zlib大丈夫か (151レス)
上下前次1-新
抽出解除 レス栞
71(6): 02/03/20 11:51 AAS
中でzlibつかって圧縮かけてやってるロジックがあったとしても、
展開対象のデータに悪意のあるデータが入っている場合のみ穴になる、と。
第三者から渡されたtar玉になんか仕組んであったとしても、
それはWindowsでいうところの
"exeファイルがついてあるときは、相手にそのファイルをどう扱ったらいいか聞いて対処しなさい"
問題と同じであるから、利用者問題だわな。
プロトコルスタック内部で圧縮展開なんかやってる部分に関しては、
そういうデータと同じデータの並びになるようなデータ列を処理したときのみ起こり得る。
うまくそういうIPパケットを流すことができるのであれば、それはそれで穴にはなるだろうが、
せいぜい経路上の次のノードに対してそういうのを流すことができる程度か?
ヘッダー内容とそういう並びのデータ列とがうまくマッチするケースがあるかどうかで
可能かどうかわかるんじゃろーけんど。(まあありえんか・・・)
72(1): 02/03/20 12:23 AAS
>>71
> 利用者問題だわな。
んなアホな。
そんなことを言ったら、圧縮するプロトコル (HTTP とか PPP とか) は
成り立たないじゃん。
73(2): 02/03/20 12:55 AAS
>>71 はイメージだけで書いてるに1票。
77(1): 71 02/03/21 00:19 AAS
>>72-73
プロトコルスタック中でのzlib利用時に懸念されることがらも併記してしてんのに
イメクラ状態レスなんかいな。
つか、自明の理しかかいとらんのだが・・・いったいどーかけというのやら。
79(2): 71 02/03/21 02:38 AAS
じゃ めいかいにかく
・圧縮されたファイルをもらいました どうしよう?(どうしよう?)
→そもそも信頼できない相手から来た郵便をあけるなんていうのは
ユナボナーの犠牲者になりたい団の一員としか思えませんね 自業自得でしょう
・通信のなかで圧縮展開してる部分がありますよね?
ヘンなデータでつつかれてクラックされたりしたらどうしよう?(どうしよう?)
→圧縮はヘッダーも圧縮している場合が多いです。
都合よくクラックできるコードを埋めこめるようなパケットやセグメントをうまくつくれる確率は
低いでしょう 万一クラックされたら、逆に幸運の持ち主なのかも・・・
87: 71 02/03/21 18:31 AAS
>>86
逆にRFC全部みて、ソース全部みて
各々のケースについての解釈と、経路ごとのケースについての解釈をしなければ
イメージだけの記述になる といいたいのですね
わかりました。まじめに1こ1こ見るためにはどうしたらいいか考えてみることにしましょう。
下記が全部そろえば包括的に検証可能でしょう。
1. solaris本体
solaris8・・・faxでsolarisのコードを入手
その他のsolaris・・・入手困難
2. その他の商用unix本体
入手困難
3. linux本体
各バージョンをダウンロード
4. *bsd本体
各バージョンをダウンロード
5.ルータ、スイッチなどの制御ソフト
入手困難
6. GNU
各バージョンをダウンロード
7. freeware
各バージョンをダウンロード
8. 商用パッケージ
入手困難
9. RFC
RFCのサイトにてダウンロード
88: 02/03/22 18:05 AAS
>>71 はレイヤがわかってないに一票
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.524s*