでとりあえず(すくなくとも私に対しては)「未知の脆弱性」が「既知の脆弱性」になったわけだ。

  • 不受理の理由 (スコア:5, 参考になる)

    by Anonymous Coward on 2010年06月07日 19時29分 (#1776139)

    JPCERTが受理しなかったのには、理由があったそうです。

    ソースはこの辺:

    http://twitter.com/hasegawayosuke/status/15614339358 [twitter.com]
    > UnLHAがIPAで不受理だという件、
    > http://www2.nsknet.or.jp/~micco/incidents/2010/inci1006.htm#i20100602 [nsknet.or.jp]
    > を見る限り制度の理解不足による誤解でしかない。

    http://twitter.com/hasegawayosuke/status/15614795535 [twitter.com]
    > そもそも現行のIPAの制度ではアンチウイルスで未検出については対象外なので
    > 不受理だろう(経産省告示第235号)。
    > http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf [meti.go.jp]
    > ZIP,Cab,7zのJVNVU#545953はCERT-FI経由の情報を掲載しているだけ。

    http://twitter.com/hasegawayosuke/status/15614841340 [twitter.com]
    > LZH内のファイルがアンチウイルスで検出できない、というのにCVE番号欲し
    > いなら英語でbugtraqにでも投げればいい。その際、LZH形式がどれだけ日本
    > でメジャーなのかをきちんと伝えること。

    • by fcp (32783) on 2010年06月07日 22時25分 (#1776236) ホームページ 日記

      http://twitter.com/hasegawayosuke/status/15614795535
      > そもそも現行のIPAの制度ではアンチウイルスで未検出については対象外なので
      > 不受理だろう(経産省告示第235号)。
      > http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf [meti.go.jp]

      これ本当でしょうか?

      参照されている告示によれば、「脆弱性関連情報」には「脆弱性情報」すなわち

      脆弱性の性質及び特徴を示す情報。 (告示 II 2 (1))

      を含むとされており、「脆弱性」とは

      ソフトウエア等において、コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所。 (後略) (告示 II 1)

      のことです。

      そもそもこれだけでは「ウイルス対策ソフトが○○というウイルスを検出しない」というのが脆弱性関連情報 [ipa.go.jp]に該当するかしないか僕には明らかでありません。さらに、仮にウイルス対策ソフトが個別のウイルスを検出しない問題が告示で言う「脆弱性」に該当しないとしても、本件は個別のウイルスの話ではなく、「ウイルス対策ソフトが LZH 形式アーカイブの中まで検索すると謳っているのに、細工された LZH 形式アーカイブの中を検索しない場合がある」という問題です。告示に書かれた基準に照らして本件が脆弱性関連情報に該当しないと論ずるロジックは僕には理解できません。

      これとは別に、 CVE 番号を振ってもらうためには英語で bugtraq に投稿する方が効果的じゃないの、という指摘は、実態を知りませんがそういうものかもと思います。

      親コメント
  • by s02222 (20350) on 2010年06月07日 13時56分 (#1775884)
    今回のは登場する書庫が全て「LHA書庫の仕様を満たす」ので、「一部のウィルスチェッカに内容をチェックされないLHA書庫を、LHA書庫の使用を満たす範囲で作る事が出来る」というウィルスチェッカ側の問題になっていますが、一般論として、仕様を満たさないのを含めると話がよりややこしくなりますね。

    素通りが生じる組み合わせとして、

    ・あるウィルスチェッカは、厳密に仕様に準拠した書庫ファイルしかチェックしない
    ・どこかの誰かが作った親切な解凍ツールは、仕様に準拠しないちょっと壊れた書庫ファイルも頑張って解凍してくれる

    とかもあり得ます。例えば、「展開後のチェックサム」を含む形式の書庫の扱いで、「チェックサムが合わないから書庫が不正」と判断して一切展開を行わないのか、「チェックサムが合わないけど展開は出来た」のでユーザの利便性のためにファイルは残しておいてユーザの判断にゆだねるのかの食い違いとか。前者が責められるのは酷なので、この場合は後者に脆弱性有りとされるんでしょうね。

