Winnyにバッファオーバーフローの脆弱性 161
ストーリー by next
脆弱性の回避方法は利用中止 部門より
脆弱性の回避方法は利用中止 部門より
parallelized曰く、"ITmedia の記事によると、Winny 2.0 b7.1やそれ以前のバージョンにバッファオーバーフローの脆弱性が見つかったようです。Winny制作者の金子氏は、
「Winnyは様々な部分でチェックをしているので、私としては、仮にバッファーオーバーフローの脆弱性への攻撃を想定した場合でも、これによりあらゆる任意のコードが実行が 可能という訳では無いと判断しております。」とコメントしているそうです。とは言え、これとは別の脆弱性が結びついて、いつ任意のコードが実行可能になるかもしれません。 裁判で係争中の金子氏としてはWinnyをバージョンアップするわけにもいかないので、この脆弱性は放置される事が決定的なのですが、これはさすがに問題があるかもしれません。"
なお、情報処理推進機構の発表によれば、この脆弱性の対処方法として「開発者による修正方法は公表されていませんので、回避方法はWinny利用の中止です。」としている。
[4/22追記]airhead曰く、"ITProの記事では「任意のプログラムを実行することは容易」というeEyeの情報も伝えられています。eEyeのアドバイザリによると、問題の脆弱性はファイル転送用ポートで提供される特定コマンドの処理に存在し、入力長チェックのないstrcpy()に細工されたデータが送られることで、データ中の任意のコードがWinnyの実行権限で実行される可能性がある、自前のコードでその可能性を確認した、とのことです。"
セキュリティホールMemoにも記事あり (スコア:4, 参考になる)
金子氏のコメントより (スコア:4, 参考になる)
この一番オイシイフレーズはやっぱ入れなきゃ!>タレコミ
Re:金子氏のコメントより (スコア:2, おもしろおかしい)
いやほんと。ケーサツに脆弱性の修正を禁止されているなんて、かなり希有なソフトです。脆弱性の修正をすると罪に問われる可能性がある、なんてすごい話です。
Re:金子氏のコメントより (スコア:2, おもしろおかしい)
この脆弱性を悪用した攻撃で被害が出たら、それも金子氏が「幇助」したことにするんですよ。
ACCS を罪に問える可能性 (スコア:2, おもしろおかしい)
わお、それはすごい作戦ですね。
今のところ、脆弱性を作ること自体は罪に問われませんが、それを問うのは議論が出そうですね。この論理が通るなら ACCS も罪に問わないといけないような:-):-)
# ACCS を罪に問えるなら金子氏が犯罪者になるのは仕方ない、という意見も出そう??
Re:金子氏のコメントより (スコア:3, すばらしい洞察)
報告元のeEyeは先月からWinnyに関するリサーチを開始しています [nikkeibp.co.jp]し,
その過程で明らかになったと考えるのが自然かと.
Re:金子氏のコメントより (スコア:2)
実行コードがモロに公開された方がいいわけ?
Re:金子氏のコメントより (スコア:2, おもしろおかしい)
それって、Ctrl+AしてCtrl+Cのあとエディタに貼ればOK?
**たこさん**・・・
Re:金子氏のコメントより (スコア:1)
の
Re:金子氏のコメントより (スコア:1, すばらしい洞察)
脆弱性を修正できない環境では永久に公開すべきでないということになる。
微妙に胡散臭さが漂う発表 (スコア:3, 興味深い)
「Winny」には通信処理にバッファオーバーフローの脆弱性があります。遠隔の第三者によるソフトウェアの動作停止の可能性があるのみならず、一般的に、バッファオーバーフローの脆弱性は、任意の命令を実行される可能性があります。
#胡散臭いバイアスかけるのやめてくれないかなぁ…
#Winnyに脆弱性がある。って大々的に発表するだけでいいじゃん。
元の発表 [jvn.jp]見ると、それ自体が微妙に胡散臭い発表で、どの程度信用したらよいか判断がつかない。
対策が無い為に今回の脆弱性がどんな内容か詳細が発表される事はないでしょうしね。
Re:微妙に胡散臭さが漂う発表 (スコア:2, すばらしい洞察)
の部分はまぁ事実を述べているだけなんでどうでも良い気がしますが、元発表の、どういう状況でこれが起こるかまったく書かれていない点は無責任じゃないですかねぇ。
もしWinnyの使用をやめさせるための恣意的な発表だとしても、この発表を見てWinnyの使用をやめるような人はもうとっくにWinnyなんて使ってないのでは?
#話は変わりますがWinnyをリバースエンジニアリングしてパッチ作るのはライセンス違反なんですかねぇ?
