zlib大丈夫か (151レス)
上下前次1-新
1(2): MSおまえもか? 02/03/16 00:06 AAS
zlibやってくれたよな〜。
opensshバージョンアップしたとたんにリコンパイルかよ。
MSにまで広がってるのってなんでや?
あいつら密かにオープンソース売ってるんか?
52: 02/03/17 18:23 AAS
>>51
はいはいそうですよ。読解け。
53: 02/03/19 01:05 AAS
>> 29
それなりに大雑把にいきたいなら apt教
に入信するとよろし、開発側の体制がしっかり
しているなら、他人まかせにできるな
54(2): 02/03/19 04:54 AAS
kernel内部の libzとかは大丈夫なんでしょうか? >>お前ら
free(3) は大丈夫でも free(9) で商店とかありませんか?
いや、sourceをちっとも見ないでいってるんですけど。
55: 02/03/19 10:28 AAS
>>54
今回の問題の根本はdouble freeという現象であって、意図的に加工された
.gzファイルを展開しようとしたときに意図しないコードが実行する可能性
がある、というもの。
従って、カーネルのように信頼できるものを展開する際にはセキュリティ上
の問題になることはないはず。例外として発信元不明な謎のカーネル(また
はモジュール)をコンパイルしてインストールすればセキュリティホールを
突くこともできるが、そんな面倒なことをやるくらいならそのカーネルか
モジュールのソースそのものに穴を用意すればいいだけのことだし、何より
も信頼できないソースを利用すること自身が既に問題。
56(1): 02/03/19 11:14 AAS
>54
通信のデータとかをカーネル内部で圧縮していたら?
57: 02/03/19 11:39 AAS
>>56
Linux だと drivers/net/zlib.c があって ppp がこれつかってるな。
2.4.19-pre* のどっかで修正されたようだ。
悪意のある ppp server/client がいるとヤバイか?
あと fliesystem 方面にも入ってる。信頼できない fs image を
loopback で mount したりするとヤバイかもね。
58: 02/03/19 18:13 AAS
FreeBSD と OpenBSD はパッチでたね。
59: 02/03/19 19:36 AAS
XFree86-4.2.0も出てまっせ。
60(3): kcrt [nh] 02/03/19 21:22 AAS
MSはコード公開しる!
・・・あ、汚いWind*wsのコードとか見せられると使う気なくすなぁ
61(1): 02/03/19 21:44 AAS
>>60
ソースが汚ないってよく言うけど、具体的にはどんなの?
≒読み難い(eg. qmail)ってことでいいんでしょうか。
62: 02/03/19 21:48 AAS
>>60はつねにきれいなコードを書く神あるいはしろうと。
63: kcrt=60 [nh] 02/03/19 21:53 AAS
汚い=MFCのコード。なんか、あれ構造おかしくない?
64: 02/03/19 22:25 AAS
MFC は別になんとも思わなかったが...
俺が鈍感なだけ?
65: 02/03/19 23:17 AAS
MFCは問題ないんでない?
66: login:Penguin 02/03/20 00:02 AAS
MFCのソースコードは読んだことないが、
クラス階層がしょぼい
67(1): 02/03/20 00:02 AAS
>>61
breakflag = 0;
for( なんかループ ){
for( なんかループ ){
if(なんか条件){
breakflag = 1;
goto NASTY;
}
}
}
NASTY:
if(breakflag){
なんかさいあくなしょり
}
見たいなのをいふんだYO!
68: 02/03/20 00:11 AAS
>>67
gotoとかMSが使わせるとは思えんが。
69: 02/03/20 09:39 AAS
>>60
MS=ソース汚い, ってのは短絡的じゃない?
あー、外部から分かる動作でソースコードの汚さが
推測できる、のかもしれないが。
# 大学にNTのソースライセンス提供したとかいう話もあったな。慶応だったか。
# ここに読んだことがあるやついるかな。
70: login:Penguin 02/03/20 09:52 AAS
CMUとかMITとかも持ってるよ。
今やNTはMicrosoftのコードだけで動いているわけではないし。メーカも書いてる。
SEGAに来たCEのソースは厨房レベルだったって。
コーディングスタイルが汚いとかどうかという以前に、
アルゴリズム、OSの基礎知識がない奴がコーディングにかり出された感じらしい。
71(6): 02/03/20 11:51 AAS
中でzlibつかって圧縮かけてやってるロジックがあったとしても、
展開対象のデータに悪意のあるデータが入っている場合のみ穴になる、と。
第三者から渡されたtar玉になんか仕組んであったとしても、
それはWindowsでいうところの
"exeファイルがついてあるときは、相手にそのファイルをどう扱ったらいいか聞いて対処しなさい"
問題と同じであるから、利用者問題だわな。
プロトコルスタック内部で圧縮展開なんかやってる部分に関しては、
そういうデータと同じデータの並びになるようなデータ列を処理したときのみ起こり得る。
うまくそういうIPパケットを流すことができるのであれば、それはそれで穴にはなるだろうが、
せいぜい経路上の次のノードに対してそういうのを流すことができる程度か?
