ActivePerlにバッファオーバーフロー問題が発覚

ActivePerlにバッファオーバーフロー問題が発覚 7

ストーリー by wakatono 2001年11月20日 13時17分
最新版に入れ替えるが吉部門より

k3c 曰く、 "セキュリティmemoの記事によれば、ActiveStateのActivePerl Build 629以前のPerlIS.dllにバッファオーバーフローの弱点があり、SYSTEM権限を取られてしまうそうです。BUGTRAQの情報によればBuild 630で修正されているらしいので、使っている方はすぐ入れ替えましょう。
しかし、セキュリティmemoでも触れられていましたが、ActivePerlのChangeLogではなぜかこの点についての記述がありません。締め切りに間に合わなかったのかな？"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索7コメント Log In/Create an Account

Apache はノープロブレム？ (スコア:2)

by deleted user (1544) on 2001年11月20日 17時17分 (#39906) ホームページ日記

Apache + ActivePerl を使っていますが、これは IIS との組み合わせじゃないから大丈夫なのかな。とりあえずダウンロードはしているけど。
- perlIS.dll 使ってたらヤバイのでは (スコア:1)
  
  by kjm (1606) on 2001年11月20日 18時56分 (#39948) ホームページ
  
  IIS だからどうこうではなく、perlIS.dll を使ってたらヤバイのでは。Apache for win32 なら local SYSTEM 取られるのでは?
  
  シェア
  
  親コメント
  - Re:perlIS.dll 使ってたらヤバイのでは (スコア:1)
    
    by panizzi (6044) on 2001年11月20日 20時07分 (#39961) ホームページ日記
    
    またまたタレコミ記載のBUGTRAQの情報 [securepoint.com]で恐縮なのですが、
    
    Description・
    ============
    
    ActivePerl is a binary package of perl for Linux, Solaris or Windows system
    developed by ActiveState. ActivePerl for windows has a dynamic link library,
    perlIS.dll, which is a ISAPI extension to provide high-performance perl
    interface for Microsoft IIS server.
    
    って書いてありますので大丈夫なのでは…。
    Active Perl のインストール時にChoose Setup Options で
    ・Add Perl to the PATH environment variable
    ・Create Perl file extension association
    ・Create IIS script mapping for Perl
    ・Create IIS script mapping for Perl ISAPI
    が選択項目としてありますが、Apache for win32 を使っている場合は後半2項目は
    グレーになっていて選択できないようになっているはずです。
    
    とはいえ、私は Apache 1.3.20 (Win32) と ActivePerl を使っていますが気分悪いので入れ替えちゃいました。
    
    シェア
    
    親コメント
    - Re:perlIS.dll 使ってたらヤバイのでは (スコア:1)
      
      by panizzi (6044) on 2001年11月22日 11時35分 (#40480) ホームページ日記
      
      うわぁ、大嘘書いていた。
      
      単に、彼らが確認したプラットホームが IIS 4.0/5.0 だけ
      
      ということなのですね。
      
      皆様大変申し訳ございませんでした。
      
      シェア
      
      親コメント
これってIIS用のDLL? (スコア:1)

by Wildcat (2067) on 2001年11月20日 15時12分 (#39851) 日記

てことは、 Windows だけの問題?

--
(´д｀;)
- Re:これってIIS用のDLL? (スコア:1)
  
  by panizzi (6044) on 2001年11月20日 15時18分 (#39854) ホームページ日記
  
  うーんと、タレコみにもあるBUGTRAQの情報 [securepoint.com]によると
  
  Affected system:
  ================
  
  Activestate ActivePerl 5.6.1.629 and earlier versions
  - Microsoft IIS 4.0
  - Microsoft IIS 5.0
  
  となっておりますが…。
  
  シェア
  
  親コメント
  - あ、そうでしたね (スコア:1)
    
    by Wildcat (2067) on 2001年11月20日 15時28分 (#39863) 日記
    
    どうも。
    
    --
    (´д｀;)
    
    シェア
    
    親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Stay hungry, Stay foolish. -- Steven Paul Jobs

ActivePerlにバッファオーバーフロー問題が発覚 7

ActivePerlにバッファオーバーフロー問題が発覚 More ログイン

Apache はノープロブレム？ (スコア:2)

perlIS.dll 使ってたらヤバイのでは (スコア:1)

Re:perlIS.dll 使ってたらヤバイのでは (スコア:1)

Re:perlIS.dll 使ってたらヤバイのでは (スコア:1)

これってIIS用のDLL? (スコア:1)

Re:これってIIS用のDLL? (スコア:1)

あ、そうでしたね (スコア:1)

スラド

ActivePerlにバッファオーバーフロー問題が発覚 More ログイン

Apache は ノープロブレム？ (スコア:2)

perlIS.dll 使ってたらヤバイのでは (スコア:1)

Re:perlIS.dll 使ってたらヤバイのでは (スコア:1)

Re:perlIS.dll 使ってたらヤバイのでは (スコア:1)

これってIIS用のDLL? (スコア:1)

Re:これってIIS用のDLL? (スコア:1)

あ、そうでしたね (スコア:1)

Apache はノープロブレム？ (スコア:2)