zlib大丈夫か

**MSおまえもか？** · NG

zlibやってくれたよな～。
opensshバージョンアップしたとたんにリコンパイルかよ。
MSにまで広がってるのってなんでや？
あいつら密かにオープンソース売ってるんか？

**名無しさん＠Ｅｍａｃｓ** · NG

2ｹﾞﾄｽﾞｻ

**名無しさん＠Ｅｍａｃｓ** · NG

ﾂｲﾃﾞﾆ3ﾓｹﾞﾄｽﾞｻｰ

**名無しさん@Vim%Chalice** · NG

4ｹﾞｯﾄｽﾞｻｰ

**にせむらりか** · NG

５

**zlib-1.1.3** · NG

もうだめぽ。

**名無しさん＠お腹いっぱい。** · NG

コンパイル時の利便性取って各アプリで腹持ちしてるからこういう事に
なるんだ。素直にshared libraryをrequireしときゃzlibだけの入れ
替えで済んだのによ。

と煽ってみたり。

**電子のお金十箱** · NG

2重freeが問題なので、一部のダサイ実装以外は気にしなくても平気らしい。

# それよりも、このネタでまたfj.comp.lang.cあたりでmalloc & freeが
# 再燃しないか楽しみ。

**名無しさん＠お腹いっぱい。** · NG

ああ、それで塩兄さんの日記でそのネタやってたのか。
glibcは駄目みたいだね。

**名無しさん＠お腹いっぱい。** · NG

zlib なんだかわかんないけどどりあえずｱﾌﾟﾃﾞｰﾄしてみました。

**MSおまえもか？** · NG

>7 確かにそうだね。可能なら全部sharedの方がいいかも。
LD_LIBRARY_PATH,LD_RUN_PATHの設定がめんどくせ～けどね。
まさか/.profileで設定するわけにいかんし。さ～こまった。
env LD_LIBRARY_PATH="/usr/local/lib:$LD_LIBRARY_PATH" sshd
ってか？

**名無しさん＠お腹いっぱい。** · NG

>>7
kernel 回りもヤバい奴があったりするようだけどな。
ppp 関係とか。

**名無しさん＠お腹いっぱい。** · NG

スマン、何の話だかｻﾊﾟ-ﾘ分からんのだが、
良かったら誰か解説してくれぬか?

**名無しさん＠お腹いっぱい。** · NG

>>13

>>10を見習えYO!(w

**名無しさん＠お腹いっぱい。** · NG

>>11
漏れは djb 信者ぢゃないけど envdir

**名無しさん＠お腹いっぱい。** · NG

ｳﾞｫｹの >>13 はすっこんでろ

**名無しさん＠お腹いっぱい。** · NG

>> 13

厨房なので、間違えているかもしれんが

zlibとは、圧縮用ライブラリである。このライブラリに
セキュリティホールが発見された。

最近のunixは、共有ライブラリを使うもの(多数のプログラム
で同じライブラリを共有する)だが

一部のプログラムは、zlibをstaticでリンクしており、この
弊害の方が今回の騒動で、顕著になった。

rsync,ssh,kernelなどでzlibをつかっている

++++
LD_LIBRARY_PATHの話は、どこからライブラリをロードするか
を決定する話。

glibcの話は、チェックしていないのパス

13 · NG

>>17
ご説明ありがとうございます。
なるほど、staticリンクの問題でしたか。
そう思って読み返してみると意味が分かりました。

厨房にお付き合いの程感謝申し上げまする m(_ _)m

**名無しさん＠お腹いっぱい。** · NG

>>17
発見されたのはセキュリティホールではなくバグ。
このバグがセキュリティーホールにつながるかどうかは、
他のライブラリに依存する。これが glibc の話に関わってくる。
で、glibc を使ってるシステムはちょっとやばいかも、という話。

**名無しさん＠お腹いっぱい。** · NG

openbsd神話崩壊ですか？

**名無しさん＠お腹いっぱい。** · NG

>>20
どういうこと？

**名無しさん＠お腹いっぱい。** · NG

>>20
「デフォルトの設定で」はpppもipcompもsshも使ってないので
問題ないと思う。(w

**login:Penguin** · NG

>>21
> どういうこと？

しらんけど、
http://www.cert.org/advisories/CA-2002-07.html
すら読んでないんだろ。ほっとけ。

**親切な人** · NG

ヤフーオークションで、凄い人気商品、発見！！！

「高性能ビデオスタビライザー」↓
http://user.auctions.yahoo.co.jp/jp/user/NEO_UURONNTYA

ヤフーオークション内では、現在、このオークション
の話題で、持ちきりです。

**MSおまえもか？** · NG

libpngとかも関係してるし。
ありえんと思うけどIE開いたとたんにワームに感染な～んて！
あったら怖いな。

けど、sunsiteとかからパッケージダウンロードしてる最近の
サーバモンキーとかいう奇特なお方は知らぬ間にセキュリティー
ホール作ってるてことだよなぁ。
実はそういうお方が一番怖いと思うね。俺わ。

