zlib大丈夫か

[1 MSおまえもか？ NG NG]

zlibやってくれたよな〜。
opensshバージョンアップしたとたんにリコンパイルかよ。
MSにまで広がってるのってなんでや？
あいつら密かにオープンソース売ってるんか？

[2 名無しさん＠Ｅｍａｃｓ NG NG]

2ｹﾞﾄｽﾞｻ

[3 名無しさん＠Ｅｍａｃｓ NG NG]

ﾂｲﾃﾞﾆ3ﾓｹﾞﾄｽﾞｻｰ

[4 名無しさん@Vim%Chalice NG NG]

4ｹﾞｯﾄｽﾞｻｰ

[5 にせむら りか NG NG]

５

[6 zlib-1.1.3 NG NG]

もうだめぽ。

[7 名無しさん＠お腹いっぱい。 NG NG]

コンパイル時の利便性取って各アプリで腹持ちしてるからこういう事に
なるんだ。素直にshared libraryをrequireしときゃzlibだけの入れ
替えで済んだのによ。

と煽ってみたり。

[8 電子のお金十箱 NG NG]

2重freeが問題なので、一部のダサイ実装以外は気にしなくても平気らしい。

# それよりも、このネタでまたfj.comp.lang.cあたりでmalloc & freeが
# 再燃しないか楽しみ。

[9 名無しさん＠お腹いっぱい。 NG NG]

ああ、それで塩兄さんの日記でそのネタやってたのか。
glibcは駄目みたいだね。

[10 名無しさん＠お腹いっぱい。 NG NG]

zlib なんだかわかんないけどどりあえず ｱﾌﾟﾃﾞｰﾄ してみました。

[11 MSおまえもか？ NG NG]

>7 確かにそうだね。可能なら全部sharedの方がいいかも。
LD_LIBRARY_PATH,LD_RUN_PATHの設定がめんどくせ〜けどね。
まさか/.profileで設定するわけにいかんし。さ〜こまった。
env LD_LIBRARY_PATH="/usr/local/lib:$LD_LIBRARY_PATH" sshd
ってか？

[12 名無しさん＠お腹いっぱい。 NG NG]

>>7
kernel 回りもヤバい奴があったりするようだけどな。
ppp 関係とか。

[13 名無しさん＠お腹いっぱい。 NG NG]

スマン、何の話だかｻﾊﾟ-ﾘ分からんのだが、
良かったら誰か解説してくれぬか?

[14 名無しさん＠お腹いっぱい。 NG NG]

>>13

>>10を見習えYO!(w

[15 名無しさん＠お腹いっぱい。 NG NG]

>>11
漏れは djb 信者ぢゃないけど envdir

[16 名無しさん＠お腹いっぱい。 NG NG]

ｳﾞｫｹの >>13 はすっこんでろ

[17 名無しさん＠お腹いっぱい。 NG NG]

>> 13

厨房なので、間違えているかもしれんが

zlibとは、圧縮用ライブラリである。このライブラリに
セキュリティホールが発見された。


最近のunixは、共有ライブラリを使うもの(多数のプログラム
で同じライブラリを共有する)だが

一部のプログラムは、zlibをstaticでリンクしており、この
弊害の方が今回の騒動で、顕著になった。

rsync,ssh,kernelなどでzlibをつかっている

++++
LD_LIBRARY_PATHの話は、どこからライブラリをロードするか
を決定する話。

glibcの話は、チェックしていないのパス

[18 13 NG NG]

>>17
ご説明ありがとうございます。
なるほど、staticリンクの問題でしたか。
そう思って読み返してみると意味が分かりました。

厨房にお付き合いの程感謝申し上げまする m(_ _)m

[19 名無しさん＠お腹いっぱい。 NG NG]

>>17
発見されたのはセキュリティホールではなくバグ。
このバグがセキュリティーホールにつながるかどうかは、
他のライブラリに依存する。これが glibc の話に関わってくる。
で、glibc を使ってるシステムはちょっとやばいかも、という話。

[20 名無しさん＠お腹いっぱい。 NG NG]

openbsd神話崩壊ですか？

[21 名無しさん＠お腹いっぱい。 NG NG]

>>20
どういうこと？

[22 名無しさん＠お腹いっぱい。 NG NG]

>>20
「デフォルトの設定で」はpppもipcompもsshも使ってないので
問題ないと思う。(w

[23 login:Penguin NG NG]

>>21
> どういうこと？

しらんけど、
http://www.cert.org/advisories/CA-2002-07.html
すら読んでないんだろ。ほっとけ。

[24 親切な人 NG NG]

