ActivePerlにバッファオーバーフロー問題が発覚 7
ストーリー by wakatono
最新版に入れ替えるが吉 部門より
最新版に入れ替えるが吉 部門より
k3c 曰く、 "セキュリティmemoの記事によれば、ActiveStateのActivePerl Build 629以前のPerlIS.dllにバッファオーバーフローの弱点があり、SYSTEM権限を取られてしまうそうです。BUGTRAQの情報によればBuild 630で修正されているらしいので、使っている方はすぐ入れ替えましょう。
しかし、セキュリティmemoでも触れられていましたが、ActivePerlのChangeLogではなぜかこの点についての記述がありません。締め切りに間に合わなかったのかな?"
Apache は ノープロブレム? (スコア:2)
perlIS.dll 使ってたらヤバイのでは (スコア:1)
Re:perlIS.dll 使ってたらヤバイのでは (スコア:1)
Description・
============
ActivePerl is a binary package of perl for Linux, Solaris or Windows system
developed by ActiveState. ActivePerl for windows has a dynamic link library,
perlIS.dll, which is a ISAPI extension to provide high-performance perl
interface for Microsoft IIS server.
って書いてありますので大丈夫なのでは…。
Active Perl のインストール時にChoose Setup Options で
・Add Perl to the PATH environment variable
・Create Perl file extension association
・Create IIS script mapping for Perl
・Create IIS script mapping for Perl ISAPI
が選択項目としてありますが、Apache for win32 を使っている場合は後半2項目は
グレーになっていて選択できないようになっているはずです。
とはいえ、私は Apache 1.3.20 (Win32) と ActivePerl を使っていますが気分悪いので入れ替えちゃいました。
Re:perlIS.dll 使ってたらヤバイのでは (スコア:1)
単に、彼らが確認したプラットホームが IIS 4.0/5.0 だけ
ということなのですね。
皆様大変申し訳ございませんでした。
これってIIS用のDLL? (スコア:1)
(´д`;)
Re:これってIIS用のDLL? (スコア:1)
Affected system:
================
Activestate ActivePerl 5.6.1.629 and earlier versions
- Microsoft IIS 4.0
- Microsoft IIS 5.0
となっておりますが…。
あ、そうでしたね (スコア:1)
(´д`;)