LhaplusとLhasa、DLLの読み込みに関する脆弱性 43
ストーリー by hylom
lzhの受難 部門より
lzhの受難 部門より
ultrageek 曰く、
JVNにて、LhaplusにおけるDLL読み込みに関する脆弱性およびLhasaにおける実行ファイル読み込みに関する脆弱性の2つのレポートが公開されている。
双方共に圧縮ファイルを展開する際に特定のDLLを読み込むが、DLLを読み込む際のDLL検索パスに問題があり、意図しないDLLを読み込んでしまう脆弱性が存在するとのことである。影響として、プログラムを実行している権限で、任意のコードを実行される可能性がある。最新版では問題はないようなのでアップデートするか、もしくは他のツールへ移行する必要がある。
これって以前に問題になっていたもの (スコア:2)
Re: (スコア:0)
こういうときガラパゴス日本のすばらしい脆弱性通報制度を使うと、いちばん対策が遅れたアプリに合わせて発表を強制的に遅らされるんですよね。誰かが個人情報の開示を嫌がって脆弱性情報の提供を受けることを拒否したりすればもう塩漬けにするしかありません。そもそもUS-CERTなら受理するものでも受理すらしてくれなかったりしますし。
いやあ発見してくれたのが外国人で本当によかった。
メンテ乙! (スコア:0)
そんなオーブンハートにロックオン!!
Re: (スコア:0)
今回はアップデートプログラムが用意してあるので再インストールせずに楽ちんでした
LHAも非推奨になったことだし (スコア:0)
アップデートついでにLha-という名前をやめたらいいんだな、きっと。
# じゃあ何にするかは思いつかない:-p
オススメのアーカイバを紹介するスレ? (スコア:0)
7-Zipかわいいよ7-Zzip
Re:オススメのアーカイバを紹介するスレ? (スコア:1, 興味深い)
そうだそうだ!7-zip に移行してみんなで .7z を使うようにしようよ。
zip は同じ拡張子で独自拡張が多すぎる。あっちでもこっちでも「私開けない」「俺は開ける」が発生する。
#そしていい加減MacOSXはパスワード付きZIPファイルを展開できるGUIクライアントをOSに同梱しやがれ
Re:オススメのアーカイバを紹介するスレ? (スコア:2, おもしろおかしい)
Re:オススメのアーカイバを紹介するスレ? (スコア:1)
もっぱら展開ばかりの利用で、7-zip をメインに新しい環境に Lhaplus を入れる機会は減ったのですが、
Lhaplus のサブディレクトリを二重に作らない機能はスマートでよいと思うのです。
# 他方複数の書庫が同じフォルダに展開される問題にもつながるのですが…
Re:オススメのアーカイバを紹介するスレ? (スコア:2)
lhaplus を使ってますけど、ブラウザでアーカイブファイルをダウンロード、勝手に展開(tar.gz とか二重になっているものでも)、元ファイルを削除してくれるので非常に重宝しています。
7-zip でも試してみたのですが、アーカイブの中身を見せるウィンドウが開くばかりで展開してくれず…。というか使い方を把握できてないだけかもしれませんが...
ん? 俺、今何か言った?
Re:オススメのアーカイバを紹介するスレ? (スコア:1, 興味深い)
Explzh(非商用利用はフリー) [ponsoftware.com]なら、
7-zipやRAR、tar.gzだけでなく、isoですら読み込めます。
解凍せずに内容プレビューもできますし、
ファイル名をディレクトリとして展開する機能もあり、
同じ名前で2重に展開しないようダイアログで確認もしてくれます。
Re:オススメのアーカイバを紹介するスレ? (スコア:1)
それらはすべて 7-zip クライアントも持っている機能です。
lzh や arj などのマニアックなものも同様に展開可能です。これも Explzh と同じですね。
Explzh の場合、国内プロジェクトだけあって統合アーカイバープロジェクトの DLL を利用することもできますが、この場合は事実上 x86 に限定されることとなります。(ごく一部以外 x86 DLL しか存在しません)
この部分が不要で、基本的には展開できればよく、たまに書庫を作る程度のユーザー向けだと「最初に言語を選ぶ必要なしに日本語で使える」くらいのメリット程度な気がします。
そうすると、業務利用でも気にしなくていい 7-zip (LGPL) の方が使いやすい場面も少なくないでしょうね。
Re: (スコア:0)
Re: (スコア:0)
># 他方複数の書庫が同じフォルダに展開される問題にもつながるのですが…
デフォルトだとそうでしたっけ?
a. [一般設定]タブの[詳細設定]ボタンを押し、
[解凍設定1]タブで解凍先を[アーカイブと同じフォルダ]にする
または
b. 好きなフォルダに書庫を右D&D、[ここに解凍]を選択
メニューに出ない場合は[関連付け/シェル]タブの[[ここに解凍]を追加]をチェック
ついでに7-zip対応実験版 つLhaplus Version 1.70 beta 2 [biglobe.ne.jp]
Re:オススメのアーカイバを紹介するスレ? (スコア:1, 参考になる)
> #そしていい加減MacOSXはパスワード付きZIPファイルを展開できるGUIクライアントをOSに同梱しやがれ
Windows Vista/7もできなくなりましたよ。伝統的なパス付きZIPは無線LANのWEP並みに脆弱ですし、AESとか使ったものは互換性が今ひとつですからね。
形だけが何より重要な日本企業のコンプライアンス(笑)にとってはパス付きZIPで暗号化したふりで十分なんでしょうが、MicrosoftやAppleのような多国籍企業にとってはそうではないということです。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
lhaca? Lhasaとパクリの区別も付かないとは痛い奴だな、FUDは飽きたから巣に帰れ
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
tar,tgz以外の存在意義が分からない
何でみんなマイナーなのを使いたがるんだ?
