パスワードを忘れた? アカウント作成
Close
12348 story

Winnyにバッファオーバーフローの脆弱性 161

ストーリー by next
脆弱性の回避方法は利用中止 部門より

parallelized曰く、"ITmedia の記事によると、Winny 2.0 b7.1やそれ以前のバージョンにバッファオーバーフローの脆弱性が見つかったようです。Winny制作者の金子氏は、

「Winnyは様々な部分でチェックをしているので、私としては、仮にバッファーオーバーフローの脆弱性への攻撃を想定した場合でも、これによりあらゆる任意のコードが実行が 可能という訳では無いと判断しております。」
コメントしているそうです。とは言え、これとは別の脆弱性が結びついて、いつ任意のコードが実行可能になるかもしれません。 裁判で係争中の金子氏としてはWinnyをバージョンアップするわけにもいかないので、この脆弱性は放置される事が決定的なのですが、これはさすがに問題があるかもしれません。"

なお、情報処理推進機構の発表によれば、この脆弱性の対処方法として「開発者による修正方法は公表されていませんので、回避方法はWinny利用の中止です。」としている。

[4/22追記]airhead曰く、"ITProの記事では「任意のプログラムを実行することは容易」というeEyeの情報も伝えられています。eEyeのアドバイザリによると、問題の脆弱性はファイル転送用ポートで提供される特定コマンドの処理に存在し、入力長チェックのないstrcpy()に細工されたデータが送られることで、データ中の任意のコードがWinnyの実行権限で実行される可能性がある、自前のコードでその可能性を確認した、とのことです。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Winnyにバッファオーバーフローの脆弱性 More

  • http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2006/04.html#20060421_Winny [ryukoku.ac.jp]にも同様の記事があります。

  • 金子氏のコメントより (スコア:4, 参考になる)

    by Anonymous Coward on 2006年04月22日 1時09分 (#926201)

    私自身は、諸般の都合により、Winnyのアップデートおよび
    脆弱性の具体的な検証が困難な状況にあります。


    この一番オイシイフレーズはやっぱ入れなきゃ!>タレコミ

  • 微妙に胡散臭さが漂う発表 (スコア:3, 興味深い)

    by Anonymous Coward on 2006年04月22日 1時04分 (#926200)
    情報処理推進機構の発表 [ipa.go.jp]
    「Winny」には通信処理にバッファオーバーフローの脆弱性があります。遠隔の第三者によるソフトウェアの動作停止の可能性があるのみならず、一般的に、バッファオーバーフローの脆弱性は、任意の命令を実行される可能性があります。

    #胡散臭いバイアスかけるのやめてくれないかなぁ…
    #Winnyに脆弱性がある。って大々的に発表するだけでいいじゃん。

    元の発表 [jvn.jp]見ると、それ自体が微妙に胡散臭い発表で、どの程度信用したらよいか判断がつかない。
    対策が無い為に今回の脆弱性がどんな内容か詳細が発表される事はないでしょうしね。

    • Re:微妙に胡散臭さが漂う発表 (スコア:2, すばらしい洞察)

      by hylom (27448) on 2006年04月22日 1時33分 (#926214) ホームページ 日記
      >「Winny」には通信処理にバッファオーバーフローの脆弱性があります。遠隔の第三者によるソフトウェアの動作停止の可能性があるのみならず、一般的に、バッファオーバーフローの脆弱性は、任意の命令を実行される可能性があります。

      の部分はまぁ事実を述べているだけなんでどうでも良い気がしますが、元発表の、どういう状況でこれが起こるかまったく書かれていない点は無責任じゃないですかねぇ。

      もしWinnyの使用をやめさせるための恣意的な発表だとしても、この発表を見てWinnyの使用をやめるような人はもうとっくにWinnyなんて使ってないのでは?

      #話は変わりますがWinnyをリバースエンジニアリングしてパッチ作るのはライセンス違反なんですかねぇ?

      シェア
      親コメント
      • > Winnyをリバースエンジニアリングしてパッチ作るのはライセンス違反なんですかねぇ

        eEye はリバースエンジニアリングをしている。

        アンチウイルスベンダー各社も、ウイルスのコードをリバースエンジニアリングとかは普通にしてると思う。法的議論は判らないが、ウイルス作者がアンチウイルスベンダーを訴えるとは思えない。

        Winny作者が「よくもリバースエンジニアリングしたな」と訴えるかどうかは疑問ですね。

        シェア
        親コメント

      • Re:微妙に胡散臭さが漂う発表 (スコア:2, 興味深い)

        by zeroing (30451) on 2006年04月22日 3時42分 (#926253) 日記
        #話は変わりますがWinnyをリバースエンジニアリングしてパッチ作るのはライセンス違反なんですかねぇ?
        Internet Archive等で調べてみましたが,Winnyのライセンスといえるような文言は
        βテストの結果、何か問題が生じても責任はとりませんのでよろしくお願いします。
        また、これらのソフトにより違法なファイルをやり取りしないようお願いします。
        転載やリンクなどは常識的な判断に従ってください。
        だけのようですので,パッチ単独の配布なら問題ないように思います.
        シェア
        親コメント