Re:微妙に胡散臭さが漂う発表 (スコア:2)
eEye はリバースエンジニアリングをしている。
アンチウイルスベンダー各社も、ウイルスのコードをリバースエンジニアリングとかは普通にしてると思う。法的議論は判らないが、ウイルス作者がアンチウイルスベンダーを訴えるとは思えない。
Winny作者が「よくもリバースエンジニアリングしたな」と訴えるかどうかは疑問ですね。
Re:微妙に胡散臭さが漂う発表 (スコア:2, 興味深い)
Re:微妙に胡散臭さが漂う発表 (スコア:2, おもしろおかしい)
幇助ということで京都からお迎えが来るのが怖くなければOK
Re:微妙に胡散臭さが漂う発表 (スコア:2, 興味深い)
> の部分はまぁ事実を述べているだけなんでどうでも良い気がしますが、
そうでもないようですよ。
この発表がグッと圧縮される結果、一般向けの報道では
Winnyが強制終了させられるという検証済の「可能性」と
プロセスを乗っ取られるという未検証の「可能性」が
ごっちゃにされてしまっていたりもするようです。
#カーラジオで聞いて、運転を誤りそうになってしまったのでID
名物に旨いものなし!
Re:微妙に胡散臭さが漂う発表 (スコア:1)
「遠隔の第三者から巧妙に細工されたパケットを送信されることにより」と書いてあります。
これ以上詳しく書くと悪用されるでしょうから、
むしろ常識的な情報量ではないかと思います。
Re:微妙に胡散臭さが漂う発表 (スコア:1)
今までのマスコミ・政府筋を見る限り「winny潰しをするためだったら、手段なんか一切選ばない」という姿勢なのは間違いないと思います。
そんな状況で「致命的な欠陥」を発見したとしたら、その詳細な攻撃情報を積極的に公開するのが自然でしょう。
仮に実害が発生したところで、すぐにマスコミが「winnyを使用することが悪い、自業自得」と言ったキャンペーンを張ってくれるでしょうから、さして困ることもない。
「一時的な混乱を過ぎれば、WInnyネットワークは壊滅するんだし。むしろいいことじゃね?」ぐらいにしか考えないでしょう。
それをせず、極めて曖昧な表現にとどめているところを見ると「脆弱性があるのは本当だけど、実害が発生する可能性はほとんど無い」とみるのが正確なんじゃないかと思います。
Re:微妙に胡散臭さが漂う発表 (スコア:1)
マスコミはWinny潰しをしたら暴露記事が減ってしまうことを少なくとも危惧してはいると思います。
収入が減らない方法を選んだ記事になるかと。
政府はWinny潰しをしたいと思ってるでしょうね。
でも、自分の所から情報が漏れても収入が減らない感じがするんですけど。
「Winnyに感染した」と報道するマスコミは、ある意味手段を選んでいない気がしますが。
Re:微妙に胡散臭さが漂う発表 (スコア:2, 興味深い)
これ以上、どんな大騒ぎがあると言うんでしょう?
考え得る最大級の混乱を招いていますが。
>極めて不正確な希望的観測ですね。
>そういう不確かでいい加減な情報が原因で、被害が出たらどうするんでしょうか。
極めて強行的で、遵法意識のかけらもない対処が現在の惨状を招いていますが、それを行った側は誰もどうもしていませんよ?コメント元で書いてあるように「マスコミがせっせとネガティブキャンペーンを張って」思考停止させているのが現状です。
現在が「不確かでいい加減な情報が原因で、被害を拡大させている」状況そのものでしょう。
>どうせ被害が出ても自分には関係ないから、いい加減な情報で無知な人を煽ってもいい、くらいにしか思ってないんでしょうね。
そう思います。
というか、元コメントは「政府筋およびマスコミはそう思っている」と言っているつもりでしたが、もしかして主語は私にすり替わっていたりしますか?
Re:微妙に胡散臭さが漂う発表 (スコア:1)
んー。
P2Pソフトウェアで脆弱性をつく攻撃というのは「細工した(意図されていない)パケットを送る」ことぐらいしかあり得ないのでは?
要するに情報量ゼロです。もう少し具体的でもいいハズですが。
参考:このWinnyの脆弱性と同日(21日)発表の「SquirrelMailにおけるクロスサイトスクリプティングの脆弱性 [jvn.jp]」の概要は、
「HTMLメールに対するエスケープ処理が不十分なため」ともう少し具体的です。
むしろ政府としてはお墨付きでこの脆弱性を「悪用」してほしいのでは?とも思いますが。繋がってくるノードを片っ端から強制終了できるんですよ?