ヘッダー内容とそういう並びのデータ列とがうまくマッチするケースがあるかどうかで
可能かどうかわかるんじゃろーけんど。(まあありえんか・・・)
72(1): 02/03/20 12:23 AAS
>>71
> 利用者問題だわな。
んなアホな。
そんなことを言ったら、圧縮するプロトコル (HTTP とか PPP とか) は
成り立たないじゃん。
73(2): 02/03/20 12:55 AAS
>>71 はイメージだけで書いてるに1票。
74(3): 02/03/20 13:20 AAS
漏れ、自己解凍のLHAやZIP形式の*.exeファイルもらった時も、
UNIX上でlhaやunizpで直接解凍して、
決してWin上で実行しないようにしてる。
でもそれでも安全ではなくなるのか…
75: アフォ? 02/03/20 15:51 AAS
>>74
> でもそれでも安全ではなくなるのか…
つーか、「漏れ」の話なら、安全にすればいいじゃん。まだやってないの?
76: 02/03/20 23:37 AAS
>>74
ふつうに win 上で unzip とか lha で
解凍すればいいのでは????
なぜわざわざ UNIX 上でやるのか、
そして zip や lha はスレ違いなこと、
なにもかもが わけわからん(w
77(1): 71 02/03/21 00:19 AAS
>>72-73
プロトコルスタック中でのzlib利用時に懸念されることがらも併記してしてんのに
イメクラ状態レスなんかいな。
つか、自明の理しかかいとらんのだが・・・いったいどーかけというのやら。
78: 02/03/21 00:23 AAS
>>77
> つか、自明の理しかかいとらんのだが・・・いったいどーかけというのやら。
明快に簡潔に書く。
79(2): 71 02/03/21 02:38 AAS
じゃ めいかいにかく
・圧縮されたファイルをもらいました どうしよう?(どうしよう?)
→そもそも信頼できない相手から来た郵便をあけるなんていうのは
ユナボナーの犠牲者になりたい団の一員としか思えませんね 自業自得でしょう
・通信のなかで圧縮展開してる部分がありますよね?
ヘンなデータでつつかれてクラックされたりしたらどうしよう?(どうしよう?)
→圧縮はヘッダーも圧縮している場合が多いです。
都合よくクラックできるコードを埋めこめるようなパケットやセグメントをうまくつくれる確率は
低いでしょう 万一クラックされたら、逆に幸運の持ち主なのかも・・・
80: 02/03/21 03:02 AAS
そんな幸運うれしくないYO!
81(1): 02/03/21 03:07 AAS
>>74 解凍ができるのはlhaだけ…
82: 02/03/21 05:22 AAS
つーか自己解凍式書庫は今回のzlib云々とは無関係の所でもリスクはあるんだが
(自己展開部分になんか仕込まれてるとか)
83(2): 02/03/21 08:56 AAS
>>81
zipもできるよ。
84: 02/03/21 08:59 AAS
>>83 (゚Д゚)ハァ?
85: 02/03/21 10:42 AAS
>>83
http://www3.justnet.ne.jp/~s_kishimoto/fj/misc/fj-words.htm#KAITO_
86(1): 73 02/03/21 11:27 AAS
>>79
RFC も コードも見てないでしょ?
