過去ログ表示


過去ログ 142 を表示

トピック内全 11 記事中の 1 〜 10 番目を表示
[ 最新記事及び返信フォームをトピックトップへ ]
このトピックの全ページ / [0] [1]

zlibの脆弱性の発見でモジラ系への影響は?
(#22621) このトピック中1番目の投稿
(環境: Win2000/Firefox1.0.4)

Yahoo!を眺めていたら、ちょっと気になるニューストピックが目に入りました.
(http://japan.cnet.com/news/sec/story/0,2000050480,20085163,00.htm)
zlibの現行版である1.2.2に“バッファオーバーフローを引き起こす脆弱性が存在する”
という事でしたが、このライブラリはモジラ系の各種アプリケーションでも、
使われているのではないかと思います.

使わずに書かれているのであれば、それはそれで大したものですが、
確か、JPEG画像がこのzlibで提供される圧縮方法を使っていましたし(PNGもこれかな?)、
もしZIPアーカイブがこの圧縮方法を使っているのだとすると、
Java周りやテーマ/拡張などまで、関係しそうな部分が尽きません.

実際のところ、この問題でモジラ系への影響はどの程度あるのでしょうか?
影響があるとすると、各種の正規バージョンアップがzlibの新版待ちに
なったりもするのでしょうかね...

Re[1]: zlibの脆弱性の発見でモジラ系への影響は?
(#22642) このトピック中2番目の投稿
(環境: Win2000/Firefox1.0.4)

(私も判ら無く答えになっていないので、[補足]にしておきます。)

> 確か、JPEG画像がこのzlibで提供される圧縮方法を使っていましたし(PNGもこれかな?)、

PNG はそうですけど、JPEGって使っているんでしたっけ?
(zlibってzip/gzipの圧縮アルゴリズムのライブラリでしたよね。)

「about:」と「about:buildconfig」を見ると、
zlibの文字は無いですけど、
「--with-system-zlib」とも「--without-system-zlib」とも書いてないのは、
どっちなんでしょうね。
(「without-system-zlib」と書いてあれば内蔵なのかな?)
(参考URL)
http://www.mozilla-japan.org/build/distribution.html

about:
Mozilla/5.0 (Windows; U; Windows NT 5.0; ja-JP; rv:1.7.8) Gecko/20050511 Firefox/1.0.4

about:buildconfig
Configure arguments
--disable-ldap --disable-mailnews --enable-extensions=cookie,xml-rpc,xmlextras,pref,transformiix,universalchardet,webservices,inspector,gnomevfs,negotiateauth --enable-crypto --disable-composer --enable-single-profile --disable-profilesharing --enable-optimize --disable-debug --disable-tests --enable-static --disable-shared --enable-official-branding

Re[2]: zlibの脆弱性の発見でモジラ系への影響は?
(#22644) このトピック中3番目の投稿
(環境: WinXP SP2/Firefox1.0)

> PNG はそうですけど、JPEGって使っているんでしたっけ?
 
使って無いですね。そもそも方法が違います。
 
> (zlibってzip/gzipの圧縮アルゴリズムのライブラリでしたよね。)
 
その通り。http://oku.edu.mie-u.ac.jp/~okumura/compression/zlib.html

Re[2]: zlibの脆弱性の発見でモジラ系への影響は?
(#22646) このトピック中4番目の投稿
(環境: WinXP SP2/Firefox1.0)

No22642に返信(yammoさんの記事)
> 「--with-system-zlib」とも「--without-system-zlib」とも書いてないのは、
> どっちなんでしょうね。

http://lxr.mozilla.org/seamonkey/source/configure#11321
11321 # Check whether --with-system-zlib or --without-system-zlib was given.
11322 if test "${with_system_zlib+set}" = set; then
11323 withval="$with_system_zlib"
11324 ZLIB_DIR=$withval
11325 fi

となっているので、無い場合は--without-system-zlib扱いですか?
# シェルスクリプトは読めないのでよく分からないのですが。

Re[1]: zlibの脆弱性の発見でモジラ系への影響は?
(#22649) このトピック中5番目の投稿
(環境: Mac/Camino)

chekinの日付が2005-07-05 13:29との事なので、これ以降のnightlyは対処済み。
おそらく次リリース予定の1.0.5も同時に対処されているでしょう。
http://bonsai.mozilla.org/cvslog.cgi?file=mozilla/modules/zlib/src/inftrees.c&rev=3.6

Re[2]: 別のzlib buffer overflow
(#22679) このトピック中6番目の投稿
(環境: OS2/Firefox1.0)

> chekinの日付が2005-07-05 13:29との事なので、これ以降のnightlyは対処済み。

/.本家にて「Zlib Security Flaw Could Cause Widespread Trouble」という記事が出ています。この新たに発見されたバッファオーバーフローは,Microsoft Windowsでも例外ではないようで。

http://it.slashdot.org/article.pl?sid=05/07/10/0346218


Mozilla/5.0 (OS/2; U; Warp 4.5; en-US; rv:1.8b3) Gecko/20050708 Firefox/1.0+

Re[3]: zlibの脆弱性の発見でモジラ系への影響は?
(#22719) このトピック中7番目の投稿
(環境: Win2000/Firefox1.0.4)

> > PNG はそうですけど、JPEGって使っているんでしたっけ?
>  
> 使って無いですね。そもそも方法が違います。

そうでしたか^-^; 何かと勘違いしてしまっていた様です. どうもすみません m(_ _)m

という事は、可能性としてはPNG画像とJAR/XPIアーカイブになりますね.

Re[2]: zlibの脆弱性の発見でモジラ系への影響は?
(#22720) このトピック中8番目の投稿
(環境: Win2000/Firefox1.0.4)

> chekinの日付が2005-07-05 13:29との事なので、これ以降のnightlyは対処済み。

http://www.zlib.net/ を見ても、現行版が1.2.2となっていますので
公式のzlibソースはまだ修正されていません.
モジラ開発グループが独自にzlibを修正しているというなら構いませんが、
公式zlibを公式なまま使っているとすれば、“対処済み”という事には
ならない様に思います.

また、件のニューストピックに曰く“Secuniaが米国時間7日に出した”という事ですので
その“チェックイン”は何か別件かも知れません.

Re[3]: zlibの脆弱性の発見でモジラ系への影響は?
(#22750) このトピック中9番目の投稿
(環境: WinXP SP2/Firefox1.0)

checkinログにあるbug299445を見てください。
https://bugzilla.mozilla.org/show_bug.cgi?id=299445

Re[4]: zlibの脆弱性の発見でモジラ系への影響は?
(#22760) このトピック中10番目の投稿
(環境: Win2000/Firefox1.0.4)

横から失礼します。

> checkinログにあるbug299445を見てください。

そうですね。Mozilla以外の対応を見ても同じパッチが使われているので、この件は対策済みと見て間違いないでしょう。

ちなみにFirefox 1.0.4は別バージョンのzlibを使っているので今回の脆弱性は影響無しのようです。Mozilla Suite 1.7.xも、かな。


[ 次のトピック内容10件 ]
このトピックの全ページ / [0] [1]

返信不可


- Child Tree -