Re: (スコア:0)
圧縮率ですよ。
# zipに比べりゃgzもマイナーとか野暮なことは言えないが...
今はマイナーでも次世代のメジャー規格になるものをみんな探ってる。
zip並にメジャーになっていくのが何かはまだわからないけれど、少なくとも圧縮率は高くとりまわしの良いものなのは間違いありません。
# そろそろGoogleさんがWeb*シリーズで圧縮規格も出してくるかな?
というか Lhasa, Lhaplus 改名したら?という話だったのにいつの間におすすめアーカイバスレに...
全部7-Zipでいいよ (スコア:0)
Linux(Debian系) apt-get install p7zip-full
Mac OS X keka http://www.kekaosx.com/ja/ [kekaosx.com]
圧縮・解凍ツールで多様性があるのは日本だけかな?
Re: (スコア:0)
おやくそくだけど Super-H みたいなのとか。
#もちろんAC。
Lhasaは (スコア:0)
04/08/03 ver0.19
10/10/10 ver0.20
6年ぶりのアップデートがこんな形なのは喜んでいいものかどうか…
Re: (スコア:0)
まだ使い続けたいなら喜ぶほうがいいと思います。
逆に、いまだにアップデートされているせいで、移行が進まない要因になってしまったとも取れますが。
喜ぶというより (スコア:0)
驚いたよ
昔は定番だったけど、使い勝手はそのままで対応形式が増えたのがいろいろ出てきたからね
作者も放置していたと思っていた
そこで静的リンクですよ! (スコア:0)
この間のDLLロード周りの脆弱性だったのですね。
お手軽なので僕はいつもLhacaのデラックス版使っています。
昔は、この3つが区別つかなかったなぁ。
Re: (スコア:0)
統合アーカイバDLL使ってるアプリはどうするの? (スコア:0)
仕様上、特定のパスからしかDLLのロードを認めないというわけにはいかないでしょ?
OS標準じゃないからOSのバージョンで判定するわけにもいかないし。
そもそも「別途DLLが必要」なんてもの自体流行らない(つーかこの仕様そのものがまさに脆弱性の元だし)。今さらDLL作者の呼びかけに反してまでそんなもの使い続けている老害は「必ずシステムディレクトリに置いてください。PATHの通ったところに置いても認識しません」なんて仕様にしたら猛反発するに決まってるし。
「別途アーカイバが必要」さえWindows標準のZip/LZH圧縮フォルダの前には風前の灯。
Re:統合アーカイバDLL使ってるアプリはどうするの? (スコア:2)
LHMeltにおける安全でないライブラリーのロードによりリモートでコードが実行される脆弱性 [nifty.com]
書庫と同じディレクトリに悪意あるDLLが置かれていても問題無い様に
LHMeltはカレントディレクトリからのDLLのロードをできないようにしたようです。
詳細(DLLの読み込みの優先順位など)は
技術情報、補足情報あたりを読むと分かるかと
Re: (スコア:0)
http://support.microsoft.com/kb/2264107 [microsoft.com]
の対象は(プログラム起動のトリガになったファイルのある)カレントディレクトリだけです。
プログラム側が自分で絶対パス入れたりする場合は問題無くDLL読み込みますし、プログラムと同じディレクトリやPATHの通ったディレクトリは従来どおり検索するので通常は問題ありません。
プラグインなど、本体と隔離されたDLLがツレを読み込めなかったりするって問題はありますが、これに当る事はさほど多くないので、自分の場合はこのHotFix入れていても何とかなってます。
Re: (スコア:0)
もともと、DLLあるかどうか検索しているわけだし。
アップデータ落とそうとしたらマルウェアウォーニングが・・・ (スコア:0)
Lhaplusのアップデートサイト [hoehoe.com] から、
アップデータ"Lhaplus Version 1.5x to 1.58 Updater"を落としたら、
Avira君が
「実行したらあきまへんで、DR/Delphi.Gen が仕込まれてまっせ」
とかのたまわれるのだが。誤認識なのかな。
本当に感染しているとしたら、なんちゅうトラップだ。
Re: (スコア:0)
Delphi で exe ファイルを書き換えるから検出されたんじゃね?
わからん (スコア:0)
プラグインてこと?
lhazはどうなんだろ…。
Re:わからん (スコア:1)
女の子がいたら結局やっちゃうみたいな人を思い浮かべるといいと思う。
Re:わからん (スコア:1)
よくわかんないけど、同梱してあったりシステムに入ってるのを使ったりで、ユーザがDLLを探してきて入れる必要がないって意味じゃないの?
kernel32.dllがなくても動くとはとても思えないから。
1を聞いて0を知れ!
Re: (スコア:0)
lhasaとlhacaは別物ですぜ。
Re: (スコア:0)
Lhaplusの話では?
確か以前はDLL導入の必要がないソフトだというのを売りにしてたと思ったので。
# 今見てみたらaceとrarの展開のためにDLL使うみたいですね。
lzhも (スコア:0)
OS標準なら、Windows Updateで直るし。
Re: (スコア:0)