特に
> →圧縮はヘッダーも圧縮している場合が多いです。
このへん。
それをさして「イメージだけで書いている」と言ったんですが。
87: 71 02/03/21 18:31 AAS
>>86
逆にRFC全部みて、ソース全部みて
各々のケースについての解釈と、経路ごとのケースについての解釈をしなければ
イメージだけの記述になる といいたいのですね
わかりました。まじめに1こ1こ見るためにはどうしたらいいか考えてみることにしましょう。
下記が全部そろえば包括的に検証可能でしょう。
1. solaris本体
solaris8・・・faxでsolarisのコードを入手
その他のsolaris・・・入手困難
2. その他の商用unix本体
入手困難
3. linux本体
各バージョンをダウンロード
4. *bsd本体
各バージョンをダウンロード
5.ルータ、スイッチなどの制御ソフト
入手困難
6. GNU
各バージョンをダウンロード
7. freeware
各バージョンをダウンロード
8. 商用パッケージ
入手困難
9. RFC
RFCのサイトにてダウンロード
88: 02/03/22 18:05 AAS
>>71 はレイヤがわかってないに一票
89: 02/03/24 06:38 AAS
LayerがわかっててもどうしようもねーYo
どこで何つかってるかはLayer次第なんだし・・・
90: 02/03/24 19:01 AAS
で、結局どうなのよ?アブネーの?危なくネーの?
ひょっとしてまだ世界で誰も実態把握してない??
91(3): 02/03/24 20:44 AAS
>>79
めいかいにかいてくれてありがとう。
おかげで、全く理解してないことがよーくわかったよ。
> →そもそも信頼できない相手から来た郵便をあけるなんていうのは
> ユナボナーの犠牲者になりたい団の一員としか思えませんね 自業自得でしょう
送られてきた *.exe を実行するのと、圧縮ファイルを展開するのは
根本的に違います。
> →圧縮はヘッダーも圧縮している場合が多いです。
> 都合よくクラックできるコードを埋めこめるようなパケットやセグメントをうまくつくれる確率は
> 低いでしょう 万一クラックされたら、逆に幸運の持ち主なのかも・・
2ch のコンテンツは zlib で圧縮されています。ブラウザは
それを展開してから表示しています。ここで、悪意を持ったひろゆきが、
展開時にファイルを片っ端から消してしまうような圧縮ファイルを作って、
2ch 上に置いた。
さぁどうなるでしょう。運・不運の問題でしょうか。
92(2): 02/03/24 21:11 AAS
>>91
htmlをzlibで圧縮してブラウザに送り返す事と、圧縮ファイルとの関連性は?
93: 02/03/24 21:12 AAS
>>92
ハァ?
94(1): 02/03/24 21:28 AAS
>→圧縮はヘッダーも圧縮している場合が多いです。
>都合よくクラックできるコードを埋めこめるようなパケットやセグメントをうまくつくれる確率は
>低いでしょう 万一クラックされたら、逆に幸運の持ち主なのかも・・
と、
>2ch のコンテンツは zlib で圧縮されています。ブラウザは
>それを展開してから表示しています。ここで、悪意を持ったひろゆきが、
> 展開時にファイルを片っ端から消してしまうような圧縮ファイルを作って、
> 2ch 上に置いた。
>さぁどうなるでしょう。運・不運の問題でしょうか。
とは想定している部分が違うような。
カーネルレベルなのか、ユーザープロセスレベルの話なのかはっきりさせよう。
95: 02/03/24 21:33 AAS
>>92
ダメだこりゃ。
96(1): 02/03/24 21:39 AAS
>>91
>さぁどうなるでしょう。運・不運の問題でしょうか。
どうにもならないんじゃないかな?パッチでてるし。
あ、パッチ出してない企業があったねぇ。そいつはやばいかもな。
97: 91 02/03/24 23:12 AAS
>>94
> カーネルレベルなのか、ユーザープロセスレベルの話なのかはっきりさせよう。
なぜその必要がある?
プロトコルレベルでの圧縮というのは、運・不運に帰着する問題ではないと
言いたかったわけだが、もしかしてユーザプロセスでは運・不運で、カーネルレ
ベルでは違う、と主張したいの?
>>96
> どうにもならないんじゃないかな?パッチでてるし。
> あ、パッチ出してない企業があったねぇ。そいつはやばいかもな。
パッチ当てなきゃファイル消されるかもしれない。よって、zlib の穴は
直すべき問題であって、71 が書いた「利用者側の問題」というのは
的外れだよね。
98: 02/03/24 23:45 AAS
で、結局何がどうなって実害がでそうなの?
スパーハカーの皆さん解説してちょ
99: 名無しさん@XEmacs 02/03/25 00:30 AAS
悪意があれば穴使う必要もないって
100: 02/03/25 01:42 AAS
オイオーイ、結局誰も実害について何も言えないのか??