**名無しさん＠お腹いっぱい。** · NG

私のところのマシンのOpenSSHはどれも、libzをdynamic linkしてるけど? >>1

**外出しとおもうが** · NG

MSはコードをパクっているらしいな。
http://japan.cnet.com/Enterprise/News/2002/Item/020315-5.html?me

**名無しさん＠お腹いっぱい。** · NG

>>25 ネタ?
ソースからコンパイルしても安全ってわけじゃないんだけど

**名無しさん＠お腹いっぱい。** · NG

あのさ、漏れ ssh-1.2.27 （クライアント側のみ）使ってんだけどさ。
これ危ないの？
この話に限らないんだけど、
セキュリティーの話ってはっきり言ってもううんざりなんだよ。
そんなの細かいこと気にしてたら気にしなきゃならないことだらけで
やってられん。

**マカー** · NG

あの～OS Xもヤヴァいんでしょうか

**MSおまえもか？** · NG

>>25
少なくとも、何をリンクして何をしているかの見分けはつくっしょ。
やばそうなら、入れなきゃいいし、ソースいぢれるし。
C系列が分かんなきゃ話にならんけど。

**名無しさん＠お腹いっぱい。** · NG

>>28
>>25は全ソースをauditしている
スーパーハッカーです。たぶん。

**名無しさん＠お腹いっぱい。** · NG

>>9
MALLOC_CHECKに敢えて触れていないワナ。

**名無しさん＠Ｅｍａｃｓ** · NG

http://www.gzip.org/zlib/apps.html
DirectX にも zlib が。
うかうかとエロゲもやってられません。

**名無しさん＠お腹いっぱい。** · NG

>>34
心配するなよ。

**名無しさん＠お腹いっぱい。** · NG

FreeBSDとかは２重解放はデフォルトでチェックするけど、
char *buf=malloc(100);
free(buf);
buf[10] = 10;
なんてコードには約立たずなのはどこもいっしょ。

**名無しさん＠お腹いっぱい。** · NG

>>36
ん？そういうコードが zlib に含まれてるの？

**名無しさん＠お腹いっぱい。** · NG

っていうか大騒ぎしすぎな気がする

**名無しさん＠お腹いっぱい。** · NG

もちろん一般論だYO。

**名無しさん＠お腹いっぱい。** · NG

>>39
あんまりむやみに話膨らますなＹＯ！
(特に malloc() & free() 話は)

**名無しさん＠お腹いっぱい。** · NG

だれか>>26に答えてくれ。

**login:Penguin** · NG

>>41
反語は強調やほのめかしに使うもんで、答える対象じゃないだろ?
↑この文に答えるなよ。

**名無しさん＠お腹いっぱい。** · NG

>>1 のいみがよくわからんってことでしょう

**名無しさん＠お腹いっぱい。** · NG

>>42は反語の意味がわかっているのだろうか？（いやわかっていない）

**名無しさん＠お腹いっぱい。** · NG

zlib になにがあったの？

**名無しさん＠Ｅｍａｃｓ** · NG

つーか、GPL適用しとけば、MSがソースコカーイとかあったかもしれないのに。
ザンネソ。

**名無しさん＠お腹いっぱい。** · NG

もしGPLだったら、使わずにスクラッチから実装するだけでしょ。

**名無しさん＠お腹いっぱい。** · NG

>>47
で、実装バグにより(以下略)

**名無しさん＠お腹いっぱい。** · NG

>>48
しかも独自拡張部分で(以下略)

**名無しさん＠お腹いっぱい。** · NG

>>48
zlib相当を作るときはまともなプログラマ使うだろ。
MSのプログラマはスーパーハカーから超ヘタレまで格差ありすぎ(w

**名無しさん＠お腹いっぱい。** · NG

>>50
では今回のzlib問題はMSについては問題ないとゆーことですね。
スーパーハカーがまともなzlib互換libを作ったんでしょ？(w