…実際に脆弱性が存在してexploitできるなら、の話ですが。
"Stupid risks are what make life worth living!" -- Homer Simpson
Re:微妙に胡散臭さが漂う発表 (スコア:1)
IPA が公表してるってことは、JPCERT/CC を通じて金子氏に脆弱性の具体的な技術情報が伝わっているってことですよね。んで、金子氏のコメント [jvn.jp]を見ると、「攻撃方法が明らかではない」とは書いてるけど、伝えられている技術情報そのものに対しては、現時点では反論していない。
もちろん、今後金子氏自身の手によって調査を行うことがあれば、情報自体が間違いであったと反論が出てくる可能性も無いわけではないけど、とりあえずは他のケースで脆弱性が公表された場合と同等程度の、一定の信頼性はあるとみて良いと思いますよ。
むらちより/あい/をこめて。
どうするセキュリティベンダー (スコア:3, 興味深い)
攻撃は攻撃だからということで、セキュリティベンダーは
防御するようにしてくれるのかな。
それともWinnyだからあえて放置?
Winnyネットワークを利用した暴露ウィルスはまぁ駆除すること自体に
問題はなくとも、Winny自体への攻撃を防御したらしたで何だかんだと
言われるだろうし、しなければしないである意味問題だろうし、
ちょっとしたジレンマかもねー。
Re:どうするセキュリティベンダー (スコア:2, 参考になる)
攻撃者側が最終的に陥落させたいのはマシンそのものです。
なので、やはりどんなソフトの脆弱性も無視しておくべきではないと私は考えます。
ベンダーさんはどう考えるのでしょうかね。
ある意味凄いソフトかも (スコア:3, おもしろおかしい)
ソフトウェアの更新が3年前から停止して、
やっと、致命的なバグが一つ見つかる程度ってすごくないか。
しかも最後のバージョンも stable なリリースぢゃないし。
unstable な α版がずっと利用されている状態。
OSとかブラウザとか、各種サーバとか、山のようにバグがあるというのに。
Winnyを止めさせる手段としての虚偽情報 (スコア:2, 興味深い)
Re:Winnyを止めさせる手段としての虚偽情報 (スコア:5, 興味深い)
セキュリティを専門にやってる所ですし、名前出してますし。
発見者は日本人ですが、日本の機関に所属している訳では無いですから。
ただ、状況の深刻さがどれほどかはよくわからない。
以前にあったzlibみたいに1バイトだけバッファオーバーフローするような状況なら、
ほとんど攻撃のしようもないので、あんまり気にするものでもないような気がします。
逆にワームが作成可能で、任意のコードで乗っ取れるとなると、危なくてとても使えたものでは無いですね。
で、現状では、まだ何もわからないと。
Re:Winnyを止めさせる手段としての虚偽情報 (スコア:1)
リモートから異常終了させるパケットは送出可能とわかっていたんですな。
DoS攻撃は可能でした。
Re:Winnyを止めさせる手段としての虚偽情報 (スコア:3, すばらしい洞察)
Re:Winnyを止めさせる手段としての虚偽情報 (スコア:2, すばらしい洞察)
実際に起きてもいない脆弱性なんて気にする事もないのでしょうね。
むしろそのセキュリティホールを突いたウイルスが出るまでに欲しいファイルを落とさなきゃ!と思って余計に活発になったりして。
Re:Winnyを止めさせる手段としての虚偽情報 (スコア:2, すばらしい洞察)
#Winnyネットワーク全体がBOTネット化したら結構怖いことになりそう?
Deepsea the Evoker St:10 Dx:13 Co:14 In:18 Wi:9 Ch:9 Neutral
Dlvl:1 $:0 HP:12(12) Pw:8(8) AC:9 Xp:1
Re:Winnyを止めさせる手段としての虚偽情報 (スコア:2, おもしろおかしい)
「バッファオーバーフローって何?おいしいの?」
っていう状態なんでしょうねぇ
Re:Winnyを止めさせる手段としての虚偽情報 (スコア:2, おもしろおかしい)
と、報道されるのも時間の問題。
Re:Winnyを止めさせる手段としての虚偽情報 (スコア:2, すばらしい洞察)
仮にこの情報が虚偽なら、出てくるまでに時間がかかりすぎでしょう。
名物に旨いものなし!
