パスワードを忘れた? アカウント作成
8697 story

PNGライブラリにバッファオーバーフローの脆弱性 48

ストーリー by GetSet
盆休みの前にパッチ当て 部門より

kohei曰く、"CNET Japanの記事によると、PNGのライブラリ(libPNG)にバッファオーバーフローの脆弱性が発見された模様。
この問題の影響を受ける可能性が高いのは、Mac OS X上のAppleMail、Windows上のOperaおよびIE、それにSolaris上のMozillaおよびNetscapeだそうですが、当然Linux上のMozilla、Netscapeも含まれるようです。

最近はGIF画像を悪用したものが、掲示板上をにぎわしていますが、PNG画像を利用したものも出てくるのでしょうか?ともかく、1.2.6rc1のパッチがありますので、心配な人は早めにパッチを当てましょう。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Teruching (3577) on 2004年08月06日 11時46分 (#602040) ホームページ
    影響受けるのはほとんどブラウザだけなのに、
    記事の最初の方に「侵入者がLinuxコンピュータを乗っ取ったり、Windows PCやOS Xが動作するMacに攻撃を仕掛けたりするおそれがある。」
    と書いてあるんだけどlibPNG通してOSを乗っ取れる可能性はあるとして、
    乗っ取れるのがLinuxだけと限定してしまうのはどうかなと。
    --
    天琉陳(Teruching)
    • OSが乗っ取られる可能性で言えば、Administrator 権限で使っている人が多そうな Windows の方が高いと思いますがね。Linux や OS X だと、まずユーザ権限で悪さをして、そこから root をとらないといけない。
      あ、でも最近は知識の足りない初心者が Linux 使うことも増えている [itmedia.co.jp]みたいだから、そうも言ってられないのかな。
      一般ユーザを作らず、ずっと root で使っている人も増えてるみたいだし……。
      親コメント
      • > 一般ユーザを作らず、ずっと root で使っている人も増えてるみたいだし……。

        出典はあります?
        knoppix なんかでも root login じゃないんですけど。。。

        とりあえず RedHat でサーバ立ててみましたーな人たちはそりゃ危ない
        かもしれないけど、最近増えてるのは Live
        • by one-one (17888) on 2004年08月06日 14時48分 (#602134) 日記

          Linuxを扱う講義を行っているのですが 毎年20人に1~2人くらいは rootで作業をしたがる人がいますねぇ. きちんと rootと一般ユーザの違いについては説明しているつもりなんですが.
          『つまり, Linuxユーザが急増している(とも思えないんだけど)とするならば そのうちの10%近くが一般ユーザを使わずrootで作業していると考えることが出来るんだよ!』と MMRのキバヤシさん風に叫んでもいいのですが, さすがにサンプルが少ないので あれですな:-p

          でも 実際にLinuxを使いはじめたばかりの人たちと接する機会のある立場としては そういう人も少なくないかなぁというのが感想です.
          もーちっときちんとしたデータがあったら僕もみたいです.

          親コメント
          • そうですね。僕が見た例でも、rootでずっと作業していて、 しかも /root にapacheをインストールしてあった。
            親コメント
          • 自分でサーバ立ててサービス内容ごとにユーザー分けたり
            するようにならないと root で作業する気持ち悪さって
            分からないのかも。
            • 確かにApacheとか走らせて ユーザapache とかを感じてくれたらなんとなくわかってもらえるかもしれません.

              僕なんかの世代だと ホントにマルチユーザで使ってましたからねぇ. 他のユーザの環境とかが同じマシンにあったりすると ユーザの切り分けが必要ってのがわかってくるとは思うんですが.
              今では PC-UNiXと言われるだけあってpersonalな使い方の方が多いでしょうが, 結局一人で使っちゃうと自分が使うアカウントが二つあるって意識しかないんでしょうねぇ.

              親コメント
        • >> 一般ユーザを作らず、ずっと root で使っている人も増えてるみたいだし……。
          > 出典はあります?

          残念ながら、特に出典はなく、ちょっと前に one-one さんが書いたみたいな、まわりの雰囲気みたいなものです。

          まあ、1台の機械にユーザアカウントをたくさん作って共有していたころと、ひとり1台になった最近とでは、root の人を見かける頻度が違うといえば違うんですが。共有していたころは、他の人が使わない時間にこっそりと root の人が作業してたり……。
          親コメント
        • Lindowsはたしかデフォルトで一般ユーザーにもroot権限があるんですよね。
          利便性を優先しての結果なのでしょうけど。
          デスクトップOSとしてのLinuxの普及を目指すうえでは、セキュリティが高いという売りと利便性等との両立が…ってオフトピすいません。
        •  ユーザ管理という点では、デフォルト状態でBackupOperatorsやGuest、PowerUserなどと細かく分けられているWindowsNT系の方が出来が良いな。複数グループ所属やユーザ個別へのアクセス種別ができるし。

