[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[freewnn:00760] Re: security bug report
セキュリティ・スタジアム 2001 実行委員の小島です。
<http://www.st.ryukoku.ac.jp/~kjm/security/sec-stadium/>
セキュリティ・スタジアム 2001 において、春山さんが本脆弱性を用い
た攻撃を実施しました (のだと理解しています)。
<http://www.st.ryukoku.ac.jp/~kjm/security/sec-stadium/ml-archive/sec-stadium/msg00603.html>
セキュリティ・スタジアム 2001 としては本件について情報を公開すべ
く準備中なのですが、正式な情報/fix が登場していない (ように見え
る) のが私としては気がかりです。
題名: [freewnn:00701] Re: security bug report
(<20010817091847Q.hiroo@oikumene.gcd.org>) において
Hiroo ONO さんがおっしゃるには:
| ishikawa> 以下 パッチです。jserver_dir 以外の場所には ファイルを書き込めない
| ishikawa> ようにしています。
|
| home directory の下に自分用の辞書をおいたりする場合もあるので
| (permission の問題でうまく動かなかったりするので、これも現状通りはちょっ
| と問題があると思っていますが)、個人的には他の策がないかなと思っています。
どこに書くにせよ、辞書ファイルがどのディレクトリにあるはずかとい
う情報は jserver が握っているはずですから、そのディレクトリ以下
には書き込めない、という動作がいいのかなあと思うのですが、どうで
しょう。jserver_dir のかわりに (jserver_dir と共に?)、そのディレ
クトリを使えばいいのですよね?
| 例えば tcp wrapper を組み込むのは対策になりますか?
実装されればより強固にはなりますし、実装して頂けるとありがたく思
う人はたくさんいると思いますが、本件に関しては決定的な対策ではな
いと思います。
| 来週中には workaround は出さないとまずいですよね。
セキュリティ・スタジアム 2001 の ML には次のように書いたのですが、
このような状況認識で合っているでしょうか?
<http://www.st.ryukoku.ac.jp/~kjm/security/sec-stadium/ml-archive/sec-stadium/msg00612.html>
| 短期的な策は別として、長期的にどうしてゆくかも考えないといけないですが。
* 特定ディレクトリの下にしか書けない
home に置く場合は、たとえば ~/.wnndic/ 下のみとか
* リクエスト中に '/' があったら捨て捨て
がよいのかなあと思ったりします。
----
// 木下是雄「理科系の作文技術」中公新書 624 を読もう!!
小島 肇 - KOJIMA Hajime - 龍谷大学 理工学部 電子情報学科 (RINS)
[Office] kjm@rins.ryukoku.ac.jp, http://www.st.ryukoku.ac.jp/~kjm/
Phone: 077-543-7414 Fax: 077-543-0706