Re:Winnyを止めさせる手段としての虚偽情報 (スコア:1, 興味深い)
利用者数に目立った変化なし (スコア:2, すばらしい洞察)
Nimda級のウイルスでも出てくれば話は違うだろうが
そういう事態になるまでは利用者数の大きな変化は無いだろう。
Winny利用者は被害を受けなきゃ判らない (スコア:2, 参考になる)
まさに eEye は CodeRed、Sasser、MSBlaster亜種に悪用された脆弱性を見つけた実績もある。 Winny 検出ツールを数週間で作成する能力 [nikkeibp.co.jp]もあるから、その辺のスクリプトキディーとはわけが違う。プロだぞ。
Nimda 級のウイルスを作成する程度の能力は当然、あるだろう。プロだから単に公表しないだけと考えるべきだろう。
とにかく、Winny 開発者がパッチを出せる状況ではない。あえて脆弱性があるファイル交換ソフトを使うというのは、「俺はバッファオーバーフローの脆弱性が修正されていないブラウザを使い続ける勇気があるのだ」と自慢するような物じゃないかな。
Re:BOFって・・・ (スコア:2, 参考になる)
ググると、それなりに使ってる人が居るみたいですね。 [google.co.jp]
BoF って略してるのもあったりしてかなり意味不明…
でもまぁ、英語圏でもそこそこ使われてるみたいですよ [google.co.jp]
Re:BOFって・・・ (スコア:3, おもしろおかしい)
N66-BASICではオーバフローエラーをOF Errorと表記していたので、その流れではないでしょうか。きっとP6ユーザだったのです。
マイコンBASICマガジンのページ下にはみ出している投稿コーナも「OFコーナー」でした。
P6ユーザ、もしくはマイコンBASICマガジンの読者ならOFと呼ぶことも多いのかもしれません。
これで (スコア:2, 興味深い)
そんなことも考えると、なんか Winny のまわりで起きてることとか発表とかって違和感が拭えないんだよなぁ。
個々の事象では「それアリかよ」とかってレベルでも全部つなぎ合わせると「なんかヘン」って。
#まるでライブドアの財務まわりのビジネス手法の話みたいだけど
考えてみると、インフラサービスが『エンドユーザを守るため』勝手なことしてよければ、「ダイレクトメールは無駄なトラフィックだから捨てました」とか、「この電話はオレオレ詐欺っぽいからオンフックしました」とか、「この口座のお金の動きは怪しいから停止しました」とかとどう違うんだろうかとかぐるぐるしてしまいます。
もちろん、ワームのアウトブレイクとかからインフラを守るってのは緊急避難としてアリだと思うけど。(地震の時の通信規制とかと同じようなものだし。)
それにしても、このキモチノワルサはいったい何に起因してるんだろう。
Re:これで (スコア:2, 興味深い)
それぞれの思惑はマッタク違う(「著作権料払え!」「企業秘密漏らすな!」「ただ乗り許さん!」)のに、目的だけ(「Winny使うなっ!!!」)は一緒だから、お互いがお互いを利用しようとして変な印象を受けるのかなぁ、と思います。
セキュリティに問題があるから、使うのやめましょう=プロバイダはトラフィックへってうはうは、みたいな変な構図が透けて見えるというか。
セキュリティに問題→ウィルス発生→情報漏えい加速、そりゃやばい、っていう論理ならまだわかるような気もするんですが。
Re:これで (スコア:1)
Winny をつかっていることへの後ろめたさ。
とりあえず踏み台にされないように (スコア:1, 参考になる)
もうここまで来たら (スコア:1)
訴えられないんじゃないかなぁ...
そーいや昔,勝手にセキュリティホールを埋めてくれるワームってあったな..
そうじゃないだろう!
Re:もうここまで来たら (スコア:1)
comとかだったら以外に引っかかるかも?
Re:根拠の無い自信 (スコア:2, すばらしい洞察)
完璧ですとは言ってないわけだ。
Re:根拠の無い自信 (スコア:2, 興味深い)
とある猫が言うには、Winnyは自らのプログラムファイルやメモリ上のコードを随時チェックしているそうで、
プログラム書き換えやロードされたコードをリアルタイムに書き換える等の行為を行うとそのチェックに引っかかり、
Winny自身がそれを認識して、動作を変えるようになっているそうです。
その機構があるゆえに、Winnyをバッファオーバーフローで落とすことぐらいは出来ても、
任意のコードを動かさせるのは難しい、そう認識しているのかも知れませんね。
#上記の通り、猫から聞いた話なのでAC
Re:根拠の無い自信 (スコア:2, すばらしい洞察)
Re:毎日Winnyでうんざりします。 (スコア:1, おもしろおかしい)
という意味では?
Re:毎日Winnyでうんざりします。 (スコア:1)
Super Souya