           Unix系実装(Linux)だと、
          ・ユーザの種類は、全権管理者/一般の2種類
          • by moci (11748) on 2004年08月06日 21時46分 (#602357) 日記
            デフォルト状態でBackupOperatorsやGuest、PowerUserなどと細かく分けられている

            たくさんあっても、結局Administratorsしか使われないという哀しい現実。

            ただ必ずしも全部が全部、Microsoftのせいというわけでもないでしょう。いま勤め先でインストールを強要されているセキュリティシステムは、Administrator権限を要求します。まったく、セキュリティを高めてるんだか、おとしてるんだか。まあ、本来は専門の部署に一切の管理をまかせているようなところで使われるものなんでしょうけれども。

            一方でSUSE Linuxなどは、デフォルトでインストールしてrootでログインしようものなら、強烈な壁紙が表示されます。誰が見ても、危ないことをしているのだと理解できることでしょう。

            親コメント
          • by mocona (23547) on 2004年08月07日 14時44分 (#602579)

            デフォルト状態でBackupOperatorsやGuest、PowerUserなどと細かく分けられているWindowsNT系の方が出来が良いな。

            でもWindows Xpだとインストール時に作らされたユーザって、PowerUserだかAdministratorsだかになったような記憶があるのですが。記憶違い?これらだと、結構いじれちゃいますよね。

            Unix系実装(Linux)だと、
            ・ユーザの種類は、全権管理者/一般の2種類
            ・アクセス種別は自分/仲間/その他の3種類
            ・1ユーザは1つのグループにしか所属できない
             だしなぁ……。

            Security Enhanced Linuxとか、UNIXでもRole Based Access Control(RBAC)とかAccess Control List(ACL)とかあります。すべてのUNIXがこの機能を備えているかどうかは知りませんが。
            # 1ユーザは1つのグループ、ってのは他の人が書いているので略。
            親コメント
          • by Anonymous Coward on 2004年08月06日 18時03分 (#602225)
            > ・1ユーザは1つのグループにしか所属できない

            /etc/group ってファイルをご存知ですか?
            UNIX でも一人のユーザーが複数のグループに属することができます。

            ファイルの ACL(Access Control List) 設定とゴッチャにしてませんか?
            (ACL を使うとファイルの書き込み/読み出し権限を任意のユーザーに対して設定可能)

            親コメント
          •  ほぅ荒らし扱いデスカ。
             LinuxマンセーMS叩きでないとダメデスカね。

             複数グループ所属の件は思い違いだけど、GuestやPowerUser
            など、それなりに使えば有効だと思うがムシですか。
             っていうか、こういう狂信的に「自分たちが絶対唯一正義」的な流れが/.Jに増えてきてるのが残念。
            親コメント
          • >1ユーザは1つのグループにしか所属できない
            えっ、複数のグループに所属できます...よね。
      • > Linux や OS X だと、まずユーザ権限で悪さをして、そこから root をとらないといけない。

        root取られるのもやですが、生活環境として使っているコンピュータの
        $HOME 以下をいろいろされるってのは、システムのっとられるってのと
        ほぼ同じだと私は思うのですが、どうでしょう。

        # /bin/rm -fr $HOME/{,.}* とかやられたら、生きていけない....
    • by Anonymous Coward
      MS の息がかかっているという証明です。
    • 画像アップロード機能の付いたPHPスクリプトとか~
  • 本家でも (スコア:2, 参考になる)

    by oddmake (1445) on 2004年08月06日 11時56分 (#602045) 日記
    記事 [slashdot.org]になっていました。

    XP SP2以降だと問題ないとか、次の数週間に正式バージョンの安全なlibpngが出るだろうとかいろいろ言ってますね。
    --
    /.configure;oddmake;oddmake install
    • by one-one (17888) on 2004年08月06日 14時10分 (#602115) 日記
      XP SP2以降だと問題ないとか

      PNGまわりをいじるのだったら透過PNGにも対応させてやってください!!
      って思ってる人も少なくないでしょうね:-p

      親コメント
      • > PNGまわりをいじるのだったら透過PNGにも対応させてやってください!!
        > って思ってる人も少なくないでしょうね:-p

        激しくそう思うのですが……。なんでlibpng使ってるのに透過PNGはだめなんだか……。
        親コメント
        • Re:本家でも (スコア:2, 参考になる)

          by unnya (10872) on 2004年08月06日 14時47分 (#602132) ホームページ 日記
          >透過PNGはだめなんだか……。
          えと、もちろんαチャンネルを使っているやつの事ですが。
          で、IE5.5以上なら、こんな手 [minc.ne.jp]で表示させられることも知ってはいるんですが…。imgタグのみでといいう事で…。
          親コメント
          • 私はお手軽に自分のとこで、
            <div style="width:320;height:240;filter:progid:DXImageTransform.Microsoft.AlphaImageLoader(src='hogehoge.png');"/></div>