101(1): 02/03/25 01:43 AAS
やっぱこんなとこ荒らしに荒らされて当然だな。
102(1): 02/03/25 01:43 AAS
一番現実に即した意見が
「パッチあてろ」かよ・・・お笑いだ
103: 02/03/25 02:04 AAS
実害無いに等しいからね。今んとこ。
104: 02/03/25 02:11 AAS
>>101
キミがあらゆるプロトコルで試してみて、穴があったらそれが危機というものだ。
文句言う前に探してみなよ。
105: 名無しさん@Emacs 02/03/25 03:52 AAS
ユナボマー
106: 02/03/25 07:46 AAS
>>102
自分で調べられんのか。
お笑いだ。
107(1): 02/03/25 19:17 AAS
なぜ荒れるのか理解に苦しむが・・・事実を整理すると
・zlibに2重開放bugがみつかった
・bugをみつけたRedhatのエンジニアの発表では
「穴になる可能性がある」
「でもウィルスを作るにはかなり手がかかるだろう」
「まだウィルスはみつかってないが、アングラで出回ってるかもしれない」
・2重開放をチェックしてるシステム(FreeBSDなど)は大丈夫そうだ
・パッチはすでにあるので当てればOK
・静的リンクしてるオブジェクトを探し出すのは大変だよぉ
・カーネルでもPPP関係で修正パッチがでている(Linuxや*BSD。Winは知らん)
・この穴を使ったウィルスはまだ見つかってない
てとこかな?間違ってたら訂正お願い。
俺が?と思ってるのは・・・
・OpenBSDは1月にすでに直していたらしい、、、報告してくれよぉ〜
・glibcは2重開放をチェックしてない、、、仕様としてどちらが良いのかよくわからん
・お金を取ってる企業の対応が遅いのはやっぱり納得できん
108: 02/03/25 23:17 AAS
>>107
> ・OpenBSDは1月にすでに直していたらしい、、、報告してくれよぉ〜
前もあったな、そんなこと。
http://www.lac.co.jp/security/intelligence/CERT/CA-2001_02.html
109: 02/10/17 19:06 AAS
なめこ
110: 山崎渉 [(^^)sage] 03/01/15 13:27 AAS
(^^)
111(1): 03/03/14 01:43 AAS
ぬるぽ
112: 03/03/14 13:43 AAS
http://www.securityfocus.com/bid/6913
113(1): 03/03/14 18:10 AAS
もうコンパイルし直すのは嫌ぽ。
114: 03/03/14 18:15 AAS
>>113
年一回くらいいいじゃん。
115: 名無しさん@Emacs 03/03/14 18:22 AAS
>111
ガッ
116: 山崎渉 [(^^)] 03/04/17 12:19 AAS
(^^)
117: あぼーん [あぼーん] AAS
あぼーん
118: あぼーん [あぼーん] AAS
あぼーん
119: あぼーん [あぼーん] AAS
あぼーん
120: あぼーん [あぼーん] AAS
あぼーん
121: 04/10/08 21:36 AAS
大丈夫だ!
122: 2005/07/07(木)19:10 AAS
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2096
123: 2005/07/07(木)21:47 AAS
read.cgiは順調か?
124(1): 2005/07/20(水)13:02 AAS
1.2.3 キタ━━━━(゜∀゜)━━━━!!
http://sourceforge.net/project/showfiles.php?group_id=5624&package_id=14274&release_id=343023
125: 2005/07/20(水)14:12 AAS
>>124 age
126: 2005/07/20(水)20:44 AAS
キタキタキタキタ━━━(゚∀゚≡(゚∀゚≡゚∀゚)≡゚∀゚)━━━━!!
Changes in 1.2.3 (18 July 2005)
- Apply security vulnerability fixes to contrib/infback9 as well
- Clean up some text files (carriage returns, trailing space)
- Update testzlib, vstudio, masmx64, and masmx86 in contrib [Vollant]
127: 2005/07/25(月)09:04 AAS
OOo のソースツリーを見せてもらったが、zlib なんかもスタティックリンクしている模様。
128: 2005/07/27(水)18:58 AAS
またセキュリティホールなのか?