ヤフーオークションで、凄い人気商品、発見！！！

「高性能ビデオスタビライザー」↓
http://user.auctions.yahoo.co.jp/jp/user/NEO_UURONNTYA

ヤフーオークション内では、現在、このオークション
の話題で、持ちきりです。

[25 MSおまえもか？ NG NG]

libpngとかも関係してるし。
ありえんと思うけどIE開いたとたんにワームに感染な〜んて！
あったら怖いな。

けど、sunsiteとかからパッケージダウンロードしてる最近の
サーバモンキーとかいう奇特なお方は知らぬ間にセキュリティー
ホール作ってるてことだよなぁ。
実はそういうお方が一番怖いと思うね。俺わ。

[26 名無しさん＠お腹いっぱい。 NG NG]

私のところのマシンのOpenSSHはどれも、libzをdynamic linkしてるけど? >>1

[27 外出しとおもうが NG NG]

MSはコードをパクっているらしいな。
http://japan.cnet.com/Enterprise/News/2002/Item/020315-5.html?me

[28 名無しさん＠お腹いっぱい。 NG NG]

>>25 ネタ?
ソースからコンパイルしても安全ってわけじゃないんだけど

[29 名無しさん＠お腹いっぱい。 NG NG]

あのさ、漏れ ssh-1.2.27 （クライアント側のみ）使ってんだけどさ。
これ危ないの？
この話に限らないんだけど、
セキュリティーの話ってはっきり言ってもううんざりなんだよ。
そんなの細かいこと気にしてたら気にしなきゃならないことだらけで
やってられん。

[30 マカー NG NG]

あの〜OS Xもヤヴァいんでしょうか

[31 MSおまえもか？ NG NG]

>>25
少なくとも、何をリンクして何をしているかの見分けはつくっしょ。
やばそうなら、入れなきゃいいし、ソースいぢれるし。
C系列が分かんなきゃ話にならんけど。

[32 名無しさん＠お腹いっぱい。 NG NG]

>>28
>>25は全ソースをauditしている
スーパーハッカーです。たぶん。

[33 名無しさん＠お腹いっぱい。 NG NG]

>>9
MALLOC_CHECKに敢えて触れていないワナ。

[34 名無しさん＠Ｅｍａｃｓ NG NG]

http://www.gzip.org/zlib/apps.html
DirectX にも zlib が。
うかうかとエロゲもやってられません。

[35 名無しさん＠お腹いっぱい。 NG NG]

>>34
心配するなよ。

[36 名無しさん＠お腹いっぱい。 NG NG]

FreeBSDとかは２重解放はデフォルトでチェックするけど、
char *buf=malloc(100);
free(buf);
buf[10] = 10;
なんてコードには約立たずなのはどこもいっしょ。

[37 名無しさん＠お腹いっぱい。 NG NG]

>>36
ん？そういうコードが zlib に含まれてるの？

[38 名無しさん＠お腹いっぱい。 NG NG]

っていうか大騒ぎしすぎな気がする

[39 名無しさん＠お腹いっぱい。 NG NG]

もちろん一般論だYO。

[40 名無しさん＠お腹いっぱい。 NG NG]

>>39
あんまりむやみに話膨らますなＹＯ！
(特に malloc() & free() 話は)

[41 名無しさん＠お腹いっぱい。 NG NG]

だれか>>26に答えてくれ。

[42 login:Penguin NG NG]

>>41
反語は強調やほのめかしに使うもんで、答える対象じゃないだろ?
↑この文に答えるなよ。

[43 名無しさん＠お腹いっぱい。 NG NG]

>>1 のいみがよくわからんってことでしょう

[44 名無しさん＠お腹いっぱい。 NG NG]

>>42は反語の意味がわかっているのだろうか？（いやわかっていない）

[45 名無しさん＠お腹いっぱい。 NG NG]

zlib になにがあったの？

[46 名無しさん＠Ｅｍａｃｓ NG NG]

つーか、GPL適用しとけば、MSがソースコカーイとかあったかもしれないのに。
ザンネソ。

[47 名無しさん＠お腹いっぱい。 NG NG]

もしGPLだったら、使わずにスクラッチから実装するだけでしょ。

[48 名無しさん＠お腹いっぱい。 NG NG]

>>47
で、実装バグにより(以下略)

[49 名無しさん＠お腹いっぱい。 NG NG]

>>48
しかも独自拡張部分で(以下略)

[50 名無しさん＠お腹いっぱい。 NG NG]