    その手のアーカイバが「チェックサムが合わなかったから、ファイルは壊れているよ」と警告を出す事例も見たことがある気がしますが、 「ウィルスチェックされていない危険性があります」という意味も含意してしまうとまでは考えが及んでいませんでした。 まあ、大手のウィルスチェッカなら、その解凍されたファイルがディスクに書き込まれる段階でもチェックはしてくれるんでしょうけど。
  • 仮に、社内システムとかでLHA書庫を使わないということにしても、ゲートウェイを
    細工されたLHA書庫ファイルが通過することには変わりないんだから、
    拡散するのが少なくなるにしても、完全に防ぎきることはできない。
    だから、やはりセキュリテソフト側の対応は必要。
    IPAが仕事しないなら、自分のところで使っているセキュリティソフトが対応してるのか
    どうか、個別に問い合わせるしかないな。
    • LHAのファイルだけ先にヘッダ情報が適切かどうかを調べるといいのかな。

      とか書いても、わたしゃそんなんようせんねんけど(in OSAKA SLANG)

      親コメント
    • でも、パスワードで保護された書庫は、おそらく現状どのアンチウイルスソフトでも中をチェックしてくれないですよね。(BitDefenderでは多分そう)
      暗号化を自動解除というのも、そう簡単にはいかないでしょうし。

      「アンチウイルスソフトが様々な書庫形式に対応する」だけではなく、「書庫展開ツールが、取り出したファイルに対してウイルスチェックを行う(APIを呼ぶ)」という対処も必要なんじゃないかと思います。
      (展開ツール側にセキュリティホールがあると手遅れなので、こちらのみというわけにはいかないですが)

      親コメント
  • マイナーな分野で脆弱性を持ったマイナーなソフトを流行らせる→その脆弱性をついたウィルスを作る

    当然、例えば俺が作ったオレオレソフトウェアの脆弱性まで対応していられないのは明らかだし、そういうことがあるのは分かりきっていたことだけど、
    LHA程度のマイナーさでもこれが通用するのなら、それなりの脅威になりうるのでは?

    --
    1を聞いて0を知れ!
  • 普通の企業なら (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2010年06月07日 13時47分 (#1775876)

    パスワードのかかるzip形式が義務なんじゃないですかね。
    ここ数年で義務化された企業が殆どだと思う。
    全社共通パスワードとか、プロジェクト共通パスワードとかだから、
    どの程度意味があるのかは疑問だけどね。

    さらに言えば、パスワード付きzipの強度が、業務に耐えうるかというと。

  • by iwakuralain (33086) on 2010年06月07日 14時47分 (#1775922)

    LZHとかじゃなかったでしたっけ?
    あれを全部zip化しなおすということになるんでしょうか。

  • by Anonymous Coward on 2010年06月07日 12時59分 (#1775818)

    JPCERTが受付しないとMicco氏が開発やめるという
    このお話のロジックがよくわからんです。

    • by JULY (38066) on 2010年06月07日 13時33分 (#1775859)
      • LZH 形式は国際的に見るとマイナー。
      • 故に、アンチウィルスソフトが真面目に対応してくれないことがある。
      • 実際、問題があるケースがあるんで、Micco 氏としては、きちんと直して欲しいと思っている。
      • なぜなら、きちんと対応してもらわないと、LZH 形式がマルウェアの入れ物として使われることになる。UnLHA をメンテナンスをする者として、自分の子供が悪の片棒担いでいる、という状況は許しがたい(と思っているだろうという、私の勝手な想像)。
      • だから、IPA に報告しているんだけど、受理してもらえない。
      • IPA に受理してもらえない状況で、アンチウィルスソフトの各メーカーが自主的に対処してもらえる可能性が低い(実際、対応は進んでいない)。
      • 故に、利用の中止を呼びかけることにした。
      • 利用中止を呼びかけているのに、開発を続けるのは矛盾するので(というか、自分で利用中止を呼びかけているソフトウェアに対して、開発を継続するモチベーションを維持する、というのは、ちょっと考えられない)、開発も中止する。
      • でも、バグは使っている人に迷惑をかけることになるから、バグの修正だけは続ける。

      という感じかなぁ。

      親コメント
    • by t-wata (10969) on 2010年06月07日 13時36分 (#1775863) 日記
      JPCERTが受理しないと、アンチウイルスが対応してくれないので、ユーザーが危険にさらされます。
      だから、開発をやめてユーザーに使わないように呼びかける、という話になっているのだと思いますよ。
      親コメント
  • ありゃあ。