            と、お手軽にやっちゃいましたけど。
            でも、これだとネスケやオペラが駄目なので、javaスクリプトでIEだけこれで表示させて、他はimgタグ使ってました。orz
            --

            /* Kachou Utumi
            I'm Not Rich... */
            親コメント
        • by masaru_al (15915) on 2004年08月06日 23時49分 (#602404)
          >激しくそう思うのですが……。なんでlibpng使ってるのに透過PNGはだめなんだか……。

          背景が単一色ならば、その「背景色」と画像との合成は libpng がやってくれますが、任意の「背景画像」と画像とを合成する機能は libpng にはありませんので、自前で合成する必要があります。その辺の都合で手抜きしているんでしょうね。たぶん。
          親コメント
  • FreeBSD (スコア:2, 参考になる)

    by jmk (11245) on 2004年08月06日 16時31分 (#602176)
    png-1.2.5_8 がこのセキュリティパッチを適用したバージョンのようです。
  • by Inetpub (20077) on 2004年08月06日 11時43分 (#602039)
    @US-CERT「IE,Mozillaの乗り換え」を勧める警告で、『Linx』ユーザーが急増

    『米国コンピューター緊急事態対応チーム』(US-CERT)が警告を発表した。
    その内容は、グラフィカルなブラウザーが使用する技術には「重大な脆弱性」が
    存在するため、IEやMozillaのユーザーはテキストベースのウェブブラウザーに
    乗り換えることを強く勧めるというものだ。
  • by JnJ (23012) on 2004年08月06日 14時07分 (#602114) ホームページ
    アップデートパッチでてましたね
    --
    LAN内LAN稼働中
  • なんか 『libpngのupdateしなくちゃ』という気持にデジャヴみたいのを感じたんですが, これ [mitre.org]が5月の頭頃だったせいですな.

    こっちは applicationをクラッシュさせることが出来るって感じだったんですが 今度のはより強烈になっていると.

  • by SteppingWind (2654) on 2004年08月06日 17時11分 (#602197)

    Epsonのプリンタドライバがpng1.0.xのライブラリ(libpng.so.2)を要求しているんですが, これには影響無いかな? png1.2とpng1.0ではバイナリAPIの互換性が無いので, そのまま置き換えるわけにもいかないので.

  • by Anonymous Coward on 2004年08月06日 23時40分 (#602398)
    Technical Cyber Security Alert TA04-217A: Multiple Vulnerabilities in libpng [ryukoku.ac.jp]では,デモ用pngファイルが紹介されています。

    ttp://scary.beasts.org/misc/pngtest_bad.png

    [注意]Mozillaとkonquerorではcrashするそうで,昨日FireFox 0.9 for OS/2で確認しました(^^;

    • Debian GNU/Linux 3.0 のMozilla1.0.0で落ちました

      「あれ?昨日libpngをapt-getしたよな?」
      と思ったのですが、ImageMagickのidentifyでは、

      ~/tmp$ identify pngtest_bad.png
      identify: Missing an image file name.

      と正常に(?)pngファイルとして認識されませんでした。で、

      ~/tmp$ ldd `which mozilla`
                      not a dynamic executable

      ということで、Mozillaはスタティックリンクしているので、
      本体そのものを
  • ソフトウェアアップデートでSecurity Update 2004-08-09が出ました。
    libpngのアップデートです。

    同時に10.3.5のアップデートが引っかかったのですが、このSecurityUpdate
    が含まれているのかどうかは不明。
  • Windows上の (スコア:0, 興味深い)

    by Anonymous Coward on 2004年08月06日 11時13分 (#602014)
    Windows上のMozilla/Netscapeは大丈夫なんでしょうか?
    • Re:Windows上の (スコア:3, 参考になる)

      by Anonymous Coward on 2004年08月06日 11時38分 (#602035)
      Mozilla セキュリティアドバイザリ を見ると「Mozilla 1.7.2 / Firefox 0.9.3 / Thunderbird 0.7.3 で修正済み」のようですね。
      親コメント
      • by Angelica (23122) on 2004年08月06日 14時58分 (#602141) 日記
        ということはNetscape 7.1(Mozilla 1.4)は撃沈、今度出るNetscape 7.2では微妙なところ、ということでしょうかね。

        7.2には出来ればベストな形で出てきて欲しいけど、これ以上お預けを食らうのもつらいなぁ。
        親コメント
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...