>>48
zlib相当を作るときはまともなプログラマ使うだろ。
MSのプログラマはスーパーハカーから超ヘタレまで格差ありすぎ(w

[51 名無しさん＠お腹いっぱい。 NG NG]

>>50
では今回のzlib問題はMSについては問題ないとゆーことですね。
スーパーハカーがまともなzlib互換libを作ったんでしょ？(w

[52 名無しさん＠お腹いっぱい。 NG NG]

>>51
はいはいそうですよ。読解け。

[53 名無しさん＠お腹いっぱい。 NG NG]

>> 29

それなりに大雑把にいきたいなら apt教
に入信するとよろし、開発側の体制がしっかり
しているなら、他人まかせにできるな

[54 名無しさん＠お腹いっぱい。 NG NG]

kernel内部の libzとかは大丈夫なんでしょうか? >>お前ら
free(3) は大丈夫でも free(9) で商店とかありませんか?
いや、sourceをちっとも見ないでいってるんですけど。

[55 名無しさん＠お腹いっぱい。 NG NG]

>>54
今回の問題の根本はdouble freeという現象であって、意図的に加工された
.gzファイルを展開しようとしたときに意図しないコードが実行する可能性
がある、というもの。

従って、カーネルのように信頼できるものを展開する際にはセキュリティ上
の問題になることはないはず。例外として発信元不明な謎のカーネル（また
はモジュール）をコンパイルしてインストールすればセキュリティホールを
突くこともできるが、そんな面倒なことをやるくらいならそのカーネルか
モジュールのソースそのものに穴を用意すればいいだけのことだし、何より
も信頼できないソースを利用すること自身が既に問題。

[56 名無しさん＠お腹いっぱい。 NG NG]

>54
通信のデータとかをカーネル内部で圧縮していたら？

[57 名無しさん＠お腹いっぱい。 NG NG]

>>56
Linux だと drivers/net/zlib.c があって ppp がこれつかってるな。
2.4.19-pre* のどっかで修正されたようだ。
悪意のある ppp server/client がいるとヤバイか?
あと fliesystem 方面にも入ってる。信頼できない fs image を
loopback で mount したりするとヤバイかもね。

[58 名無しさん＠お腹いっぱい。 NG NG]

FreeBSD と OpenBSD はパッチでたね。

[59 名無しさん＠お腹いっぱい。 NG NG]

XFree86-4.2.0も出てまっせ。

[60 kcrt NG NG]

MSはコード公開しる！

・・・あ、汚いWind*wsのコードとか見せられると使う気なくすなぁ

[61 名無しさん＠お腹いっぱい。 NG NG]

>>60
ソースが汚ないってよく言うけど、具体的にはどんなの？
≒読み難い(eg. qmail)ってことでいいんでしょうか。

[62 名無しさん＠お腹いっぱい。 NG NG]

>>60はつねにきれいなコードを書く神あるいはしろうと。

[63 kcrt=60 NG NG]

汚い＝ＭＦＣのコード。なんか、あれ構造おかしくない？

[64 名無しさん＠お腹いっぱい。 NG NG]

MFC は別になんとも思わなかったが...
俺が鈍感なだけ？

[65 名無しさん＠お腹いっぱい。 NG NG]

MFCは問題ないんでない？

[66 login:Penguin NG NG]

MFCのソースコードは読んだことないが、
クラス階層がしょぼい

[67 名無しさん＠お腹いっぱい。 NG NG]

>>61
breakflag = 0;

for( なんかループ　){
for( なんかループ　){

if(なんか条件){
breakflag = 1;
goto NASTY;
}
}

}

NASTY:
if(breakflag){
なんかさいあくなしょり
}

見たいなのをいふんだＹＯ！

[68 名無しさん＠お腹いっぱい。 NG NG]

>>67
gotoとかMSが使わせるとは思えんが。

[69 名無しさん＠お腹いっぱい。 NG NG]

>>60
MS=ソース汚い, ってのは短絡的じゃない?
あー、外部から分かる動作でソースコードの汚さが
推測できる、のかもしれないが。

# 大学にNTのソースライセンス提供したとかいう話もあったな。慶応だったか。
# ここに読んだことがあるやついるかな。

[70 login:Penguin NG NG]

CMUとかMITとかも持ってるよ。
今やNTはMicrosoftのコードだけで動いているわけではないし。メーカも書いてる。

SEGAに来たCEのソースは厨房レベルだったって。
コーディングスタイルが汚いとかどうかという以前に、
アルゴリズム、OSの基礎知識がない奴がコーディングにかり出された感じらしい。