      • Re:微妙に胡散臭さが漂う発表 (スコア:2, 興味深い)

        by orangeful (21839) on 2006年04月22日 15時34分 (#926437)
        > >「Winny」には通信処理にバッファオーバーフローの脆弱性があります。遠隔の第三者によるソフトウェアの動作停止の可能性があるのみならず、一般的に、バッファオーバーフローの脆弱性は、任意の命令を実行される可能性があります。

        > の部分はまぁ事実を述べているだけなんでどうでも良い気がしますが、

        そうでもないようですよ。
        この発表がグッと圧縮される結果、一般向けの報道では
        Winnyが強制終了させられるという検証済の「可能性」と
        プロセスを乗っ取られるという未検証の「可能性」が
        ごっちゃにされてしまっていたりもするようです。

        #カーラジオで聞いて、運転を誤りそうになってしまったのでID
        --
        名物に旨いものなし!
        シェア
        親コメント
      • > 元発表の、どういう状況でこれが起こるかまったく書かれていない点は無責任じゃないですかねぇ。

        「遠隔の第三者から巧妙に細工されたパケットを送信されることにより」と書いてあります。

        これ以上詳しく書くと悪用されるでしょうから、
        むしろ常識的な情報量ではないかと思います。
        シェア
        親コメント
        • どうだろう。
          今までのマスコミ・政府筋を見る限り「winny潰しをするためだったら、手段なんか一切選ばない」という姿勢なのは間違いないと思います。

          そんな状況で「致命的な欠陥」を発見したとしたら、その詳細な攻撃情報を積極的に公開するのが自然でしょう。
          仮に実害が発生したところで、すぐにマスコミが「winnyを使用することが悪い、自業自得」と言ったキャンペーンを張ってくれるでしょうから、さして困ることもない。

          「一時的な混乱を過ぎれば、WInnyネットワークは壊滅するんだし。むしろいいことじゃね?」ぐらいにしか考えないでしょう。

          それをせず、極めて曖昧な表現にとどめているところを見ると「脆弱性があるのは本当だけど、実害が発生する可能性はほとんど無い」とみるのが正確なんじゃないかと思います。
          シェア
          親コメント

          • 今までのマスコミ・政府筋を見る限り「winny潰しをするためだったら、手段なんか一切選ばない」という姿勢なのは間違いないと思います。


            マスコミはWinny潰しをしたら暴露記事が減ってしまうことを少なくとも危惧してはいると思います。
            収入が減らない方法を選んだ記事になるかと。

            政府はWinny潰しをしたいと思ってるでしょうね。
            でも、自分の所から情報が漏れても収入が減らない感じがするんですけど。

            「Winnyに感染した」と報道するマスコミは、ある意味手段を選んでいない気がしますが。
            シェア
            親コメント
        • > 「遠隔の第三者から巧妙に細工されたパケットを送信されることにより」と書いてあります。

          んー。
          P2Pソフトウェアで脆弱性をつく攻撃というのは「細工した(意図されていない)パケットを送る」ことぐらいしかあり得ないのでは?
          要するに情報量ゼロです。もう少し具体的でもいいハズですが。
          参考:このWinnyの脆弱性と同日(21日)発表の「SquirrelMailにおけるクロスサイトスクリプティングの脆弱性 [jvn.jp]」の概要は、
          「HTMLメールに対するエスケープ処理が不十分なため」ともう少し具体的です。

          むしろ政府としてはお墨付きでこの脆弱性を「悪用」してほしいのでは?とも思いますが。繋がってくるノードを片っ端から強制終了できるんですよ?

          …実際に脆弱性が存在してexploitできるなら、の話ですが。
          --
          "Stupid risks are what make life worth living!" -- Homer Simpson
          シェア
          親コメント

    • IPA が公表してるってことは、JPCERT/CC を通じて金子氏に脆弱性の具体的な技術情報が伝わっているってことですよね。んで、金子氏のコメント [jvn.jp]を見ると、「攻撃方法が明らかではない」とは書いてるけど、伝えられている技術情報そのものに対しては、現時点では反論していない。

      もちろん、今後金子氏自身の手によって調査を行うことがあれば、情報自体が間違いであったと反論が出てくる可能性も無いわけではないけど、とりあえずは他のケースで脆弱性が公表された場合と同等程度の、一定の信頼性はあるとみて良いと思いますよ。

