KAMUI 曰く、 "電子メールクライアント&ニュースリーダー Sylpheed の安定版バージョン 1.0.2 以前においてバッファオーバーフローが起きる可能性があったとして修正版の 1.0.3 が公開されている。修正されたのは「ascii 以外の文字を含む特定のヘッダをもつメッセージに返信した時」にバッファオーバーフローが発生する可能性があった部分。なお,開発版についてはこの問題は無い様だ…とか書いてる私は Thunderbird 使ってるンですけどね(^_^;"
補足 (スコア:5, 参考になる)
補足すると、Reply-To, Cc, Bcc, Followup-To ヘッダに非 ascii 文字がある場合、内部コード(1.0では locale encoding)に変換した際に元の文字列より長くなる場合にバッファオーバーフローが発生します。
UTF-8 locale の場合はほぼ該当しますが、 EUC-JP でも、 KOI8-R などは2バイトコードのキリル文字に変換されるために、同様の問題が発生します。
コード変換が入るため、任意のコードを実行できるようなことはないと思います。
Re:補足 (スコア:4, 参考になる)
むぅ。この言明はバッファオーバフローに関するセキュリティの問題に関してはミスリードだし、作っているほうとしてはそういう感もあると思うけど、対応する発言としてはあんまり望ましくないと思います。
セキュリティアドバイザリの文脈で「任意のコードが実行される」危険性というのは、もともとのソフトウェアとして書かれていないコードが送り込まれ、そこに制御が移るという可能性の指摘です。
ここでの問題は、悪意ある(ソフトウェアの作者でない)攻撃がもともとのソフトウェアにないコードを実行するということであり、攻撃する側がなんでも思うように任意に好きなようにすべてをコントロールしてコードを実行するということでは必ずしもありません。
例えば、よくあるバッファオーバフロー攻撃では、すべて好きなようにはできないから、0x90 (i386のコードのNOP)とかをたくさん入れてなんともうしましょうか、ロバストな攻撃にしますよね。
そういうのと同様に、程度はかなり違うけど、やっぱりロバストにすることは
可能ではないでしょうか。
Re:補足 (スコア:2, 興味深い)
このような場合によく使われるお決まりの英文表現は "allows it to execute arbitrary commands/codes/instructions" です。日本語の「任意のコードが実行される」という言い回しも、この英文の表現に基づいていると言っていいでしょう。この arbitrary は文字通り「任意の」であって、ブリーチする者が好きなコードを自在に選んで送り込み実行させることができるからこそ arbitrary な訳です。単にある特定の限定されたコードやコマンドだけを送り込めるだけなら、どう間違えても arbitrary commands とは言えません。
それともセキュリティアドバイザリの文脈では arbitrary に何か特別な用法があるのでしょうか?そうでしたなら是非その根拠を示していただきたいです。
Re:補足 (スコア:1, 参考になる)
私なりに別の言い方をしてみる。
作者氏曰く
変換後に意味のある攻撃コードとなるような、変換前のデータを送りつけられて、攻撃が成功するという可能性はどうでしょうか。Re:補足 (スコア:1, 興味深い)
そういうテクニックを使わないといけない状況でも、一旦shellcodeで/bin/shなどを立ち上げてしまえば、次は何でもできるようになりますので、結局「なんでもできる」ことになります。
かなり攻撃側にとっては「きびしー」ように見える状況であっても、大抵は「任意のコードが実行される」と表現しますし、それを狙うexploit codeも沢山あるかと思います。
ということで、確かにgniibeさまのおっしゃるとおりかと思います。
記名だと「クラックに必要な情報を具体的に公表した」とか言われそうで怖いんでACにさせていただきます。
Re:補足 (スコア:0)
日本でよく使われる「頑健」では文脈が通りませんし。
Re:補足 (スコア:0)
カタカナで書くと学術用語の一種(?)かも。
手元の辞書から引用すると、
"a robust system, organization etc is strong and not likely to have problems."
という説明があって、これが意味的に一番しっくりくると思うのですが、日本語だと同じようなニュアンスの単語が思いあたりません(ので、僕も「ロバストな」ってよく言っちゃう)。
Re:補足 (スコア:0)
>カタカナで書くと学術用語の一種(?)かも。
単語の意味ではなくて、文章の意味が不明だと元コメントは言っているだろ。
>単語が思いあたりません(ので、僕も「ロバストな」ってよく言っちゃう)。
だいたいこの手の言葉遣いの奴は中身のないこと言っていることが多い。
感謝 (スコア:0)
ありがとうございます。
Re:補足 (スコア:0)
なんのこっちゃ。
Re:補足 (スコア:0)
前後の文脈から補完するする。
# 近頃の linux 日本語ディストリビューションの locale は、
# 従来からの EUC-JP に加えて Fedora系の UTF-8 がある、なんて
# 知識があると読み易い。
開発版 (スコア:4, 参考になる)
開発版では r145 (最新の 1.9.4 は r142) で修正されているようです。
Debian パッケージでの対応 (スコア:3, 参考になる)
お急ぎの方は、メンテナのサイト [sylpheed.mine.nu]
からどうぞ。
Vine3.1の (スコア:0)
のbetaが取れると良いな...と思っているのは私だけではないですよね?!
コンパイル (スコア:0)
とありますから、
自分でコンパイルして入れるのはダメですか?
Re:コンパイル (スコア:0)
...所詮3台ですが。
Re:コンパイル (スコア:1, 参考になる)
Tips - Debian GNU/Linux スレッドテンプレ(自作パッケージを作りたい) [debian.fam.cx]
Debian パッケージの作り方 [hokudai.ac.jp]
Re:コンパイル (スコア:1, すばらしい洞察)
Re:コンパイル (スコア:1, 参考になる)
Re:Vine3.1の (スコア:0)
でも、こちらも 1.0.0 なんですよね。
Re:Vine3.1の (スコア:0)
タレコミ文が小池一夫風な件について(オフトピ) (スコア:0)
1.9.5 リリース (スコア:0)
安定版である 1.0 系列とは別に、 GTK2 への対応をメインに開発がつづいている
1.9 系列でも新ヴァージョンが出てます (ML でのアナウンス [tmtm.org])。
1.0.3 と同様にセキュリティホールを修正しているので、 1.9 を使用している 場合は必ずアップグレードしてください。