アカウント名:
パスワード:
展開時だったらそれを狙って攻撃しようとするのも出てくるだろうけど
ログファイルのローテート時に圧縮されることを見越して仕込んでおく…とか。logrotateってrootで実行されるよね。
あとは、libpngがzlibを使うから、PNG圧縮がかかったときに発動するように細工する…とか。考えつかないでもないが、かなり難しそう。
このバグでzlib自体をクラッシュさせることも可能であり、zlibはウェブサーバーが転送データを圧縮するのに使う、ということを考えると、悪用の可能性がいろいろ出てくると思う。
クラッシュするだけならせいぜいwebサーバーを落とすサービス拒否攻撃止まりじゃん。shellcodeの実行に繋げられたらヤバい
特定のパターンのデータを圧縮する時にクラッシュするのと特定のパターンのデータを展開する時にクラッシュするのでは後者の方が圧倒的に仕込み易いと思わん?
これはヒドい…
一人でメンテしてるみたいだし、嫌ならフォークしろとしか言えんやろうな。。。
xkcdのまさにこれ [xkcd.com]思い出したわ
実際フォークされてるChromium (とそれを利用するAOSP ) では2018 年中にバックポートしてあるよ、と中の人からコメントがついていた
CVEはメンテナンス担当者や開発者だけでなく、報告者自身がすることもできるんですけどね・・・
# まぁ精神的なプレッシャーにしかならんが
zlib はライセンスだけオープンソースの、クローズドな開発体制らしくアクセプトされたPRは一つもないけどな
「CVE」と「フォーク」の違いが分かってないのか
パッチのコミットはzlibの開発者のひとりで、レポジトリの主のMark Adlerみたいですけど、放置されちゃうこともあるのね。皆さん、忙しすぎるのでしょうか。
お疲れ様です&修正作業ありがとうございます。>zlib関係者様
#毎日間接的にお世話になっているはず。
zlib.dllそのものとzlibwapi.dllで呼び出すものとあるから片方だけ上げてもアプリケーションがエラーはいたりするかもですね
# 更にx86とx64もあってアプリケーションごとに持ってるっていう更新の面倒臭さ
あれも過去のすべてのバージョンに脆弱性があったまま10年以上も気付かなかったんだっけ?
ソースを公開することで世界中の人たちが見てくれるからバグもすぐに修正されるんだよ!なんて紹介されてた時期もあったね
「すぐに」はお前が勝手に付け足しただけだろ
オープンソース開発者、指摘された大量のバグを速やかに修復 [zdnet.com]
それは「オープンソースだから」ではなくて一大プロジェクトとして「バグ修正強化月間」に取り組んだ結果だね
ソースコードの分析ツールを提供しているCoverityは、32件のオープンソースプロジェクトを初めて調査したが、その結果を発表してから2週間以内に、900個を超える脆弱性が修復されたという。同社は米国時間4月3日、現在では一部のソフトウェアからバグが一掃されたとする声明を出した。
うん、オープンソースだとバグの発見はしやすいよね。メンテナが修正してくれるとは限らないけど。それで何が言いたいの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
圧縮時じゃな (スコア:1)
展開時だったらそれを狙って攻撃しようとするのも出てくるだろうけど
Re: (スコア:0)
ログファイルのローテート時に圧縮されることを見越して仕込んでおく…とか。
logrotateってrootで実行されるよね。
あとは、libpngがzlibを使うから、PNG圧縮がかかったときに発動するように細工する…とか。
考えつかないでもないが、かなり難しそう。
Re: (スコア:0)
このバグでzlib自体をクラッシュさせることも可能であり、zlibはウェブサーバーが転送データを圧縮するのに使う、ということを考えると、悪用の可能性がいろいろ出てくると思う。
Re: (スコア:0)
クラッシュするだけならせいぜいwebサーバーを落とすサービス拒否攻撃止まりじゃん。shellcodeの実行に繋げられたらヤバい
Re: (スコア:0)
特定のパターンのデータを圧縮する時にクラッシュする
のと
特定のパターンのデータを展開する時にクラッシュする
のでは後者の方が圧倒的に仕込み易いと思わん?
CVE 番号さえも割り当てられずに放置 (スコア:0)
これはヒドい…
Re: (スコア:0)
一人でメンテしてるみたいだし、嫌ならフォークしろとしか言えんやろうな。。。
xkcdのまさにこれ [xkcd.com]思い出したわ
Re:CVE 番号さえも割り当てられずに放置 (スコア:1)
実際フォークされてる
Chromium (とそれを利用するAOSP ) では2018 年中にバックポートしてあるよ、と中の人からコメントがついていた
Re: (スコア:0)
CVEはメンテナンス担当者や開発者だけでなく、報告者自身がすることもできるんですけどね・・・
# まぁ精神的なプレッシャーにしかならんが
Re: (スコア:0)
zlib はライセンスだけオープンソースの、クローズドな開発体制らしく
アクセプトされたPRは一つもないけどな
Re: (スコア:0)
「CVE」と「フォーク」の違いが分かってないのか
レポジトリ主のコミットなのに忘れてしまうのね (スコア:0)
パッチのコミットはzlibの開発者のひとりで、レポジトリの主のMark Adlerみたいですけど、放置されちゃうこともあるのね。
皆さん、忙しすぎるのでしょうか。
お疲れ様です&修正作業ありがとうございます。>zlib関係者様
#毎日間接的にお世話になっているはず。
zlibって (スコア:0)
zlib.dllそのものとzlibwapi.dllで呼び出すものとあるから
片方だけ上げてもアプリケーションがエラーはいたりするかもですね
# 更にx86とx64もあってアプリケーションごとに持ってるっていう更新の面倒臭さ
OpenSSLにも似たようなのがあったなぁ (スコア:0)
あれも過去のすべてのバージョンに脆弱性があったまま10年以上も気付かなかったんだっけ?
オープンソースって (スコア:0)
ソースを公開することで世界中の人たちが見てくれるからバグもすぐに修正されるんだよ!
なんて紹介されてた時期もあったね
Re:オープンソースって (スコア:1)
「すぐに」はお前が勝手に付け足しただけだろ
Re: (スコア:0)
オープンソース開発者、指摘された大量のバグを速やかに修復 [zdnet.com]
Re: (スコア:0)
それは「オープンソースだから」ではなくて一大プロジェクトとして「バグ修正強化月間」に取り組んだ結果だね
Re: (スコア:0)
ソースコードの分析ツールを提供しているCoverityは、32件のオープンソースプロジェクトを初めて調査したが、その結果を発表してから2週間以内に、900個を超える脆弱性が修復されたという。同社は米国時間4月3日、現在では一部のソフトウェアからバグが一掃されたとする声明を出した。
Re: (スコア:0)
うん、オープンソースだとバグの発見はしやすいよね。メンテナが修正してくれるとは限らないけど。それで何が言いたいの?