      --
      むらちより/あい/をこめて。
      シェア
      親コメント

  • どうするセキュリティベンダー (スコア:3, 興味深い)

    by Elbereth (17793) on 2006年04月22日 3時15分 (#926247)
    実際にこの脆弱性をつくBOF攻撃がされるようになったとき、
    攻撃は攻撃だからということで、セキュリティベンダーは
    防御するようにしてくれるのかな。
    それともWinnyだからあえて放置?
    Winnyネットワークを利用した暴露ウィルスはまぁ駆除すること自体に
    問題はなくとも、Winny自体への攻撃を防御したらしたで何だかんだと
    言われるだろうし、しなければしないである意味問題だろうし、
    ちょっとしたジレンマかもねー。

    • Re:どうするセキュリティベンダー (スコア:2, 参考になる)

      by iso999 (21485) on 2006年04月22日 8時09分 (#926280)
      脆弱性の攻撃の矢面に立たされるのはWinnyですが
      攻撃者側が最終的に陥落させたいのはマシンそのものです。
      なので、やはりどんなソフトの脆弱性も無視しておくべきではないと私は考えます。

      ベンダーさんはどう考えるのでしょうかね。
      シェア
      親コメント

  • ある意味凄いソフトかも (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2006年04月22日 14時42分 (#926405)
    これだけ大勢の人(国や大手企業とかニートとか)に使われつづけて、
    ソフトウェアの更新が3年前から停止して、
    やっと、致命的なバグが一つ見つかる程度ってすごくないか。

    しかも最後のバージョンも stable なリリースぢゃないし。
    unstable な α版がずっと利用されている状態。

    OSとかブラウザとか、各種サーバとか、山のようにバグがあるというのに。

  • Winnyを止めさせる手段としての虚偽情報 (スコア:2, 興味深い)

    by Anonymous Coward on 2006年04月22日 0時33分 (#926187)
    ということはないのか?

  • 利用者数に目立った変化なし (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2006年04月22日 0時42分 (#926193)
    そもそもBOFがどうのこうので止めるユーザがいるとは思えん。
    Nimda級のウイルスでも出てくれば話は違うだろうが
    そういう事態になるまでは利用者数の大きな変化は無いだろう。

  • これで (スコア:2, 興味深い)

    by lunatic_sparc (15416) on 2006年04月22日 9時56分 (#926300)
    これで、ぷららとかバックボーン投資を圧縮したくてトラフィック規制に熱心なISPの中の人は錦の御旗を手に入れたと大喜びなんでしょうね。

    そんなことも考えると、なんか Winny のまわりで起きてることとか発表とかって違和感が拭えないんだよなぁ。

    個々の事象では「それアリかよ」とかってレベルでも全部つなぎ合わせると「なんかヘン」って。

    #まるでライブドアの財務まわりのビジネス手法の話みたいだけど

    考えてみると、インフラサービスが『エンドユーザを守るため』勝手なことしてよければ、「ダイレクトメールは無駄なトラフィックだから捨てました」とか、「この電話はオレオレ詐欺っぽいからオンフックしました」とか、「この口座のお金の動きは怪しいから停止しました」とかとどう違うんだろうかとかぐるぐるしてしまいます。

    もちろん、ワームのアウトブレイクとかからインフラを守るってのは緊急避難としてアリだと思うけど。(地震の時の通信規制とかと同じようなものだし。)

    それにしても、このキモチノワルサはいったい何に起因してるんだろう。

    • Re:これで (スコア:2, 興味深い)

      by minek (14559) on 2006年04月22日 11時50分 (#926326) 日記
       Winnyまわりでは、著作権関係の問題と情報漏えい・セキュリティ関係の問題、ご指摘のインフラ関係の問題の3つくらいがリングになってぐーるぐーると絡み合ってまわっている感じがします。

      それぞれの思惑はマッタク違う(「著作権料払え!」「企業秘密漏らすな!」「ただ乗り許さん!」)のに、目的だけ(「Winny使うなっ!!!」)は一緒だから、お互いがお互いを利用しようとして変な印象を受けるのかなぁ、と思います。

       セキュリティに問題があるから、使うのやめましょう=プロバイダはトラフィックへってうはうは、みたいな変な構図が透けて見えるというか。

      セキュリティに問題→ウィルス発生→情報漏えい加速、そりゃやばい、っていう論理ならまだわかるような気もするんですが。

      シェア
      親コメント

    • Re:これで (スコア:1)

      by 7743 (11762) on 2006年04月22日 12時24分 (#926337)
      > それにしても、このキモチノワルサはいったい何に起因してるんだろう。
      Winny をつかっていることへの後ろめたさ。
      シェア
      親コメント

  • とりあえず踏み台にされないように (スコア:1, 参考になる)

    by Anonymous Coward on 2006年04月22日 1時39分 (#926215)
    つ DEP

  • もうここまで来たら (スコア:1)

    by SkyAngel (9501) on 2006年04月22日 2時23分 (#926235)
    Winnyを削除して回るワームを開発してネットに放っても,
    訴えられないんじゃないかなぁ...

    そーいや昔,勝手にセキュリティホールを埋めてくれるワームってあったな..
    --
    そうじゃないだろう!
typodupeerror

アレゲは一日にしてならず -- アレゲ見習い