    #とは読めないよな
  • by Anonymous Coward on 2010年06月07日 13時45分 (#1775872)
    1. バッファオーバーフローの脆弱性に対処済のアーカイバを使う
    2. 書庫を解凍してからウイルス検査する (普通解凍時に検出されるだろうけど)
    3. 解凍せずに書庫の中を閲覧しない

    といったところですかね。
    まあアンチウイルスソフトが対策してくれれば一番いいんですが。

  • ASUS の BIOS (スコア:1, 参考になる)

    by Anonymous Coward on 2010年06月07日 14時44分 (#1775920)
    ASUS のマザーボード (私のは M2N-E だけど) の BIOS は、LHa で圧縮されています。

    % unzip 1703.zip
    Archive:  1703.zip
      inflating: 1703.BIN
    % file 1703.BIN
    1703.BIN: LHa (2.x) archive data [lh5]
    % lha x 1703.BIN
    m2n-sli.BIN    - Melted   :  oooooooooooooooo

    (ユーザが 1703.BIN を解凍する必要はないけど)

  • そもそもの話として IPA にとって、ウイルス対策ソフトメーカーにとって、
    書庫を扱うソフト作成者にとっての脆弱性ってなんなんでしょうね?
    あえてここの部分を触れずに話が進んでいるような気がするんですけど。

    まあ安全方向に考えて使うのをやめるべきだという話は構わないと思いますが、
    既にいろんなサイトで配布されている書庫 (特に今回の件が本当に問題だと
    仮定すると通常書庫はともかくとして自己解凍書庫は更にタチが悪いわけで…) の
    扱いをユーザーがどうするかですよねぇ。ウイルス対策ソフトが悪いと言うのなら
    まだユーザーが別のメーカーのものに入れ替えるといった対策が取れますが…

    # 以下オフトピ。
    # 基本的にセキュリティ対策ソフトは何が出来て何が出来ないかをちゃんと把握した
    # 上で使うべきものだよねぇ。クライアントにインストールするタイプなら最悪
    # 解凍後にチェックがかかるし。書庫を扱うソフト自体の機能を使ってオンメモリで
    # プレビューするような事をしないで解凍のみを行う分にはファイルになる時点で
    # チェックされればあまり問題ないわけで。それに比べてゲートウエイ型は
    # ある程度フィルタリングしてくれるぐらいの感覚で使ってないと怖いのは私だけ?
    # 「仕様」としてチェック出来る書庫のサイズ制限があるものもあったし、
    # そもそも暗号化したファイルなんかはチェックをすり抜ける場合もあるだろうし。
    # メーカーの宣伝を鵜呑みにして「これだけあれば安全」なんて思うようじゃ
    # 人間という究極の脆弱性に負けた (笑) だけの話にも思えるわけで。

    ## いやぁ、実際に前に勤めていた会社では ISP の提供するゲートウエイ型の
    ## ウイルス対策しかしなくてクライアントには何も入れてなかった (社長曰く
    ## 「金がもったいない」) 。他社とデータのやり取りをする事があったんだけど
    ## その際に「ある独自の暗号化をするソフトを用い、自己解凍形式にして mail に
    ## 添付して送る」という方法でやれと社長が説明してきた。受けるのも同じ。
    ## 当然ながら mail には電子署名 1 つつけてなかったりするとか…
    ## とはいえ mail でいきなり自己解凍ファイルが来てそれをローカルのウイルス対策
    ## ソフトを入れていない PC で実行なんてあまりにも怖い。なので社長に「万が一
    ## ウイルスだったらどうするんですか? ゲートウエイではチェック出来ないだろうし
    ## ローカルでもチェック出来ませんよ?」と言ったらなんと「だったら今ここで
    ## 実行してみろ。それでウイルスが起動したらお前の言ってる事が正しいと認めて
    ## やるがそうじゃなければ今まで通りで問題ない。今まで問題になった事なんて
    ## ないんだ。」と反論してきたのにはまいった。一応会社の業務内容に
    ## 「サーバー構築」なんて書いてる会社なのに大丈夫なのかねぇ…
    ## もちろんそれから 1 ヶ月もせずにその会社を辞めましたけど :-)

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...