Index: lib/libz/inftrees.h
===================================================================
RCS file: /home/ncvs/src/lib/libz/inftrees.h,v
retrieving revision 1.1.1.5
diff -u -r1.1.1.5 inftrees.h
--- lib/libz/inftrees.h 30 Jun 2004 23:43:27 -0000 1.1.1.5
+++ lib/libz/inftrees.h 23 Jul 2005 13:08:30 -0000
@@ -36,12 +36,12 @@
*/
/* Maximum size of dynamic tree. The maximum found in a long but non-
- exhaustive search was 1004 code structures (850 for length/literals
- and 154 for distances, the latter actually the result of an
+ exhaustive search was 1444 code structures (852 for length/literals
+ and 592 for distances, the latter actually the result of an
exhaustive search). The true maximum is not known, but the value
below is more than safe. */
-#define ENOUGH 1440
-#define MAXD 154
+#define ENOUGH 2048
+#define MAXD 592
/* Type of code to build for inftable() */
typedef enum {
129: 2006/05/27(土)17:05 AAS
テスト
130: 2006/07/15(土)18:58 AAS
○/'ー´ヽ
(, `●´ )
〜( O┯O
(☆)ヽ_/(★)
131: 2006/07/15(土)18:59 AAS
、、、 ○/'ー´ヽ
、、.≡≡ (, `●´ )
、、≡≡〜( O┯O
、、≡ (☆)ヽ_/(★)
132: 2006/07/19(水)23:56 AAS
頑張って走りきるんだよもん
133: 2006/07/27(木)04:27 AAS
>>1-132
zzzzzzlib
134: 2006/08/10(木)20:41 AAS
気象庁(大手町)の1Fにある本屋「津村書店」についての裏事情
ここにいる70歳くらいの、頭の完全に禿げた眼鏡をかけたジジイは、とにかく短気かつ凶暴である。
以下にこのジジイの悪行を、一部であるが記す。
・まず、本屋で5分以上うろついていると、「何か買いたい物があるか」と突慳貪に言い、
黙っているか、「いいえ」とか言うと、「買う気がないなら、出て行け」と言う。
・次に、立ち読みでもしていようなら、腕をつかんだ上で、奥に連れて行き、殴る蹴るの暴行を
加える。過去に顔にあざができたり、鼻血が出たりしたケースもあったらしい。また、女性の場合
胸を揉むなどの、セクハラをしたこともあったとか。
・一見ひ弱そうに見えるが、実は、柔道黒帯,合気道二段の腕前。そして、足も速い(笑)
・そして、納品作業をしていると、客がいようがお構いなしに「そこ邪魔だ、どかんかい」
と怒り、睨み付ける。(場合によっては足で蹴る)ちなみに店内は非常に狭い。そして本の陳列も非常に雑。
・極め付けは、清算をする時。例えば320円の雑誌を買って、1020円を出そうものなら
「何故1000円札一枚で出さない?計算しにくいんだよ、アホンダラ」と言って、20円分を投げる。また、お釣りは投げるようにして、渡される。
ここの本屋は、マニアックな本は多いが、品揃えは悪い。そして、何と言っても、上記のように主人の
接客態度が最悪。
こんな本屋で買い物をするのは、極力避けた方が良いとアドバイスしておく。
135: 2006/08/13(日)13:34 AAS
test
136: 2006/08/13(日)13:35 AAS
test
137: 2007/10/23(火)22:23 AAS
minizipで1バイト以下のテキストデータをパスワード付きで圧縮した場合にパスワード関係なしに解凍するんですけど誰かご存じですか
138: 2010/11/10(水)01:55 AAS
こんな下がってて大丈夫か?
139: 忍法帖【Lv=40,xxxPT】(3+0:8) 【33.9m】 電脳プリオン ◆3YKmpu7JR7Ic 2012/11/23(金)13:07 AAS
使ったことない
140: 2013/05/13(月)23:35 AAS
http://www.zlib.net/ つながらない
141: 2013/05/14(火)08:32 AAS
つながる。
142: 2013/06/30(日)12:57 AAS
test
test
test
143: 2017/12/29(金)09:19 AAS
誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。
グーグル検索⇒『宮本のゴウリエセレレ』
7UFHYFIU3D
144: 2018/05/22(火)04:43 AAS
知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
W0E94
145: 2023/09/26(火)12:57 AAS
ヽ(;^o^ヽ))) (((/^o^;)/ナントー
146: 2023/09/28(木)08:15 AAS
考える前に動け!
147: 2023/10/13(金)17:46 AAS
(∵)・・・・・(→o←)まじぃ!!
148: 2024/03/27(水)20:32 AAS
巻数: 全19巻
話数: 全79話
俺の身体の芯のほうがヤバイと言うと
この辺弱いよという話だった
149: 2024/03/27(水)20:32 AAS
だいぶ経ってるよね
150: 2024/03/27(水)21:06 AAS
きっと上がるとか
151: 2024/03/27(水)21:12 AAS
見たいルックスでもないが
それ以外に見所あればいらんよね
お腹がよじれるくらい笑っちゃって大変でした
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.540s*